GSM SMS-перехватчик

[Kelzi]

Я бы порекомендовал начать с другого - улучшить свои навыки работы с информацией и ее поиском. Почитать в целом про организацию сетей GSM. Нет, я ни в коем случае не "посылаю в гугл". Это другое. Дело тут вот в чем - БС, это довольно сложное с точки зрения программ, устройство. Представьте, что Вам кто-то прямо сейчас просто подарил готовую и настроенную БСку. Вот Вы ее включили, на ней засветились лампочки "Ready" и на Ethernet-интерфейсе появились какие-то открытые порты. Что Вы будете делать с ней делать дальше? Вот тут то и нюанс, для "входа" в тему вокруг GSM - нужно сначала разобраться как работают сотовые сети, хотя бы приблизительно - а после этого Вы с удивлением обнаружите, что "собрать" собственную БСку на мотороле, совсем не сложно, т.к. все нужные знания Вы уже получите. Поэтому, я бы порекомендовал сначала разобраться с самой сетью, потом попробовать запускать эмуляторы БС (осмоком такое умеет, железо паять не нужно, просто программная эмуляция всех устройств) . И, если будут возникать вопросы - однозначно не стесняться спрашивать! На хороший вопрос по любимой теме, мне всегда приятно ответить )

Кстати, спасибо Вам за отличную идею - Вы натолкнули меня на мысль сделать подборку материалов по GSM'у что называется "от А до Я", со ссылками на правильные статьи и т.д. Это намного более полезно чем перепечатывать в 1000 раз с хабра "гайд по сборке бс на мотороле" . Займусь.

Еще один комментарий - да, я знаю что производятся эмуляторы БС, которые требуют от оператора минимального участия, там чуть ли не волшебная кнопка "прочитать смс", очень много всего автоматизировано. К сожалению, open-source сборок подобного программного обеспечения, не существует.




Of course yes, but there some physical limitation about weigth of system if the station work on 4G LTE bands. If you need such device, i think - much more cheaper buy some commertialy-available product from PKI or similar company , compared to funding research and manufacturiing of "diy" prototype.

Спасибо большое за грамотный и разжёванный ответ и советы, а подборка материала по GSM, была бы очень кстати.

 

[lifeofhonzi]

Я бы порекомендовал начать с другого - улучшить свои навыки работы с информацией и ее поиском. Почитать в целом про организацию сетей GSM. Нет, я ни в коем случае не "посылаю в гугл". Это другое. Дело тут вот в чем - БС, это довольно сложное с точки зрения программ, устройство. Представьте, что Вам кто-то прямо сейчас просто подарил готовую и настроенную БСку. Вот Вы ее включили, на ней засветились лампочки "Ready" и на Ethernet-интерфейсе появились какие-то открытые порты. Что Вы будете делать с ней делать дальше? Вот тут то и нюанс, для "входа" в тему вокруг GSM - нужно сначала разобраться как работают сотовые сети, хотя бы приблизительно - а после этого Вы с удивлением обнаружите, что "собрать" собственную БСку на мотороле, совсем не сложно, т.к. все нужные знания Вы уже получите. Поэтому, я бы порекомендовал сначала разобраться с самой сетью, потом попробовать запускать эмуляторы БС (осмоком такое умеет, железо паять не нужно, просто программная эмуляция всех устройств) . И, если будут возникать вопросы - однозначно не стесняться спрашивать! На хороший вопрос по любимой теме, мне всегда приятно ответить )

Кстати, спасибо Вам за отличную идею - Вы натолкнули меня на мысль сделать подборку материалов по GSM'у что называется "от А до Я", со ссылками на правильные статьи и т.д. Это намного более полезно чем перепечатывать в 1000 раз с хабра "гайд по сборке бс на мотороле" . Займусь.

Еще один комментарий - да, я знаю что производятся эмуляторы БС, которые требуют от оператора минимального участия, там чуть ли не волшебная кнопка "прочитать смс", очень много всего автоматизировано. К сожалению, open-source сборок подобного программного обеспечения, не существует.




Of course yes, but there some physical limitation about weigth of system if the station work on 4G LTE bands. If you need such device, i think - much more cheaper buy some commertialy-available product from PKI or similar company , compared to funding research and manufacturiing of "diy" prototype.

