2026-04-25 05:17:48 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 公民实验室报告揭露两起长期电信监控行动，攻击者通过SS7/Diameter协议漏洞直接嵌入全球信令骨干网，伪装成合法运营商进行静默位置追踪和SIM卡劫持。报告详细分析STA1多协议切换攻击和STA2的SIMjacker漏洞利用手法，指出019Mobile、TangoNetworks等关键基础设施节点被滥用。建议运营商实施IR.21一致性验证、强制Diameter加密，并呼吁建立国际监管框架应对系统性安全威胁。 综合评分： 87 文章分类： 漏洞分析,威胁情报,技术标准,解决方案,政策法规

cover_image

漫游的间谍：商业监控如何利用全球电信网络追踪你我

原创

网空闲话网空闲话

网空闲话plus

2026年4月24日 07:45 北京

在小说阅读器读本章

去阅读

2026年4月23日，多伦多大学公民实验室（Citizen Lab）发布了一份题为《连接不良》的调查报告。这份由加里·米勒和斯旺特杰·兰格共同撰写的研究，首次将现实世界中的攻击流量与移动运营商的信令基础设施直接联系起来，揭露了两起独立的、持续多年的电信监控行动。与传统网络入侵不同，这些行动不依赖植入式间谍软件、不攻击终端设备、不诱骗用户点击链接。攻击者直接嵌入全球电信信令骨干网，以合法运营商的身份活动，将移动通信基础设施本身武器化为隐蔽的监控平台。公民实验室主任罗恩·迪伯特将其精准概括为：“他们就像全球电信生态系统中的‘幽灵运营商’。”

一、核心特征：与传统网络入侵的本质区别

如公民实验室报告所言：“这些攻击发生在由移动运营商、电信设备供应商和移动互联提供商组成的封闭生态系统中，安全研究人员很难接触到这些系统。”这种不透明性使得电信级监控成为间谍活动的理想温床。

二、攻击手法深度解析

2.1 不安全设计的根源

SS7协议是为受信任的运营商群体设计的，缺乏认证、完整性和加密机制。任何获得信令访问权限的行为者都可以向全球网络发送位置查询、用户状态请求等指令，而系统无法验证来源真伪。Diameter协议虽设计了TLS/IPsec加密和运营商认证，但实践中大多数运营商未能实施，继续沿用信任模型。此外，3G与4G网络的互操作性引入了“组合附着”漏洞，攻击者可在两种协议间无缝切换。

2.2 STA1：多向量、多国、多协议的持续位置跟踪

攻击时间线（2024年11月25日）：攻击开始于格林尼治标准时间10:39，针对一家中东移动运营商的“VVIP”用户（知名公司高管）。在近四小时内，攻击者交替使用SS7和Diameter协议，轮换来自柬埔寨（Seatel、QB Cadcomms）、莫桑比克（Tmcel）、瑞典（Telenabler AB）、意大利（TIM）、列支敦士登（FL1）、乌干达（Utel）、英国（Tango Networks）、以色列（019Mobile）、泰国（AIS）以及中国（中国联通）等国家和地区的至少11个运营商身份。

关键规避技术：

协议切换：SS7尝试被防火墙拦截后，立即转向Diameter IDR消息；再次受阻后，又重新使用SS7的anyTimeInterrogation命令，表现出极强的自适应能力。
路由记录篡改：Tango Networks UK的主机名cst001.epc.mnc053.mcc234.3gppnetwork.org被复制到Route-Record字段，违反了RFC 6733标准，隐藏了真正的第一跳节点。
身份伪造：攻击者使用AIS Thailand的主机名ideabpl1h.dea.epc.mnc003.mcc520.3gppnetwork.org，却配上中国联通的网络域epc.mnc001.mcc460.3gppnetwork.org，通过Syniverse IPX网络路由。这种跨运营商配对明确违反GSMA和3GPP标准，却成功让部分查询穿透了防火墙。
互连路径不匹配：攻击流量的实际入口互连提供商与运营商IR.21文件中公布的预期提供商不一致。例如，Seatel柬埔寨的流量本应通过Comfeng进入SS7骨干网，但实际观察到的入口却是Bioinformatics（OPC 4201/4215）。

历史活动规模：Cellusys遥测数据显示，至少从2022年11月起，相同的主机名格式和标识符就被用于攻击，累计超过500次位置追踪尝试。

2.3 STA2：SIM卡劫持与信令攻击的融合

攻击时间线（2025年2月11日）：攻击始于SS7 provideSubscriberInfo侦察（15:41），随后发送包含恶意二进制短信的mt-ForwardSM（15:45），最后转向Diameter AIR探测和IDR位置查询。

