俄乌冲突中有多起事件事涉移动设备跟踪,如2022年新年前夜乌克兰打击俄罗斯位于马基夫卡的军营。然而,目前对于战场移动设备跟踪的实际可能性和可行性的认识往往不够全面,大多数分析要么侧重于传统军事无线电方法,要么仅关注以移动安全为中心的方式。
瑞典ENEA信息公司深入研究现代战争中的移动设备追踪问题,并于2024年1月发布《战场上的位置追踪》(Location Tracking on the Battlefield)研究报告。该报告首次全面研究了现代战争中用于追踪移动设备的各种方法,重点聚焦俄乌冲突,概述了在战场上通过追踪移动设备获取军事情报的方法,为个人和组织理解在冲突地区使用联网设备的风险提供了重要指导。
该报告深入探讨了乌克兰战场上三类移动设备跟踪方法,包括基于无线电的位置跟踪、基于网络的位置跟踪以及基于设备的位置跟踪,基于大量开源材料和自身移动网络威胁情报部门的情报,给出了战区移动设备跟踪风险的指导和建议。本文对该报告内容进行编译,以期为了解现代战争移动设备追踪方法及战场风险提供参考。
图1 战场移动设备位置跟踪方法
1 无线电定位跟踪
无线电方式包括三种方法。其一为无源射频测向,这是最传统的手机识别方式,通过对手机信号进行无源三角测量实现,但这种方法要依赖目标的主动发射。目前在俄乌冲突中发现可能有四种俄罗斯电子战系统采用此方法来识别移动电话。其二是有源测向,它利用移动设备不同于军用无线电的一项关键属性,跟踪站利用IMSI捕获器相关技术,主动与移动电话通信促使其产生信号,然后利用射频测向技术对其定位。俄罗斯里尔–3(Leer-3)系统可能采用此方式,它利用无人机识别和定位移动设备。这种方法还能获取更多设备相关信息,如SIM卡号码和设备类型,并因此可重点关注感兴趣的设备或人员。其三是通过无线电网络进行位置检索,它不同于之前的方式,是利用移动设备收发信号中所包含信息进行定位。对不同代手机技术采用不同方法。对于2G/3G网络,位置跟踪器在用作IMSI捕获器可向被跟踪手机发送特定无线电测量命令。正常操作中,其目的原本是用于改善无线电通信。但也可采用数学方法和多个点,利用它来恶意确定移动设备位置。这种方式对于4G 网络更为容易,因为可以采用等效测量命令估计目标手机位置,而从攻击者角度更为有利的是,在4G中,这些信号未加密发送。而且4G中还包含请求从移动设备获取信号强度和GPS信息的方式,也可以利用这种方式进行定位。但不确定俄罗斯是否在乌克兰使用了这些方式,仅从无人机残骸推测可能俄罗斯使用了2G/3G方法。不过无线电方式的共同局限是依赖无线电波接收,这限制了跟踪范围。
1.1 无源射频测向
(1)无源射频测向原理
射频测向是跟踪战场上发射无线电波设备的原始方法。早在19世纪末无线电波用于信息传输之前,人们就开始研究无线电波测向概念和原理。
在更广泛的电子战领域中,作为军事战术的测向隶属于信号情报(SIGINT)收集与分析范畴,而信号情报收集与分析本身又是电子支援的一个子集。通常,电子战有三大基石,即电子支援、电子防护和电子攻击。
测向是指利用无线电波的接收来确定感兴趣(无线电)发射机信号的到达方向。存在多种到达方向计算技术,如到达角(Angle of Arrival,AoA)、到达时间差(Time Difference of Arrival,TDoA)、到达频率差(Frequency Difference of Arrival,FDoA)以及其他类似相关技术。然而,这种方式只能给出大致源锥方向,无法给出无线电发射源的精确位置,也就是说无法确定其位置信息。为了确定位置,可以结合多个测向读数来确定无线电发射源位置。对于到达角技术,在战场环境中可能主要采用三角测量法。三角测量法是将来自两部或更多位置合理的接收机(或单部移动接收机)的方向信息相结合找出发射源。自第一次世界大战以来,三角测量法就被用于在战争冲突中帮助定位敌人。自无线电发明以来的众多冲突中,敌方部队的位置可通过其无线电信号确定,因为每个士兵、车辆、装备和基地往往都以某种形式配备有无线电发射装置。
就移动设备测向而言,移动设备需进行信号发射,使其信号强度足以被测向装置所接收,同时测向装置要在正确的频率区间进行接收。在一定范围内,移动设备的信号强度不是问题,因为移动设备必须以足够高的功率电平全向发射信号,这样才能被最远达20千米之外(某些情况下距离甚至更远)的基站检测到。
