GSM Зеродей в GSM 4G / LTE

[gliderexpert]

GitHub - jhonnybonny/LTE_HACKRF: Running LTE BTS with HackRF One

Running LTE BTS with HackRF One. Contribute to jhonnybonny/LTE_HACKRF development by creating an account on GitHub.

github.com

Если это Ваш гит, укажите пожалуйста в README ссылку на источник, что взято с форума XSS.

jhonnybonny, please add copyright "this info from forum xss.pro" to README.md. Thank you for sharing my file! )

 

[tenac1ous]

Посмотреть вложение 53446

Пока китайцы передирают USRPшки ради удешевления своих СМС-рассыльщиков - у меня получилось заставить работать 4G/LTE на HackRFе, устойчиво. Для задач редиректа на 2g и рассылки смс/пушей, достаточно обычного hackrf, никаких модификаций по железу не требуется - искажения и низкую разрядность передающего тракта получилось победить программным способом.
Режимы работы наподобие IMSI Catcher'а (в диапазоне lte) тоже возможны, но тут уже приходится залезать в хакрф паяльником, но не очень глубоко.

Кто хочет потестировать? Нужен хакрф, комп с линуксом, любой смартфон. Ничего паять не придется )
Скачиваете zip файл прикрепленный к сообщению, разархивируете.
Ставите дрова для hackrf (если их еще нет) apt-get install hackrf
Подключаете hackrf к компу, запускаете
hackrf_transfer -t srslte.bin -f 2649800000 -a 0 -s 15360000 -R -x 45
На смартфоне запустите просмотр всех доступных сетей (обычно это настройки - настройки SIM карты - выбор оператора - поиск сети).
Если все заработало - там должна появиться еще одна сеть 4G TestNet PLMN 00101
Обязательно напишите что получилось )

Можно подробнее узнать, есть ли возможность управления данной сетью (посылать запросы, и тд) и какие конкретно модификации пайкой нужны для того что бы можно было использовать хакрфр как кетчер

 

[gliderexpert]

Спасибо jhonnybonny ( GIT ) за ссылку на форум, надеюсь это поможет привлечь больше специалистов к обсуждению интересных тем и задач!

Можно подробнее узнать, есть ли возможность управления данной сетью (посылать запросы, и тд) и какие конкретно модификации пайкой нужны для того что бы можно было использовать хакрфр как кетчер

Вариант без модификаций - позволяет только передавать информацию (sib пакеты). Этого достаточно для редиректа и рассылки push-уведомлений.
Для работы в режиме TDD (и полноценного imsi catcher'а) - требуется замена антенных коммутаторов на более быстродействующие. Вариант сразу скажу - не для новичка, поэтому эксперименты лучше начинать с режиме FDD используя USRP или Лайм.

 

[tenac1ous]

Спасибо jhonnybonny ( GIT ) за ссылку на форум, надеюсь это поможет привлечь больше специалистов к обсуждению интересных тем и задач!


Вариант без модификаций - позволяет только передавать информацию (sib пакеты). Этого достаточно для редиректа и рассылки push-уведомлений.
Для работы в режиме TDD (и полноценного imsi catcher'а) - требуется замена антенных коммутаторов на более быстродействующие. Вариант сразу скажу - не для новичка, поэтому эксперименты лучше начинать с режиме FDD используя USRP или Лайм.

А каким конкретно образом можно передавать system information block сообщения, есть какой либо пример ?

 

[swap3r]

Отпишусь.
Проверено на нескольких хакрфах с различными антеннами. Все работаетъ

 

[gliderexpert]

А каким конкретно образом можно передавать system information block сообщения, есть какой либо пример ?

Скачивайте SRSLte или SRSRan, смотрите соответствующие исходники - в них есть примеры формирования и генерации всевозможных sib пакетов.

Отпишусь.
Проверено на нескольких хакрфах с различными антеннами. Все работаетъ

Ого, очень круто, спасибо за фидбек! Значит ХАКРФы более менее одинаковы по своим калибровкам и искажениям, чуть-чуть подождем может еще кто отпишется и можно переходить к следующему этапу школьной программы )

 

[tenac1ous]

Скачивайте SRSLte или SRSRan, смотрите соответствующие исходники - в них есть примеры формирования и генерации всевозможных sib пакетов.


