Когда-то очень давно LTE казался почти неприступным бастионом в мире мобильной связи. Но все что-то выглядит неприступным, таковым абсолютно точно не является. Атака IMP4GT (IMPersonation Attacks in 4G NeTworks) — это очередная атака на сети LTE, которая позволяет перехватывать и изменять зашифрованный пользовательский трафик а именно IP пакеты без нарушения стандартных механизмов аутентификации, это без преувеличения, тот случай, когда ты смотришь на сложную криптографию и говоришь: "Нахуй ломать дверь, если можно просто открыть окно."
В процессе написания этой статьи у меня в голове было несколько целей, во первых полноценно понять как работает IMP4GT, и возможно завести дальнейшее обсуждение этой темы, так как на просторах интернета, информации про эту атаку за исключением передроченых институтских PDF-ок в виде какого то абстрактного мессива, без разумеется нормального подробного описания самого процесса, просто нет.
Потоковый шифр XOR, который используется в LTE, позволяет не только шифровать, но и модифицировать данные, оставаясь в рамках "корректного" зашифрованного текста. Это как сменить дорожный знак "Остановка запрещена" на "Тут парковка бесплатна", но так, чтобы он выглядел официально было по феншую.
Главное здесь — обмануть LTE-сеть, заставив её шифровать или расшифровывать данные для злоумышленника. Эта аттака позволяет:
З описанного видеоряда можно выделить:
Всех знающих, прошу войти в дискуссию этой темы и поделится вашим мнением. Моя цель по окончанию сбора информации, создать PoC и успешно повторить атаку.
IMP4GT напоминает, что даже сложные криптосистемы имеют слабые места, если проектировщики забыли о важности целостности данных. Атака показывает, что стандарты безопасности должны учитывать не только конфиденциальность, но и защиту от модификаций.
В процессе написания этой статьи у меня в голове было несколько целей, во первых полноценно понять как работает IMP4GT, и возможно завести дальнейшее обсуждение этой темы, так как на просторах интернета, информации про эту атаку за исключением передроченых институтских PDF-ок в виде какого то абстрактного мессива, без разумеется нормального подробного описания самого процесса, просто нет.
Как всё началось: "чудеса" шифрования LTE
Начнем з лирического отступления. Когда инженеры ботаники проектировали LTE, они уделили много внимания шифрованию и аутентификации. Control Plane Traffic действительно защищён по всем фронтам: он шифруется и имеет защиту целостности, чтобы никто не подделал важные сигналы вроде хендовера или проверки аутентификации. Но вот User Plane Traffic (пользовательская часть), то есть клиент DNS-запросы, HTTP-пакеты и другой трафик, оказался чем-то вроде "доверчивого ребенка". Он шифруется, но... без проверки целостности! Кто угодно может изменить данные в зашифрованном виде, не нарушив общую криптографическую модель.Потоковый шифр XOR, который используется в LTE, позволяет не только шифровать, но и модифицировать данные, оставаясь в рамках "корректного" зашифрованного текста. Это как сменить дорожный знак "Остановка запрещена" на "Тут парковка бесплатна", но так, чтобы он выглядел официально было по феншую.
В чем Суть IMP4GT?
IMP4GT атакует двумя способами:- Uplink-атака: когда аттакующий под видом пользователя отправляет пакеты в сеть.
- Downlink-атака: когда он наоборот прикидываеться сетью, чтобы отправить пакеты на устройство жертвы.
Главное здесь — обмануть LTE-сеть, заставив её шифровать или расшифровывать данные для злоумышленника. Эта аттака позволяет:
- Похищение IP-адрес жертвы: Да, в интернете будут думать, что это именно Вася Пупкин смотрит подборку
подстав и кобыллайфхаков при работе з Arch Linux. - Спуфинг, стриппинг, обход фаерволла и
борделинг:чтобы без особых препятсвтвий можно было отправлять вредоносный трафик в сторону жертвы и всячески им манипулировать.
Экспериментальная часть а конкретнее ее отсутствие
З описанного видеоряда можно выделить:
- Мобилка была помещёна в экранирующую коробку, чтобы исключить подключение к другим базовым станциям.
- USRP B210 настроен на частоту LTE, используемую оператором.
- Модифицированный srsRAN использовался для создания эмуляции базовой станции (eNodeB) с параметрами настоящей сети, включая Cell ID и прочие конфигурации
- Базовая станция, эмулируемая через srsRAN, была доработана для внедрения функций MITM.
Реализация Uplink-атаки
- Подьем своей базовой станции: SDR функционировал как MITM, перехватывая пакеты между смартфоном и настоящей базовой станцией. Были настроены параметры NAS и RRC, чтобы устройство прошло процедуру подключения и аутентификации.
- Модификация пакетов: Изменённый пакет отправляется через USRP в сторону реальной LTE-сети.
- Отправка изменённых данных в сеть: Изменённый пакет отправлялся через ЮСРП-шку обратно в сеть. Базовая станция принимала его без ошибок, поскольку целостность трафика не проверялась. Ресерчер обратился к веб-сервису с использованием IP-адреса жертвы, подменяя отправляемые пакеты и перехватывая запросы
Реализация Downlink-атаки
- Подьем своей базовой станции: SDR с модифицированным srsRAN эмулировал eNodeB с параметрами настоящей сети. Смартфон по классике и по простоте душевной «поверил», что подключён к легитимной вышке.
- Модификация пакетов: В зашифрованный поток данных был добавлен вредоносный код. Аттакующий прямо попадает в сетевой интерфейс телефона, обходя фаерволл провайдера.
- Обход сетевых фильтров: Фильтры оператора не смогли обнаружить шо че то не так, так как инъекция соответствовала шифрованию и структуре пакетов LTE.
Всех знающих, прошу войти в дискуссию этой темы и поделится вашим мнением. Моя цель по окончанию сбора информации, создать PoC и успешно повторить атаку.
IMP4GT напоминает, что даже сложные криптосистемы имеют слабые места, если проектировщики забыли о важности целостности данных. Атака показывает, что стандарты безопасности должны учитывать не только конфиденциальность, но и защиту от модификаций.
