美国特勤局在纽约挫败大规模电信攻击

2025年9月24日 · 3分钟阅读 作者：Karl Sigler

美国特勤局在纽约的取缔行动揭示了一种技术上引人入胜且对国家安全构成严重威胁的攻击类型：利用蜂窝基站模拟器（CSS）的大规模蜂窝拦截网络，也称为IMSI捕获器或Stingrays。

这一消息发布之际，纽约市正在举办年度联合国大会，聚集了来自世界各地的国家元首，为攻击者创造了极其丰富的目标环境。

特勤局发现了什么？这种攻击如何运作？

特工发现了一个由300多台SIM服务器和10万张SIM卡组成的网络，旨在通过冒充合法电信基础设施进行数字攻击。这些设备的核心设计是模拟蜂窝基站。移动设备不断寻找最强的蜂窝信号，会被比合法运营商基站距离更近的恶意基站所吸引。

在诱骗附近手机连接后，CSS创建了一种"中间人"（AitM）场景。攻击者可以拦截通话和短信、操纵服务、进行拒绝服务攻击、收集元数据，或创建用于匿名和加密通信的网络——所有这些都在大多数受害者不知情的情况下进行。数据被捕获后，设备可能会被移交到真实的基站，使得检测更加困难。这类工具在执法部门有合法用途——但当被秘密和大规模部署时，它们就变成了监视和破坏的武器。

这种攻击有多常见？

像特勤局发现的这类CSS设备具有双重历史：既是犯罪活动的工具，也是合法的执法工具。根据卡托研究所的记录，至少23个州的执法机构以及联邦调查局和缉毒局等联邦实体经常部署Stingrays来抓捕嫌疑人和收集情报。这些设备最初用于军事和情报用途，后来成为国内警察机构的关键工具，通常通过联邦拨款计划获得，并用于常规调查，而不仅仅是高风险的恐怖主义或毒品案件。

就犯罪用途而言，这种技术的小规模版本并不新鲜，甚至不昂贵。我记得在DefCon会议后有一次执法突袭，有人在一家酒店被发现携带自制的Stingray。在DefCon使用Stingray是一个几乎公开的秘密。这些攻击远非理论性的：任何具备基本技能和组件的人都可以组装设备来拦截本地蜂窝通信。

然而，纽约案件的不同之处在于其规模和协调性。如此庞大的网络，在重大全球活动期间影响高价值目标，是非常不寻常的，特勤局在其公告中暗示有国家行为体参与。

粗略计算也暗示有大玩家的参与。仅仅简单搜索就显示，每批100张（5G）SIM卡的价格在150至250美元之间。即使攻击者获得了批量购买的优惠，假设每100张100美元，特勤局发现的10万张SIM卡仍然需要1000万美元。将这些SIM卡变成CSS的设备是GSM网关。另一次粗略查看显示类似设备的成本约为2500至3500美元。乘以特勤局发现的300台，可以看出这种攻击的成本不菲。

图1. 特勤局证据照片显示多台GSM网关设备，每台支持256张SIM卡。来源：https://www.secretservice.gov/sites/default/files/2025-09/SimBox.jpg

规模为何重要？

这里的新颖之处不在于技术，而在于执行。大多数Stingray事件涉及单个设备或小集群；协调的、城市规模的部署代表了野心和潜在影响的数量级飞跃。这不仅仅是窃听抗议者或追踪犯罪嫌疑人；这是在试图破坏关键基础设施，可能发生在敏感的外交活动期间。

检测CSS攻击

虽然CSS设备主要是被动设备，使得它们很难被检测，但有可用的工具。这些工具主要通过观察蜂窝控制流量来识别小区ID一致性、相邻小区信息和信号强度，以识别潜在的恶意CSS设备。两个常用工具是Android-IMSI-Catcher-Detector（https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector）和EFF的Rayhunter（https://www.eff.org/deeplinks/2025/03/meet-rayhunter-new-open-source-tool-eff-detect-cellular-spying）。两者都是开源的，Rayhunter支持的设备购买成本不到20美元。

分析

这一事件戏剧性地提醒我们，虽然技术已经民主化，即使是业余爱好者也可以尝试蜂窝拦截（在美国有面临联邦监狱时间的风险）——但真正的损害来自于规模、协调和意图。特勤局的发现并不预示着新威胁的诞生，而是熟悉威胁的演变，变成了能够动摇我们通信基础设施信任基础的东西。

拥有移动业务的企业应将此视为一个警钟：持续监控和熟练的事件响应，无论是内部团队还是像Trustwave的MDR能力这样的安全服务提供商提供的，都不再是可选的，而是必不可少的。随着攻击从业余爱好者的把戏转变为关键规模的基础设施篡改，防御也必须同步发展。