韩国电信因Femtocell安全配置失败，使客户面临窃听与欺诈风险

韩国科学技术信息通信部（MSIT）的调查发现，当地运营商韩国电信（KT）部署了数千个存在严重安全漏洞的Femtocell（毫微微蜂窝基站），导致了一起攻击事件。该攻击使犯罪分子能够进行小额支付欺诈并窃听客户的通信，其活动可能已持续数年。

Femtocell是一种客户驻地设备，包含一个小型移动基站，并利用有线宽带服务作为回程链路接入运营商的网络。运营商通常在移动网络信号较弱的区域部署这种设备，以改善客户家庭内及周边的覆盖。

韩国电信部署了数千台此类设备，所有设备都使用相同的证书来认证接入运营商网络。根据韩国信息安全学者、IEEE会士Yongdae Kim的分析，这些Femtocell设备没有root密码，将密钥以明文形式存储，并且由于启用了SSH服务而可被远程访问。

因此，攻击者可以轻易地入侵并获取该证书，然后利用它克隆出一个Femtocell设备。韩国电信会将其视为合法设备，并欣然将其接入网络。由于该证书设置为十年后过期，了解这些漏洞的不法分子有一个很长的时间窗口来克隆Femtocell并将其用于恶意目的。韩国科学技术信息通信部的报告显示，攻击者在2024年至2025年间使用了一个假冒的Femtocell设备长达十个月。

报告还发现，韩国电信客户的设备会自动连接到克隆的Femtocell，攻击者可以读取这些客户的短信并获知他们拨打的电话号码。

小额支付诈骗线索

韩国电信运营着一项小额支付服务，允许客户通过短信支付数字内容费用。今年九月，该运营商在调查部分客户的账单时，发现了克隆Femtocell在价值16.9万美元的交易中被使用。

韩国科学技术信息通信部的报告称，368名客户成为了这小额支付诈骗的受害者。

Yongdae Kim写道，16.9万美元的涉案金额“相对于这种基础设施的复杂程度来说，荒谬地少”。

“合理的推断是：大规模数据收集是主要目的。是某些人的贪婪暴露了它。如果没有小额支付欺诈，这可能就无法被察觉。”他补充道，暗示运行克隆Femtocell的不法分子可能利用了他们访问客户手机的能力进行监控。

这一推论似乎合理，原因有二。其一，韩国电信仅拥有追溯到2024年7月的支付数据。因此，韩国科学技术信息通信部的报告指出，这并非关于Femtocell相关问题的最终定论。

其二，韩国警方今日公布了对此事的调查结果，发现了一个假冒的Femtocell，其使用的密钥安装于2019年韩国一个军事基地使用的设备上，而该设备已于2020年丢失。

警方调查发现了多个克隆的Femtocell设备，以及一个大型团伙运营的证据。警方逮捕了13名涉嫌参与者，并且不排除该团伙用于运营的部分信息来源于此前针对韩国电信的一次攻击——该攻击导致BPFDoor恶意软件从2022年开始的三年内从该运营商窃取信息。调查还指控犯罪嫌疑人在运行非法Femtocell时进行了“驾驶探测”，以寻找更多可以接入的手机。其中一名被捕男子曾试图在仁川机场使用一个假冒的Femtocell，而就在同一天，另有他人试图将破解的硬件出口到中国。

据称是该团伙的主谋目前仍在逃，并已成为国际刑警组织红色通缉令的对象。

政府应对措施

韩国政府已做出反应，要求韩国电信允许客户无需支付违约金即可解除合同。

韩国目前是安全漏洞频发的热点地区。当地电商Coupang和SK电信均因泄露数百万客户记录而陷入麻烦。该国还遭受了一次大规模的摄像头劫持行动，严重侵犯了部分公民的隐私，并且持续面临来自朝鲜的网络攻击和挑衅。