Under access to SS7 and one of these machines, it is truly possible to drive around with one of these big machines and redirect SMS whenever you want. Or with SS7 access on SSH reverse shell with access to a modified PBX when it comes to modified SIP instructions, you can intercept SMS in the wild up to 5g from home, and you don't need to drive around unless you feel like it?

 

[gliderexpert]

Hi! I dont have access to ss7, so i use hardware a5/1 deciphering unit for extracting KC and machine should be in the same location area (LAC) of victim.

 

[lifeofhonzi]

Some guy named Cyberjagu and LongPig was selling an SS7 0day RCE exploit that has to be installed at the PBX station by a Telecom engineer, it's premise is in giving you SSH access to a reverse shell to run modified SIP instructions to take advantage of SS7 using only the phone numbers you wish to involve in interception, the procedure for installation and use is long and tedious supposedly. Have you spoke with them on something like this? What do you think of it, if it is real of course. I don't think it is after all I haven't spent money on it.

Hi! I dont have access to ss7, so i use hardware a5/1 deciphering unit for extracting KC and machine should be in the same location area (LAC) of victim.

 

[gliderexpert]

I think this is can be real, but i prefer to spent money to my own hardware - this is much more robust method of interception. Hardware basestation not connected to any internet or ss7-like network, so it's super anonymous. "Hardware BTS" not limit us by mapfilterint and etc. security systems on cellular provider.

Also, I am much more "radio-hardware" engineer than ss7 network admin, this is another reason why I build such machines )

 

[th3tr0ll]

Some guy named Cyberjagu and LongPig was selling an SS7 0day RCE exploit that has to be installed at the PBX station by a Telecom engineer, it's premise is in giving you SSH access to a reverse shell to run modified SIP instructions to take advantage of SS7 using only the phone numbers you wish to involve in interception, the procedure for installation and use is long and tedious supposedly. Have you spoke with them on something like this? What do you think of it, if it is real of course. I don't think it is after all I haven't spent money on it.

Total bullshit.
Check the comment left by sidviscous under his sale thread.
As far as I remember it was discussed, in the end, as an SIP SS7 gateway which did, infact, not operate at the carrier level

Edit: comment left by one of the buyers took from /threads/64563/page-2

Hello. The arbitration ended with a refund. The seller was unhelpful. This is his right. As he stated (and could state more clearly), he does not provide any sort of support beyond giving you the panel. This is a sale of access alone. That said, a knowledgeable friend indicated that the SS7 functions were not. authentic and that the panel was more or less just for SIP trunking. I would look forward to the seller addressing these concerns, but the seller is mostly unwilling to address much of anything at all. Ultimately, and until proven otherwise, I do not believe this panel to fulfill its promises, and would advise those looking for SS7 capabilities around SMS and SMS interception to look at other options.

Inb4 gliderexpert these articles are just pure gold.
I'm not able to understand everything also due to translator issues, but it's a pleasure to see competent people like you share this kind of content to the community.

 

[lifeofhonzi]

Total bullshit.
Check the comment left by sidviscous under his sale thread.
As far as I remember it was discussed, in the end, as an SIP SS7 gateway which did, infact, not operate at the carrier level

Edit: comment left by one of the buyers took from /threads/64563/page-2



Inb4 gliderexpert these articles are just pure gold.
I'm not able to understand everything also due to translator issues, but it's a pleasure to see competent people like you share this kind of content to the community.

I tried contacting sidvicious for the SS7 manual he supposedly received from LongPig as to confirm what he was selling was real, he never sent it. The manual would confirm entirely if the exploit Cyberjagu is selling is real or not.

 

[th3tr0ll]

I tried contacting sidvicious for the SS7 manual he supposedly received from LongPig as to confirm what he was selling was real, he never sent it.

Then I would suggest to put your money in escrow and try the product which is still for sale.
Other trustable persons confirmed that LongPig A.K.A. LarryLuffer is just an Italian drug-addict with the "I-Know-And-Have-Everything" disease and could have worked for LEs

Good luck

P.S: I would suggest to continue this chat in our PMs in case, so we don't flood the thread of OP.