Ого, очень круто, спасибо за фидбек! Значит ХАКРФы более менее одинаковы по своим калибровкам и искажениям, чуть-чуть подождем может еще кто отпишется и можно переходить к следующему этапу школьной программы )

Все работает на hackrf з алика, сеть появилась

 

[gliderexpert]

Одинаковая LTE БСка запущена на Lime SDR и на HACK RF. Режим TDD, без дополнительных усилителей, устройство подключено напрямую к порту анализатора спектра через аттенюатор 20dB.
Настройки БСки, анализатора спектра, аттенюаторов - абсолютно одинаковые. Отличается только подключенный в USB порт радиомодуль.
Сеть - сервисная TestNet MCC = 001 MNC = 01 .

И... результат не в пользу LimeSDR! У HackRF спектр намного чище, побочных излучений - меньше.
Почет и уважение разработчикам радиочастотного тракта HackRFа.

Настройки анализатора спектра
- Центральная частота 2649.8МГц
- Диапазон измерения 25МГц
- Разрешение по частоте 10кГц
- Режим отображения - запись пиковых значений
- Включен аттенюатор 20дБ (шкала амплитуды уже с учетом этого значения)

Спектр LimeSDRа:

Спектр HackRFа:

 

[zagon]

А варик с древней моторолкой как думаете воркает ?

Запускаем GSM-сеть у себя дома

В данной статье я хотел бы подробно описать, как мне удалось запустить собственную GSM сеть при помощи Osmocom и скромных вложениях в оборудование. Инструкции на официальном сайте устарели и мне...

habr.com

 

[gliderexpert]

А варик с древней моторолкой как думаете воркает ?

Для экспериментов с сетью 2G - моторола до сих пор актуальна и является хорошим дешевым вариантом, чтобы начать изучение стека GSM.

 

[gliderexpert]

Обновление по поводу HackRF vs. LTE.
Похоже что демонстрационную сеть можно запустить только в варианте HackRF + Portapack или с внешним высокостабильным генератором 10МГц.

Стабильность встроенного генератора опорной частоты - 20ppm, т.е. для частоты около 2,4ГГц - ошибка может достигать 48кГц ( калькулятор https://www.sitime.com/ppm-hz-calculator ) .
Соответственно, при использовании встроенного кварца - телефон не будет видеть сеть.
Измерения на анализаторе модуляции.
Со встроенным генератором (обратите внимание что на QPSK созвездии - шум):

(ошибка по частоте 5кгц)
Измерения с подключенным Portapack (китайцы заявляют что его кварц обладает стабильностью 0.5ppm):

Ошибка по частоте уменьшилась и стала 1.7кгц, но это все равно очень много.

QPSK созвездие собирается только с подключенным Portapack-ом, и то криво:

Умный анализатор модуляции подсвечивает параметр "частота" красным, это понятно - оно выходит за границы разрешенных стандартом LTE, отклонений. Получается, для надежной работы HackRFа в качестве LTE-передатчика, нужен внешний генератор опорной частоты, со стабильностью около 0.1ppm.

 

[gliderexpert]

Получается, для надежной работы HackRFа в качестве LTE-передатчика, нужен внешний генератор опорной частоты, со стабильностью около 0.1ppm.

Неожиданно - тема бюджетных редиректоров 4G->2G, из HackRFов - получает продолжение. Нашлись заинтересованные заморские коллеги, которые помогли мне буквально за пару дней протащить мимо таможни целую пачку HackRFов и парочку прекрасных американских термостатированных опорных генераторов, класса Military/Aerospace grade (которые до сих пор под "no export of this item") , за что им огромное спасибо! Очень приятно взаимодействовать с людьми, когда они знают что хотят, и имеют возможность работать быстро.

