背景:从协议漏洞到系统性信任危机
2026 年 5 月,多伦多大学 CitizenLab 发布了题为《Bad Connection: Uncovering Global Telecom Exploitation by Covert Surveillance Actors》的重磅报告,首次将实时 SS7 与 Diameter 攻击流量映射到具体运营商标识符与互联路由路径上。该报告基于与 Cellusys、P1 Security、Telenor Linx、Roaming Audit 等行业合作伙伴的协作,通过信令防火墙日志、数据包捕获、路由数据与 GSMA IR.21 文件的多源交叉验证,识别出两个独立但技术路径互补的隐蔽 surveillance actors——STA1 与 STA2。
报告揭示的核心问题并非简单的软件缺陷或配置失误,而是全球电信生态系统设计与商业实践的结构性安全失败。SS7 与 Diameter 协议族最初面向可信的运营商社区设计,缺乏 IP 网络所具备的源认证、完整性校验与加密机制。尽管 Diameter 在 4G/5G 环境中引入了 TLS 与 IPsec 支持,但运营商普遍未有效部署这些保护措施,继续依赖与 SS7 相同的点对点信任模型。攻击者正是利用这一系统性信任缺口,将电信基础设施转化为永久化的 covert surveillance 平台。
攻击链分析:STA1 的跨协议持久化定位追踪
多阶段攻击时序
STA1 展现出的技术复杂度和组织协调能力远超一般网络威胁。在 2024 年 11 月 25 日针对一名 VVIP 目标的四小时攻击窗口中,攻击者按以下阶段精确执行了多波次定位尝试。
第一阶段:侦察(10:39–10:41 GMT)。攻击者首先从柬埔寨 SEATEL 网络的 Global Title 发送两条 SS7 sendRoutingInfoForSM 消息,试图检索目标用户手机号码关联的 IMSI。两条消息均被信令防火墙阻断。
第二阶段:SS7 初步定位尝试(10:41–10:44 GMT)。在侦察失败后,攻击者立即切换至 provideSubscriberInfo 消息,在三分钟内从分布在柬埔寨(SEATEL、QB Cadcomms)、莫桑比克(Mcel)、瑞典(Telenabler AB)、意大利(TIM)、列支敦士登(FL1)、乌干达(Utel)等六个国家的 Global Title 轮询发送定位查询。这种快速轮换多个网络来源的策略明显是为了寻找绕过防火墙的信任路径,表明攻击者具备通过多个运营商 GT 访问全球 SS7 信令骨干网的能力。
第三阶段:协议切换至 4G/Diameter(10:46–10:50 GMT)。在 SS7 尝试全部失败后,攻击者转向 Diameter 协议,从 Tango Networks UK(cst001.epc.mnc053.mcc234.3gppnetwork.org)发送六条 Insert-Subscriber-Data-Request 消息,随后从 019Mobile Israel(ideabpl1h.epc.mnc019.mcc425.3gppnetwork.org)追加十九条 IDR 消息。这种协议自适应能力表明攻击平台深度集成了跨协议攻击能力。
第四阶段:回归 SS7 并升级(10:56–11:20 GMT)。在 25 次 Diameter 尝试失败后,攻击者返回 SS7 并重复使用之前的 GT 集群。8 分钟静默期后,攻击者升级至另一 SS7 技术 ——anyTimeInterrogation(ATI)消息,这是广泛用于移动定位追踪的命令。共发送 12 条 ATI 消息,同样来自同一 GT 集群。
第五阶段:Diameter 操纵的最终尝试(13:29–14:27 GMT)。两小时静默期后,攻击者使用新战术:从与 AIS Thailand 关联的主机名(ideabpl1h.dea.epc.mnc003.mcc520.3gppnetwork.org)发送 IDR 消息,但 Origin-Realm 却使用中国联通网络域(epc.mnc001.mcc460.3gppnetwork.org)。这种主机名与网络域的跨运营商配对违反了 GSMA 与 3GPP 标准,明确表明 spoofing 与操纵行为,意图通过备选互联提供商路径传输定位查询。
路由伪装技术