 

[progVW]

ThreadMegaUpdate. Проект закрыт.

Создав данную тему (и приступив к сборке одной из версии SDR-комплекса) примерно год назад - я дал обещание в процессе сборки конструкции, публиковать фотографии и описания, так сказать - процесса.
К сожалению, я нарушил это обещание, т.к. все пошло не по плану - RU vs. UA, сложности с поставками компонентов, свободными финансами на закупку подорожавшего в 3 раза оборудования, и так далее. В итоге первоначальный "проект" системы приходилось постоянно менять, возникали и решались какие-то сложности.
В общем, не до ведения темы было, тут уж прошу меня извинить.

На сегодняшний день - прошло примерно 3 месяца с того момента, как я поставил жирную точку в этом проекте, твердо решив для себя считать его завершенным. Напомню, изначально устройство планировалось быть переносной системой для поиска и проверки возможности эксплуатации уязвимостей в LTE/GSM сетях, разумеется - исключительно в тестовых зонах и конечно же с согласия оператора связи.

Напишу немного про то, что за устройство получилось. Итак, концепция после многочисленных переработок - в итоге стала примерно такой:
Посмотреть вложение 56031

То есть, ничего особенного - так называемый (по терминологии США) - NiTB, NetworkInTheBox. То есть, сотовая сеть в одной коробке.
В данном случае, две сети - LTE и GSM, но работающие в одном частотном диапазоне 1800МГц - это связано с тем, что дуплексеры на 900МГц имеют очень большой размер и устройство из переносного, стало бы перевозимым .
Кстати, знаете - в чем разница? У переносного устройства есть ручки для бойцов, которые будут бегать с ним, а у перевозимого - рым болт для подъема краном в целях последующей установки на шасси КАМАЗа )))

Внутри все выглядит довольно некрасиво. Сказались многочисленные переделки конструкции, и на последних этапах - на cable-management был положен боольшущий болт. Некоторые моменты переделывались более двадцати раз.

Посмотреть вложение 56032

В нижней половинке чемодана - вентиляторы охлаждения, усилители, SDRы и прочая ВЧ электроника, выходные разъемы. Т.к. мощность МегаSDRа солидная, они не sma и даже не N, а полноценные, взрослые 7/16 . К одному из этих разъемов подключен эквивалент нагрузки, используемый для настройки комплекса. Излучать в эфир к сожалению не нарушая Правило Форума #I.3, мне нельзя - поэтому приходится вот использовать аттенюатор, поглощающий все СВЧ излучение, а работоспособность комплекса контролировать по анализатору спектра, подключенного к выходу данного "чемодана".

В верхней половинке черного ящика - кнопки управления, блоки питания, компьютер, маршрутизатор и LTE модем для создания защищенного TOR соединения к дешифратору. Так же тут размещаются фильтры и воздухозаборники системы воздушного охлаждения.

Собранный комплекс состоит из двух кейсов. Большой - собственно SDRы, маленький - блок аккумуляторов для автономного питания.
Если эксперименты с сетью длительные, то существует возможность подключения внешнего питания от 220V, используя бытовую электросеть или бензиновый генератор.
На фото видно решетки системы охлаждения, это "выхлоп" горячего воздуха. Там 5 штук высокооборотистых вентиляторов размером 40х40мм, используемых в серверном оборудовании. Разъемы питания, кнопки управления, световая индикация.
Посмотреть вложение 56033

Вид с обратной стороны. Разъем для зарядного устройства и 2 разъема. Один - БС LTE, второй - БС GSM.
Посмотреть вложение 56034

Кнопочки управления имеют встроенную индикацию, показывающую наличие ВЧ мощности на выходных портах, статус канала связи с декодером, и т.д. Основное назначение - при включении красиво мигают )
Посмотреть вложение 56035


ВЧ кабели к антенне использованы диаметром 1/2 дюйма, они очень интересно устроены, как тоненькая медная трубочка - очень гибкие и в то же время способны передавать несколько сотен ватт СВЧ мощности, обладают очень низким затуханием, что дает возможность выносить антенну на довольно большое расстояние от устройства.