SIMjacker漏洞利用：该漏洞最初由ENEA于2019年披露。STA2发送的短信设置了特殊头部：

TP-PID = 127：指示“此消息是发给SIM卡的，不是给用户的”
TP-DCS = 22 (0x16)：指示“将其视为二进制代码，直接发送到SIM卡”

短信载荷包含S@T浏览器的字节码命令序列：

向手机发送Provide Local Information主动命令，获取当前连接的小区标识符、位置区码（LAC）、移动网络代码（MNC）和移动国家代码（MCC）
将这些位置数据与攻击者预设的二进制头部拼接
构造一条静默短信，将位置数据发送至攻击者控制的短信中心地址

整个过程零用户交互，手机无任何显示，SIM卡不留痕迹。目标设备被悄然变为隐蔽的位置追踪信标。

外泄路径：攻击者配置的短信中心地址为423790105651，该号码位于列支敦士登FL1运营商在其IR.21文档中公布的短信中心地址范围内（但多出一位数字，可能用作内部标识符）。短信发送方号码伪装为卢旺达Airtel的250730091970。瑞典Telenabler AB的全球标题467647531812被用作C2端点。公民实验室曾在2023年的报告中报道过Telenabler的全球标题租赁业务模式，而该地址在2023年10月至2025年4月期间被用于超过1700次SS7攻击，其中超过92%与位置追踪相关。

历史活动规模：STA2相关的防火墙遥测数据显示，从2022年10月至今，位置追踪尝试总数超过15,700次，其中Diameter请求从2022年的109次增长至2025年的2622次，SS7请求在2023年达到峰值9939次。

三、关键基础设施节点：监控的“门户”

调查揭露了三个反复充当监控入口和中转点的移动网络：

3.1 019Mobile（以色列）

品牌名“Telzar 019”，自称“以色列国际机场出入境漫游服务的唯一供应商”
BGP路由数据显示其IP前缀（AS51825）通过Partner Communications（AS12400）可达
其Diameter域名epc.mnc019.mcc425.3gppnetwork.org在IPX DNS中返回NXDOMAIN，但基础设施仍在信令生态系统中活跃
历史遥测显示至少从2022年11月起被用于监视活动

3.2 Tango Networks UK

2022年由英国Ofcom分配MNC 053/MCC 234
主机名cst001.epc.mnc053.mcc234.3gppnetwork.org可被权威IPX DNS成功解析，确认其为有效运营商控制的主机
从2022年11月至2024年1月反复出现在STA1的攻击路径中

3.3 Airtel Jersey / Sure（泽西岛）

位于海峡群岛泽西岛自治领地
《卫报》及调查新闻局此前的报道已将其与电信监控流量租赁活动关联
STA2的所有攻击都使用了相同的路由记录主机：dra1.je211.epc.mnc003.mcc234.3gppnetwork.org

运营商的回应：

019Mobile IT与安全主管Gil Nagar致函公民实验室，称“无法确认”报告中引用的主机名是否属于其网络节点
Sure首席执行官Alistair Beak对TechCrunch表示：“我们不会直接或故意地将信令访问权限出租给用于定位或跟踪个人的组织”，并称已实施“监控和阻止不当信令”的保护措施，任何滥用证据将导致服务立即暂停或永久终止
Tango Networks UK未回应置评请求

报告明确指出：“攻击中出现的运营商信令地址并不一定意味着运营商直接参与。”攻击者可通过第三方提供商、商业租赁安排或中介服务获得访问权限。

四、关联分析与归因线索

4.1 技术指纹的聚类

STA1：使用37-39位长随机数字的Diameter会话ID；在SS7交易标识符中使用近乎连续的数值（表明集中式C2平台生成）；反复使用Tango Networks和019Mobile作为入口。
STA2：将目标IMSI直接嵌入Diameter会话ID；使用主机名命名规则区分消息类型（hss1用于AIR探测，hss用于IDR位置查询）；所有攻击都通过同一泽西岛主机路由。

4.2 Fink Telecom Services的重叠

STA2的活动与瑞士商业监控供应商Fink Telecom Services（FTS）的标识符和模式高度吻合。历史攻击数据显示，与FTS相关的GT和Diameter标识符在相同日期针对相同目标发起攻击。Lighthouse Reports和彭博社此前的调查报道已揭露FTS是一家商业电信监控供应商。