然而,实际使用中移动信号强度取决于许多因素,其中最重要的因素之一是移动设备与所连接运营商基站或无线电基础设施之间的距离。这会影响移动设备选择的输出功率。移动信号强度也会受到当地地理特征、建筑物或其他障碍物以及干扰等其他因素的影响。预计前线移动设备的输出功率/信号强度通常会高于普通城市环境中的手机。在冲突地区,当地建筑物可能遭到破坏或损毁,对移动无线电信号的干扰会减少,但另一方面,当地正常运行的基站或无线电基础设施可能更为稀少且距离更远。
无论频率范围如何,移动设备(或任何无线电设备)需要发射足够强的信号,并持续足够时间,才能被检测到并定位。首先,手机要发射信号,必须处于开机状态(或不在飞行模式下),否则任何射频检测模式都无能为力。其次,任何一代移动电话都不会一直发射信号。手机仅在以下情况下处于活跃状态并发射信号:
• 用户相关:向网络注册/注销或尝试注册。
• 用户相关:在小区之间或者一组小区之间移动位置。
• 用户相关:通信建立(寻呼)、后续通信接收或发送(短信、电话呼叫或者网络业务)以及通信终止。
• 网络相关:为更新基站信息,移动设备被间歇性激活。这称为周期性位置区更新(2G)、周期性路由区更新(3G)或者周期性跟踪区更新(4G)。
关于最后一点,周期性位置/路由/跟踪区更新是一种与用户活动无关的活动,通过设置为几分钟的移动网络定时器来控制,不过运营商可能将其设置为几小时为单位。由于这种区域更新信号具有间歇性,检测和定位移动设备的最佳时机是当用户处于活跃状态时,即设备正在移动或者正在发送/接收通信时。可以想象,当移动设备开机、接收一系列之前排队的消息/通信或者拨打电话,都会导致移动设备进行一系列的发射,从而暴露其位置。在一个小区域内有一组移动设备会使这种情况更加明显,即便有些设备可能未处于活跃状态。实际上,在一个位置的设备越多,有设备正在与本地基站进行通信的可能性就越大。另一方面,如果一台设备几乎没有甚至没有移动应用(如,功能机)会减少网络通信。
(2)俄罗斯在乌克兰使用无源射频测向系统
关于俄罗斯在乌克兰部署的设备,可能有以下四种设备参与了对移动设备的位置跟踪,这四种类系统的详细信息如下,见表1:
表1 活跃在乌克兰的潜在俄罗斯军方无源射频测向系统
需要明确的是,尽管依据开源资料很难确切判定这些系统的工作原理,但对于这些系统在确定“位置”方面的可能工作方式,可以作出若干重要推断。如前所述,测向与精确位置三角测量之间存在差异。三角测量是基于来自不同点的多个测向读数,然而,在对这些系统的描述中这一点并未得到明确阐述。不过,从这些系统的描述中,可以观察到通常会给出“方向角”精度。
有描述指出,Zhitel系统需要通过指挥所进行协调,以确定精确目标位置,从而实现三角测量。这种三角测量的一个关键要素是每个站点都必须知道自己的确切位置,这通常通过GPS/GLONASS来确定。Leer-2系统也概述了类似的情况,该系统能够相互通信以确定位置。此外,这些系统之间可能不仅仅需要相互通信。俄罗斯在乌克兰部署了专业电子战数据融合部队,可以从不同的系统中获取信息并进行整合。
针对Leer-2系统的另一种可能性是单辆车即可完成测向任务。如果同一Leer-2系统在移动过程中从不同点进行测量,即“当站点处于运动状态时,采用多点测向模式”,那么这种方法可能有效。然而,如果目标同时也在移动,那么这种方法就存在缺陷。
另一个不明确方面是范围。在关于这些俄罗斯电子战系统的报告中所引用的“范围/距离” 通常是压制范围(用于干扰目的)。然而,在所有条件相同的情况下,可以合理地认为测向范围可能比干扰范围更远。
这些系统可以用来确定位置的另一个因素是使用接收信号强度指示(RSSI),其理念是接收信号强度可以用来确定移动设备在方向线上的哪个位置。虽然这在理论上是可行的,并且像蓝牙信标等短距离技术中也在使用,但实际上在战场上,有多种因素可能会影响位置跟踪平台对移动电话接收信号强度的使用。这些因素包括移动设备的不同输出功率、环境对无线电信号的减弱、空气/天气条件以及自然衰减。了解当地地理情况,甚至应用传播模型,也可以在一定程度上提供帮助。鉴于所有这些因素,比如仅仅是把手机拿在手中而不是放在口袋里这么简单的情况,以及不同设备类型及其当前的发射功率,那么单独使用RSSI更多地是用来帮助确定随时间变化趋势(更近或更远)。然而,尽管存在这些限制,仍然经常收集和使用RSSI,因为它可以辅助确定位置。
1.2 有源/蜂窝辅助射频测向
(1)有源/蜂窝辅助射频测向原理
无源射频测向系统是指只监听目标移动电话传输信号,与目标没有交互或通信。这是射频测向的标准方式。然而,这并非通过无线电手段确定移动电话位置的唯一方法。攻击者可以利用的一个事实是,与军事无线电系统不同,攻击者能够主动与附近目标移动设备通信,从而简化定位过程。