Посмотреть вложение 56043

Внутренности антенны. Для каждого канала применена неуправляемая фазированная решетка 4 элемента, имеющая X-образную поляризацию излучения, что полностью соответствует стандарту сотовой связи. На фото - 2 канала, 8 элементов. Обратите внимание что элементы покрыты слоем серебра, для улучшения электропроводности поверхностного слоя.
Посмотреть вложение 56036
Коммутация внутри антенны - при помощи гибко-жесткого кабеля, диаметром примерно с известный всем RG-58. Длины отрезков кабеля подобраны таким образом, чтобы обеспечивать правильные фазы сигналов, приходящих на элементы антенной системы.
Посмотреть вложение 56037

Антенна помещена в самодельный кожух из стеклопластика. Для выклейки использовалась болванка, вырезанная "горячей струной" из пенопласта, стеклоткань, эпоксидная смола. Довольно грязный процесс, но результат - антенну теперь можно поднимать на импровизированной "мачте" из водопроводной трубы, она не боится дождя, механических повреждений и т.п.

Посмотреть вложение 56038


Итог почти года экспериментов с системой. В целом, все получилось. Был подтвержден факт наличия уязвимостей в GSM сетях.
Не обошлось и без недостатков - как механических, так и программных. Довольно тяжелая конструкция (20кг), громоздкая.
Очень сильно шумит система охлаждения. Мощность оказалось избыточно большой (аттенюатор перегревается, lol )) ).
В некоторых "тестовых зонах" операторов сетей, с которыми удалось договориться на pentest их инфраструктуры и поработать с комплексом - стояли "урезанные" БСки, имеющие только 900МГц бенд - поэтому хочется теперь не только 1800 но и 900мгц. И чтобы весило килограмм 5, а не 20.
Иногда возникали вопросы с редиректом некоторых телефонов с LTE на 2G, опять же из-за отсутствия 900МГц, приходилось использовать всяческие программные ухищрения, особые режимы работы LTE БС и так далее.

Но - не смотря не все недостатки - работа с комплексом была очень приятной, получен бесценный опыт, благодаря чему - я уже несколько месяцев занят проектированием нового SDR-комплекса. Более компактного, легкого, с водяным охлаждением (конечно же чтобы аттенюатор не перегревался! ).

Вот такая история проекта-долгостроя, длиной год, с Happy END'ом! Буду рад если позадаете вопросы-или предложите какие-нибудь идеи, улучшения, которые обязательно найдут воплощение в " ДЕВАЙСЕ Ver.2 ".

Если не секрет, сколько в итоге вышло на все про все денег? Читал выше, что комплектующие 10к $, и софт годы опыта. Но это было тогда, в 2022, а если посчитать сейчас?

 

[progVW]

Я бы порекомендовал начать с другого - улучшить свои навыки работы с информацией и ее поиском. Почитать в целом про организацию сетей GSM. Нет, я ни в коем случае не "посылаю в гугл". Это другое. Дело тут вот в чем - БС, это довольно сложное с точки зрения программ, устройство. Представьте, что Вам кто-то прямо сейчас просто подарил готовую и настроенную БСку. Вот Вы ее включили, на ней засветились лампочки "Ready" и на Ethernet-интерфейсе появились какие-то открытые порты. Что Вы будете делать с ней делать дальше? Вот тут то и нюанс, для "входа" в тему вокруг GSM - нужно сначала разобраться как работают сотовые сети, хотя бы приблизительно - а после этого Вы с удивлением обнаружите, что "собрать" собственную БСку на мотороле, совсем не сложно, т.к. все нужные знания Вы уже получите. Поэтому, я бы порекомендовал сначала разобраться с самой сетью, потом попробовать запускать эмуляторы БС (осмоком такое умеет, железо паять не нужно, просто программная эмуляция всех устройств) . И, если будут возникать вопросы - однозначно не стесняться спрашивать! На хороший вопрос по любимой теме, мне всегда приятно ответить )

Кстати, спасибо Вам за отличную идею - Вы натолкнули меня на мысль сделать подборку материалов по GSM'у что называется "от А до Я", со ссылками на правильные статьи и т.д. Это намного более полезно чем перепечатывать в 1000 раз с хабра "гайд по сборке бс на мотороле" . Займусь.