STA1 的隐蔽能力体现在 Diameter 消息头的精细操纵上。Origin-Host、Origin-Realm 与 Route-Record 字段用于标识发送系统并追踪消息在互联网络中的路径。分析这些字段揭示了三种不同的路由模式。
直接访问通过 Tango Networks UK:消息通过 Tango 关联基础设施进入,经由 BICS IPX 网络路由。
直接访问通过 019Mobile Israel:监视流量通过 019Mobile 关联节点进入,然后到达 IPX 提供商。
Spoofed 运营商身份路径(AIS Thailand/China Unicom):消息将 AIS Thailand 主机名与中国联通网络域配对,同时经由 019Mobile 路由,以通过 Syniverse IPX 投递。
通过在不同的身份与间接第三方信令路径之间分配监视流量,攻击者能够以降低检测暴露的方式投递监视查询,同时提高突破目标网络的可能性。
攻击链分析:STA2 的 SIM 卡化身间谍
SIMjacker 零点击漏洞利用
STA2 采用了与 STA1 截然不同的技术路径 —— 不是通过操纵 SS7 与 Diameter 协议进行定位追踪,而是将设备级漏洞利用与网络级攻击相结合。通过对日志与包含 SMS 消息头内容的 数据包追踪的详细分析,确认 STA2 发送了一条特殊格式的二进制 SMS,其中嵌入了隐藏的 SIM 卡命令。该消息旨在触发静默的基于 SIM 卡的漏洞利用,无需任何用户交互,即可将手机转变为定位追踪设备。
攻击机制分解
攻击者利用了 SIM 工具包消息(又称 SIM OTA 消息)的特殊属性。这些消息与普通短信完全不同,用户手机无法显示它们,且无任何方式知晓其接收,因为它们本用于网络运营商配置设备网络设置。两条 SMS 头字段使这一攻击成为可能。
TP-PID = 127 表示该消息用于 SIM 卡,而非用户。TP-DCS = 22(0x16)表示将消息作为二进制代码处理并直接发送至 SIM。
具体攻击步骤如下。首先,S@T 浏览器(SIM 卡上的隐藏应用程序,属于 SIM 工具包的一部分)收到包含字节码的特殊格式 SMS,其中包含 S@T 浏览器的专用命令。S@T 浏览器立即解释并执行命令,因为通信缺乏认证。攻击者无需在 S@T 浏览器准备接收命令之前发送额外消息进行身份验证。
被防火墙阻止的攻击 SMS 清晰匹配 S@T 浏览器命令结构,使用标准化的 Tag-Length-[Attribute]-Value(TL [A] V)格式编码命令及其参数。攻击命令包含五个顺序执行的字节码命令。首先,STK 命令 Provide Local Information 指示 S@T 浏览器向手机发送主动命令,请求当前所连接网络小区的信息 —— 即小区标识符、位置区域码(LAC)、移动网络码(MNC)与移动国家码(MCC)。手机返回的位置信息存储在变量 0x17 中。城市地区定位精度可达一公里,农村地区可达百公里,具体取决于基站密度。
其次,Initialize Variable 命令将变量 0x09 初始化为 12 字节的二进制数据。然后,Concatenate Values 命令将变量 0x09 与字节 0x0a、变量 0x17 以及字节序列 0xcc 0xcc 0xcc 连接,结果存储在变量 0x10 中。此命令将存储在变量 0x17 中的位置信息附加到变量 0x09 中的二进制数据,同时向数据流添加额外字节。
接着,STK 命令 Send Short Message 指示 S@T 浏览器向手机发送包含变量 0x10 内容的渗漏 SMS,发送至 423790105651(分配给 FL1 列支敦士登)。SMS 参数配置为如果传输失败不通知用户,防止攻击被发现。
最后,Exit Program 命令退出程序。
STA2 的攻击活动规模
CitizenLab 对与 STA2 活动相关的历史 SS7 与 Diameter 防火墙遥测数据进行了分析,发现了一个始于 2022 年 10 月的大规模运营活动,定位追踪尝试超过 15,700 次。历史遥测揭示了使用与多个运营商关联的相同主机名格式的长期活动,可追溯至 2022 年 11 月,在 500 多条位置追踪尝试中发现了这些主机名。
STA2 活动与 Fink Telecom Services(FTS)的标识符与模式存在一致性。FTS 是一家瑞士电信提供商,在 Lighthouse Reports 与 Bloomberg 的调查报道中被曝光为商业电信 surveillance vendor。攻击历史显示同一天发生的定位追踪攻击与匹配的 Diameter 主机名格式,表明 STA2 极可能为 FTS 或其关联平台。