Всего в проекте предусмотрено 10шт HackRFов (на фото 8, еще 2 уже на тестовом стенде который я "светить" на форуме пока не хочу). Суммарно это дает 10 частотных диапазонов с шириной полосы 20МГц в каждом из них. т.е. это весь LTE и WCDMA. Под 5G скорее всего будет отдельное изделие.
В качестве задающего генератора - термостатированный кварц. 10МГц, стабильность частоты 1*10^-11, т.е. лучше 1 Герца.
Управление - при помощи одноплатного ПК на процессоре Rockchip RK3399, подключаемого через Ethernet порт к ноутбуку либо планшету. Надеюсь что он будет успевать по скорости работать с 10шт SDRами одновременно.

 

[gliderexpert]

Радиочастотное планирование для выбора диапазонов работы редиректора

Для успешного понижения сети с защищенного протокола 4G на уязвимый 2G - нужно "прицельно" ставить помехи (обычные, или "интеллектуальные", включающие 2G частоту Вашего эмулятора БС, как описано в первом сообщении темы) на диапазонах работы базовых станций операторов. При этом мы должны закрыть все частотные диапазоны, но не создать помех для 2G - иначе заглушим свой собственный IMSI catcher.

Подсчитаем, сколько частотных каналов - и каких диапазонов, может потребоваться.
Понятно, что их количество будет зависеть от качества LTE/3G покрытия в локации, где планируется проверка сотовой сети на наличие уязвимостей.
А т.к. заранее никто не знает, где может возникнуть такая необходимость - посмотрим вариант в центре крупного города, и на расстоянии в 50км от окраины города. Очевидно, что чем дальше удаляемся - тем покрытие будет становиться только хуже.

Идеальное место для изучения GSM - г.Москва, пересечение ул. Большая Лубянка и ул. Лубянский пр-д. По моим наблюдениям, именно в данной локации операторы сетей связи имеют хорошие покрытие, плюс транспортная доступность, наличие площади с лавочками где можно разместить оборудование, кафешки - в общем, сплошные плюсы - рекомендую!

Давайте посмотрим что там есть интересного. Для этого воспользуемся сайтом CellMapper . Начнем анализ качества покрытия - с оператора Mega, работающего в диапазоне 4G. Интерфейс карты нужно настроить так:

Появились точки, соответствующие примерным координатам расположения БС выбранного оператора. Кликаем на любую из них:

Открывается длинный список секторов базовой станции, с частотами и каналами. Нас интересуют частоты DownLink и номер канала EARFCN.
Выписываем их в тетрадочку.
Кликаем на другую БС. Выписываем. Проверяем все БСки в интересующей нас локации. Некоторые частоты будут совпадать, некоторые - отличаться.
После того как изучили все БС диапазона 4G, переключаемся в меню на 3G - и переписываем аналогичным методом все пары UARFCN/downlink freq 3ж диапазонов.

Так как оператор сотовой связи у нас не один - то повторяем процедуру для каждого из операторов - составляя индивидуальную таблицу частот.

По Лубянке у меня получилась такая картина - используя данные с сайта cellmapper:

Мегафон
LTE
2850 - 2630 MHz, 3048 - 2649.8 MHz
1602 - 1845.2 MHz
6350 - 811 MHz, 6338 - 809.8 MHz
225 2132.5 MHz

3G
10687 - 2137.4 MHz, 10662 - 2132.4 MHz
2938 - 927.6 MHz

МТС
LTE
38100 - 2605 MHz, 3200 - 2665 MHz
1802 - 1865.2 MHz
375  - 2147.5 MHz

3G
10713 - 2142.6 MHz, 10738 - 2147.6 MHz, 10762 - 2152.4 MHz
2987 - 937.4 MHz

BEELINE
LTE
3300 - 2675 MHz
525 - 2162.5 MHz
1301 - 1815.1 MHz
6413 - 858.3 MHz

3G
3012 - 942.4 MHz, 3036 - 947.2 MHz

После составления списка - я взял свой R&S TSMW и перепроверил полученную информацию фактическими измерениями - в общих чертах - все совпало, но некоторые частоты оказались неактивными. Видимо, это зависит от времени суток и от фактического покрытия БСок. Измерения проводились в вечернее время и чуть севернее, ближе к Рождественскому бульвару.
Такую же картину я составил по локации, которая находится в 50км от МКАД:

Мегафон
4G
2850 - 2630 MHz, 3048 - 2649.8 MHz
1424 - 1827.4 MHz, 1446 - 1829.6 MHz

3G
3012 - 942.4 MHz

Видно что БС сильно меньше - что понятно, меньше людей - меньше потребность в широкополосных каналах.