Еще один комментарий - да, я знаю что производятся эмуляторы БС, которые требуют от оператора минимального участия, там чуть ли не волшебная кнопка "прочитать смс", очень много всего автоматизировано. К сожалению, open-source сборок подобного программного обеспечения, не существует.




Of course yes, but there some physical limitation about weigth of system if the station work on 4G LTE bands. If you need such device, i think - much more cheaper buy some commertialy-available product from PKI or similar company , compared to funding research and manufacturiing of "diy" prototype.

Идея действительно отличная, Вы поможете многим новичкам , которые интересуются этой темой. Очень жду!

 

[gliderexpert]

Если не секрет, сколько в итоге вышло на все про все денег? Читал выше, что комплектующие 10к $, и софт годы опыта. Но это было тогда, в 2022, а если посчитать сейчас?

Не секрет, но общую сумму назвать наверно не смогу. Были неудачные варианты, купленное дорогое оборудование которое потом не пригодилось или не подошло, всякие эксперименты и прочее - все учесть просто нереально.
Этот проект я отношу к тем хобби, на которые затраты лучше не считать.

 

[lifeofhonzi]

Не секрет, но общую сумму назвать наверно не смогу. Были неудачные варианты, купленное дорогое оборудование которое потом не пригодилось или не подошло, всякие эксперименты и прочее - все учесть просто нереально.
Этот проект я отношу к тем хобби, на которые затраты лучше не считать.

Any practical options for doing this in the wild, get a license and tools, and get to work?

 

[gliderexpert]

i dont know lol )

 

[progVW]

Сегодня прочитал Вашу статью про FPGA и вспомнил этот sms-перехватчик, интересно стало, а использовались ли ПЛИСы в этой ЭБС? )

Если путаю одно с другим, извините за глупый вопрос.

 

[gliderexpert]

В самом "чемодане" ПЛИСин нет (разве что мелкие внутри limesdr'ов).
Мощные плис используются в дешифраторе для взлома шифра А5/1 и А5/3. Дешифратор на ПЛИС - внешний, подключается к эмулятору базовой станции как отдельное устройство через ethernet кабель.

 

[progVW]

В самом "чемодане" ПЛИСин нет (разве что мелкие внутри limesdr'ов).
Мощные плис используются в дешифраторе для взлома шифра А5/1 и А5/3. Дешифратор на ПЛИС - внешний, подключается к эмулятору базовой станции как отдельное устройство через ethernet кабель.

Понял! Спасибо за развернутый ответ.

 

[PERACEND]

Then I would suggest to put your money in escrow and try the product which is still for sale.
Other trustable persons confirmed that LongPig A.K.A. LarryLuffer is just an Italian drug-addict with the "I-Know-And-Have-Everything" disease and could have worked for LEs

Good luck

P.S: I would suggest to continue this chat in our PMs in case, so we don't flood the thread of OP.

Hello, please get in contact with me if you are still having ss7 entry points or any cloud access.

 

[2bak]

gliderexpert могут ли перехватить смс на уровне оператора моб.связи от телеграма например. но так чтобы владельцу сим не пришло смс уведомления.

 

[swap3r]

gliderexpert могут ли перехватить смс на уровне оператора моб.связи от телеграма например. но так чтобы владельцу сим не пришло смс уведомления.

хоть я и не gliderexpert, но в курсе ответа на этот вопрос )

да, можно перехватить смс так, чтобы оно не пришло на реальный девайс жертвы

 

[clark1337]

Примерно так выглядит в общих чертах атака, позволяющая перехватывать СМС у нужного телефона. На схеме пока прорисовано не все, но общий смысл думаю понятен.

Посмотреть вложение 50401

Hello Gliderexpert, I’ve also developed a similar type of attack and believe it’s not feasible to use a single BB phone to push multiple user information TMSI / IMSI / Kc / SEQ (e.g., leveraging one phone for multiple message services). Moreover, the approach I implemented doesn’t just acquire the target’s number through a call initiated by the attacker but also includes the capability to send SMS messages from the target’s phone. Additionally, it intercepts outgoing SMS messages from various platforms. Some services inside mobile apps do not work, like getting the MSISDN, so it’s preferable to make a call from EvilMS. Let me know your thoughts on this methodology. https://ibb.co/3dnx54K