防御方案:工程化参数与监控清单
信令防火墙配置参数
基于 CitizenLab 报告的发现,建议运营商实施以下工程化信令安全配置。
SS7 防火墙规则:对 provideSubscriberInfo、anyTimeInterrogation、sendRoutingInfoForSM 三类命令启用深度检测。设置单 IMSI 每分钟请求阈值不超过 5 次,超出阈值自动阻断并告警。启用 Global Title 验证,检查 GTP 列表是否与 IR.21 文档中的预期运营商路由一致,对 OPC 不匹配 IR.21 预期互联提供商的情况标记为高风险。
Diameter 防火墙规则:启用 Origin-Host 与 Origin-Realm 一致性校验,跨运营商配对(主机名与网络域来自不同运营商)应被自动阻断。启用 Route-Record 完整性检查,根据 RFC 6733,每个中继转发请求时应追加自身标识,Origin-Host 不应出现在 Route-Record 中。设置异常会话标识检测规则,Session-ID 中包含目标 IMSI 或使用非标准格式(37–39 位数字 token)应触发深度审查。
主动监控指标
信令流量异常检测:部署基于机器学习的信令行为分析系统,监控以下关键指标。
信令源 GT 轮换频率:正常运营商通常固定使用 1–3 个 GT,超过 10 个不同 GT 在 1 小时内发起定位查询视为异常。目标 IMSA 集中度:单一 IMSI 在 24 小时内被超过 20 次不同 GT 查询应触发调查。协议切换模式:SS7 失败后立即切换至 Diameter 的攻击模式应在 10 分钟内检测并阻断后续尝试。地理分布异常:来自不同国家的 GT 查询目标网络且无合理业务理由(如非漫游用户)应标记为可疑。
历史关联分析:与行业合作伙伴(如 Cellusys、P1 Security)共享威胁情报,建立已知攻击标识符(GT、主机名、IPX 路由路径)的实时更新黑名单。对历史攻击指标进行持续关联分析,识别重复使用的攻击基础设施。
互联提供商安全评估
IPX 流量筛选:IPX 提供商应实施严格的入口流量筛选,验证 Origin-Host 与 Origin-Realm 的一致性,拒绝跨运营商配对的 Diameter 消息。对 Route-Record 完整性进行校验,确保无标识符 spoofing。报告发现 Syniverse IPX 网络允许 AIS 主机名与中国联通网络域的组合消息通过,这表明行业级筛选存在系统性失败。
第三方接入审查:建立第三方信令接入的定期审计机制,审查商业租赁安排、MVNE 服务商的信令访问权限。验证所有信令接入方符合 GSMA IR.21 规范,确保无未授权的 GT 或主机名使用。
终端侧防御
SIM 卡层面:虽然 SIMjacker 漏洞利用的是 SIM 卡本身的 S@T 浏览器功能,但终端用户可通过以下措施降低风险。避免接收来自未知来源的 OTA 配置消息,网络运营商应实施 SMS 防火墙过滤 TP-PID=127 的 SIM 工具包消息。在网络侧部署 SMS 过滤规则,阻断异常 TP-DCS 值的二进制 SMS。
结论
CitizenLab 2026 年报告揭示的不是一个孤立的协议漏洞,而是一个横跨十年、涉及数十个国家运营商基础设施的系统性 surveillance 生态。STA1 与 STA2 分别代表了两种互补的 covert surveillance 能力 —— 基于信令协议的远程定位与基于 SIM 卡的零点击终端渗透。两者的共同特征是利用全球电信信任模型的结构性弱点,将合法运营商标识与互联通道转化为隐蔽的攻击基础设施。
在没有源认证、可执行的互联控制、商业网络接入透明度与监管问责的情况下,移动网络将持续作为全球 covert espionage 的平台。行业各方需将信令安全从被动防御升级为主动工程化治理,方能遏制这一持续多年的系统性安全失败。
资料来源:The Citizen Lab, "Bad Connection: Uncovering Global Telecom Exploitation by Covert Surveillance Actors"(2026 年 5 月)