Основной фактор, который нужно учитывать при построении редиректора - количество одновременно запускаемых eNodeB.
В данном случае, получается
2,6ГГц - 2шт
2.1ГГц - 1шт
1,8ГГц - 2шт
900МГц - 1шт
800МГц -2шт

Т.е. для того чтобы гипотетически поставить LTE раком прямо на Лубянке - нам нужно 8шт eNodeB, т.е. в простом случае - 8шт SDRов.
В более сложном варианте - можно запускать несколько enodeb на одном sdr'е, но с hackrf'ом это не получится сделать - нужен usrp.
К enodeb добавляются еще 3G базы, на которые мобильный телефон обязательно перескочит как только станет обделен вниманием LTE баз.

По ним расклад такой -
2100МГц - 3шт
900МГц - 2шт

т.е. еще 5шт передатчиков.
5 + 8 = 13шт устройств для гарантированного даунгрейда телефона с LTE на 2G в данной локации. Это если принять что каждый SDR будет передавать сигнал только на своей частоте.
На практике - если отклонения и будут, то только в меньшую сторону. Но вот если не учесть или недодавить какой-нибудь band, то может возникнуть проблема с рандомным соскакиванием телефона с 2g обратно в 4g или 3g.

Именно поэтому для устойчивой работы редиректора я предлагаю использовать "пачку" из дешевых HackRFов, которых нужно не меньше 10шт, а лучше 13шт. На 8шт запускаем eNodeB, а еще на 5шт - UMTS.
Этого будет достаточно для даунгрейда сети какого-то одного из операторов.

В данном сообщении - центр Москвы приведен как пример одной из самых "сложных" конфигураций частот. Если Вы захотите использовать устройство для редиректа в другом месте - нужно провести такое же мини-исследование. Частоты и количество диапазонов везде разное, универсального решения не существует.

 

[lifeofhonzi]

на одном широко известном форуме месяц назад выяснили, что визуал студия сливает исходники.


Посмотреть вложение 52936

Can you translate the forum posts to English?

 

[Dread Pirate Roberts]

Can you translate the forum posts to English?

one guy wrote that he has asked ChatGPT to write some highly specialized code (expecting ChatGPT would fail?) but got a copy-paste code from his previous job, where they were not using Github or other public services but a local Gitea server.
so he decided that this code was leaked to Microsoft by the Visual Studio used by his colleagues.

 

[Dread Pirate Roberts]

кастую gliderexpert в этот чят

Опубликован инструментарий LTESniffer для перехвата трафика в сетях 4G LTE

Исследователи из Корейского института передовых технологий опубликовали инструментарий LTESniffer https://github.com/SysSec-KAIST/LTESniffer , позволяющий в пассивном режиме (без отправки сигналов в эфир) организовать прослушивание и перехват трафика между базовой станцией и сотовым телефоном в сетях 4G LTE. Инструментарий предоставляет утилиты для организации перехвата трафика и реализацию API для использования функциональности LTESniffer в сторонних приложениях.

LTESniffer обеспечивает декодирование физического канала PDCCH (Physical Downlink Control Channel) для получения информации о трафике от базовой станции (DCI, Downlink Control Information) и временных идентификаторах сети (RNTI, Radio Network Temporary Identifier). Определение DCI и RNTI в дальнейшем позволяет декодировать данные из каналов PDSCH (Physical Downlink Shared Channel) и PUSCH (Physical Uplink Shared Channel) для получения доступа ко входящему и исходящему трафику. При этом LTESniffer не занимается расшифровкой зашифрованных сообщений, передаваемых между мобильным телефоном и базовой станцией, а предоставляет доступ только к передаваемой в открытом виде информации. Например, без шифрования передаются сообщения, отправляемые базовой станцией в широковещательном режиме, и начальные сообщения соединения, что позволяет собирать сведения о том, с какого номера, когда и на какой номер были звонки).

