韩国电信Femtocell安全防护失败，导致客户面临窃听与欺诈风险

韩国科学和信息通信技术部发现，当地运营商韩国电信部署了数千个安全防护薄弱的femtocell设备，导致了一场攻击，该攻击可能使客户的小额支付遭受欺诈，并且通信被窃听——这种情况可能持续了数年。

Femtocell是一种用户驻地设备，包含一个微型移动基站，并使用有线宽带服务作为回传链路接入运营商的网络。运营商通常在移动网络信号较弱的区域部署这种设备，以改善客户家庭内外的信号覆盖。

韩国电信部署了数千台此类设备，所有这些设备都使用相同的证书来认证其运营商网络。根据韩国信息安全学者、IEEE研究员Yongdae Kim的分析，这些femtocell设备没有root密码、以明文形式存储密钥，并且由于启用了SSH服务而可被远程访问。

因此，攻击者可以轻松进入设备并获取证书，然后利用该证书克隆一个femtocell，而韩国电信会将其视为合法设备并乐意将其连接到自己的网络。由于该证书被设置为十年后过期，了解这些漏洞的不法分子有很长一段时间可以克隆femtocell并将其用于恶意目的。该部门的报告表明，攻击者在2024年至2025年间使用一个伪造的femtocell长达十个月。

报告还发现，韩国电信客户的设备会自动连接到克隆的femtocell，攻击者可以读取这些客户的短信并了解他们拨打的电话号码。

微小线索 韩国电信运营着一项小额支付服务，允许其客户通过短信支付数字内容费用。今年9月，该运营商调查了部分客户的账单，并发现了在价值16.9万美元的交易中使用了克隆的femtocell。

该部门的报告称，有368名客户成为该小额支付骗局的受害者。 Yongdae Kim写道，16.9万美元的非法所得“对于这种基础设施的复杂程度来说，简直荒谬地少。”

“合理的推断：大规模数据收集才是主要目的。是某些人的贪婪暴露了它。如果没有小额支付欺诈，这种活动可能无法被察觉，”他补充道，暗示运行克隆femtocell的不法分子可能利用了他们访问客户手机的能力进行监控。

这一理论似乎基于两个原因而显得合理。其一是韩国电信只拥有追溯到2024年7月的支付数据。因此，该部门的报告指出，这并非关于femtocell相关问题的最终定论。

其二是韩国警方今日公布了对此事的调查结果，发现了一个伪造的femtocell，其使用的密钥曾安装在2019年韩国某军事基地使用的设备上，该设备于2020年丢失。

警方调查发现了多个克隆的femtocell，以及一个大型团伙运行这些设备的证据。警方逮捕了13名涉嫌参与者，并且不排除该团伙从先前一次针对韩国电信的攻击中获得了其运营所需的部分信息，那次攻击导致BPFDoor恶意软件从2022年开始，持续三年泄露该运营商的信息。调查还指控罪犯在运行非法femtocell时进行了“战争驾驶”，以寻找更多可以访问的手机。其中一名被捕男子曾试图在仁川机场使用伪造的femtocell，而就在同一天，有人试图将破解的硬件出口到中国。

据称是该团伙的主谋仍在逃，但已成为国际刑警组织红色通缉令的对象。

韩国政府已作出反应，坚持要求韩国电信允许客户无违约金终止合同。

韩国目前是安全漏洞频发的热点地区。当地电商Coupang和SK Telecom都因泄露数百万客户记录而陷入麻烦。该国还遭受了一次大规模摄像头劫持行动，严重侵犯了部分公民的隐私，并持续面临来自朝鲜的攻击和挑衅。®