4.3 地缘政治指向

公民实验室研究员加里·米勒在接受Recorded Future采访时表示：“所使用的技术是专门为了混淆来源而设计的，但是通过查看该流量的路由——这是注入到移动生态系统中的路由——我发现该流量最终会回到以色列。”材料4（TechCrunch）进一步指出，线索指向一家“总部位于以色列、拥有专业电信能力的商业地理情报提供商”。已知提供此类服务的以色列公司包括Circles（后被NSO集团收购）、Cognyte和Rayzone。

报告同时强调，本次分析并未将攻击直接归咎于特定政府或组织。然而，多项迹象表明存在支持国家情报活动的商业监控平台参与其中。

五、危害与系统性后果

5.1 对个人的侵害

针对高知名度人士（“VVIP”用户、公司高管）的持续位置追踪，时间跨度达数年
通过SIMjacker获取的小区级位置信息在城市精度可达1公里
完全绕过法律授权程序，无司法监督、无用户知情同意

5.2 对电信生态系统的侵蚀

全球电信互联建立在运营商之间的信任模型上，而商业监控供应商利用这种信任将其武器化。如报告所言：“移动网络建立在运营商之间紧密的信任模式之上，并被全球用户所依赖，而这种网络的持续使用引发了各国监管机构、政策制定者和电信行业对问责制、监督和全球安全的更广泛思考。”

5.3 监管盲区

信令骨干网是封闭生态系统，安全研究人员难以接触。即使运营商部署了信令防火墙，攻击者仍可通过不匹配的互连路径、伪造的运营商主机名以及IPX提供商筛选不严等漏洞穿透防御。Syniverse IPX网络允许带有AIS主机和中国联通网络域的不匹配消息在其网络中传输，暴露出全球IPX层筛选机制的严重缺陷。

六、防范与应对建议

6.1 技术层面

强制实施IR.21一致性验证：运营商必须验证入站信令消息的源运营商身份是否与其GSMA备案文件一致，拒绝任何不匹配。
全面启用Diameter安全机制：实际部署TLS/IPsec加密和运营商间认证，不再依赖过时的信任模型。
加强IPX级筛选：IPX提供商应拒绝携带不匹配网络标识符的信令消息，阻止路径操纵行为。
部署高级信令防火墙：能够检测跨协议攻击（SS7与Diameter切换）、异常TID序列、非标准会话ID格式等高级威胁。

6.2 监管与治理层面

信令访问租赁的透明度：运营商向第三方租赁信令标识符或基础设施的行为必须公开登记，并接受定期审计。
强制性遥测共享：建立行业范围的威胁情报共享机制，使运营商能够跨网络关联恶意信令模式。
国际规则制定：需要具有约束力的全球规则，禁止将电信信令基础设施用于未经授权的监控，并对违规运营商实施实质性制裁。
政府行动：美国联邦通信委员会（FCC）已于2024年启动对Diameter和SS7漏洞的调查；参议员罗恩·怀登也要求CISA就此提交报告。此类努力应持续推进并获得国际支持。

结语

公民实验室的《连接不良》报告将长期隐匿于电信信令层阴影中的监控活动首次详尽地暴露于公众视野。这不是关于某个软件漏洞或配置错误的故事，而是一个关于全球性基础设施因其根本设计缺陷和治理缺失而被系统性武器化的警示。

两个身份不明的攻击者——STA1和STA2——展示了截然不同但同样危险的技术路径：一个通过深度操纵信令协议和路由路径，在全球电信骨干网中隐匿穿行；另一个结合SS7侦察与SIM卡零点击漏洞，将用户的设备变为监控信标。他们共同揭示了移动通信安全最深的悖论：为了让用户在全球任何角落都能接通电话、收发短信，运营商必须彼此信任；而正是这种信任，在没有有效验证和问责机制的情况下，成为了全球秘密监控活动的温床。

如报告作者所言：“尽管公众多次举报，但这种活动仍在肆无忌惮地进行，且未受到任何惩罚。”电信网络是全球公民社会的支柱，当信任被滥用于监视时，其后果不仅限于个人受害者，而是波及全球每一个依赖移动通信的用户。解决这一问题，需要的不仅是更好的防火墙，更是对整个电信治理架构的根本性反思和重塑。

参考资源

1、https://citizenlab.ca/research/uncovering-global-telecom-exploitation-by-covert-surveillance-actors/

2、https://therecord.media/surveillance-companies-exploiting-telecom-systems-to-track-location

3、https://cyberscoop.com/surveillance-campaigns-use-commercial-surveillance-tools-to-exploit-long-known-telecom-vulnerabilities/

4、https://techcrunch.com/2026/04/23/surveillance-vendors-caught-abusing-access-to-telcos-to-track-peoples-phone-locations-researchers-say/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话网空闲话《漫游的间谍：商业监控如何利用全球电信网络追踪你我》