Для организации перехвата требуется наличие дополнительного оборудования. Для перехвата трафика только от базовой станции достаточно программируемого приёмопередатчика (SDR) USRP B210 с двумя антеннами, стоимостью около $2000. Для перехвата трафика от мобильного телефона к базовой станции требуется более дорогая SDR-плата USRP X310 с двумя дополнительными приёмопередатчиками (стоимость комплекта около $11000), так как для пассивного сниффинга пакетов, отправляемых телефонами, требуется точная синхронизация времени между отправляемыми и принимаемыми кадрами и одновременный приём сигналов в двух разных диапазонах частот. Для декодирования протокола также требуется достаточно мощный компьютер, например, для анализа трафика базовой станции со 150 активными пользователями рекомендована система CPU Intel i7 и 16ГБ ОЗУ.

Основные возможности LTESniffer:

Декодирование в реальном режиме времени исходящих и входящих управляющих каналов LTE (PDCCH, PDSCH, PUSCH).
Поддержка спецификаций LTE Advanced (4G) и LTE Advanced Pro (5G, 256-QAM).
Поддержка форматов DCI (Downlink Control Information): 0, 1A, 1, 1B, 1C, 2, 2A, 2B.
Поддержка режимов передачи данных: 1, 2, 3, 4.
Поддержка дуплексных каналов с частотным разделением (FDD).
Поддержка базовых станций, использующих частоту до 20 MHz.
Автоматическое определение используемых схем модуляции входящих и исходящих данных (16QAM, 64QAM, 256QAM).
Автоматического определение настроек физического уровня для каждого телефона.
Поддержка LTE Security API: маппинг RNTI-TMSI, сбор IMSI, профилирование.

 

[gliderexpert]

кастую gliderexpert в этот чят

круто, если бы не
LTESniffer не занимается расшифровкой зашифрованных сообщений, передаваемых между мобильным телефоном и базовой станцией, а предоставляет доступ только к передаваемой в открытом виде информации.

Но для отладки своей собственной LTE базы с известными ключами шифрования - прикольный софт.

Подумал и дописал - используя этот софт можно упростить процесс добывания imsi интересующего абонента. Для последующей атаки в 2g. Клёво.

 

[jsaw]

LTESniffer не занимается расшифровкой зашифрованных сообщений, передаваемых между мобильным телефоном и базовой станцией, а предоставляет доступ только к передаваемой в открытом виде информации.

Так еще с той войны (а может и с позапрошлой) вроде как сама мета чуть ли не ценнее содержимого, нет?)
Кто, кому и когда, с какой периодичностью, какие паттерны, длительность сообщений/пакетов/звонков. В моем диванном понимании так работает военная и полицейская аналитика (ну то есть должна, по хорошему) И первые СОРМы вроде только сами факты звонков ловили

 

[Californium]

Бобик сдох, по крайней мере на Android:

https://4pda.to/2023/08/09/416737/android_14_pozabotitsya_o_bezopasnosti_sotovoj_svyazi_vot_kakie_mery_vnedryayutsya/

 

[gliderexpert]

Ничего не сдох - в 14 андроиде по умолчанию все так же включен 2g . А при желании его и раньше можно было выключить.
К тому же все самое "вкусное" - как правило в айфонах.
Тем умельцам которые выключают 2g - можно просто погасить связь. Уверяю, через пол-дня без мобильной связи, они ставят ВСЕ галочки лишь бы заработала любимая ТГшечка и ВКшечка.

По поводу "нулевого шифрования" - эта история и так не актуальна уже больше года. Дольше всех продержался МТС, но и он год назад сдался и теперь с a5/0 в свою сеть не пускает. Что собственно ни на что не повлияло - кому было сильно нужно - дешифраторами обзавелись уже давно. Стойкость всех этих A5 порядка 0.5 секунды .

Вот когда на уровне оператора 2g полностью заблочат, тут можно будет режим паники включать )