之所以采用这种方法,是因为无源RF测向系统存在若干局限性:
• 依赖目标活动:当移动设备处于空闲模式时(即设备已开机并驻留于某一基站,但未主动进行通话、短信或数据传输),其信号传输极不规律。因此,这些设备可能无法持续传输足够长的时间,以供无源系统建立定向信号。
• 缺乏特异性:无源系统必须处理目标区域内的所有移动信号,而攻击者可能只对特定信号感兴趣(如外国移动电话以及非归属网络电话)。
• 信息有限:攻击者可能还希望获取附近移动电话的具体信息(如SIM卡信息、设备类型等)。
为了克服这些限制,可以使用有源测向系统。它们不只是监听,还与目标移动电话进行通信,从而提升位置追踪的精准度。通过使用IMSI(国际移动用户识别码)捕获器相关技术来实现这一能力。IMSI捕捉器是一个广义术语,最初指仅用于记录附近IMSI身份的技术,但现在其含义已经有了很大扩展。值得注意的是,所谓的IMSI捕获器也可以是有源的和无源的,但当使用有源IMSI捕获器(更准确地称为假基站、伪基站或小区基站模拟器)时,它通常通过发送比周围合法基站强度更大的信号来吸引移动设备与其建立连接,而不是与真实基站相连接。在这种连接或“握手”过程中,可以从该区域设备中获取诸如IMSI(即SIM卡号码)和国际移动设备识别码(IMEI,即设备类型)等各种信息。
可以通过生成无线电通信的方式来延长或增加设备主动通信时长,例如发送静默短信消息或启动寻呼功能,以便在目标设备连接到伪基站便立即对其发起电话呼叫。此外,一旦连接成功,可采取其他措施来改善对移动设备的检测,例如伪基站向设备发送命令,将其位置更新定时器缩短至几分钟。目标设备这种更长且可能更强的无线电活动时间段意味着通过测向定位目标设备的机会更大。
在商业监控行业中这些技术众所周知。从为数不多的公开商业IMSI捕获器完整手册之一中能够看到将IMSI捕获与射频测向相结合的原理。其中,Harris Gemini IMSI捕获器(品牌名为Stingray)具备所谓“MS DF Functionality”功能,即移动台测向功能。该功能可与自身的定向天线结合使用,也可通过使用诸如Amberjack这样的插件天线实现。此外,Gamma集团的产品描述及泄露产品文档也提及了GSM与射频测向系统的结合。
这种对移动设备进行主动干扰以提高其被检测几率的方式,通常对于军用无线电设备并不可行,这就是为什么军队会开发并使用专业化系统来主动检测移动电话。
(2)俄罗斯在乌克兰使用的有源/蜂窝辅助射频测向系统
俄罗斯方面可能以这种方式发挥作用的主要系统是RB-341V 里尔-3(Leer-3)系统。据报道,该系统使用两架或三架(报道有所不同)“海雕”(Orlan)-10无人机作为空中IMSI捕获器帮助检测移动设备。一旦升空并进行传输,这些无人机还可以在6公里范围内从目标设备中检索特定信息,如IMSI和IMEI。据报道,该系统还能够在30公里范围内影响/干扰多达2000部移动设备,由于其能够出于宣传目的向其范围内的设备发送短信,该系统引起了媒体关注,不过其主要目的还是检测手机用户。这一系统似乎存在两个版本。一个早期版本专为2G网络设计,一个后期版本据报道能与3G和4G网络稳定运行。
表2 俄乌冲突中俄罗斯可能使用的有源射频测向系统
图2是来自乌克兰前线Leer-3系统近期视频的一张截图,视频显示明显是在对移动设备进行位置跟踪。
图2 Leer-3指挥车内用于控制和引导Orlan-10的指挥中心
虽然尚不完全了解Leer-3综合体内测向功能的具体工作方式,以及该系统是否执行有源IMSI捕获和射频测向功能,但负责开发Orlan-10无人机的STC公司在其获得的77项专利中,至少有7项涉及无人机以某种形式执行射频测向应用。这些专利中概述的系统理想情况下需要使用遍布无人机不同位置(如机翼、机身等)的不同天线来执行射频测向,如图3所示。
图3 Orlan-10无人机上的电子战天线布局
有一些报道和图片显示,在乌克兰的特定Orlan-10无人机带有类似电子战的外部天线,如图4 所示。然而,目前尚无证据表明这些Moskit无人机就是执行手机测向任务的Orlan-10无人机。因此,关于Orlan-10无人机如何定位手机的问题仍然存在。实际上,与采用射频测向技术相比较,俄罗斯可能使用了另一种对移动设备感知能力更强的方法来检测手机,这将在接下来的内容中详细介绍。
图4 在乌克兰拍到的带有可能电子战天线的Moskit Orlan-10无人机
1.3 通过无线电网络进行位置检索
定位跟踪的下一种可能方式是利用移动设备经由无线接口发送的位置推导信息。出现这种情况,或者是因为该信息可供使用(无源),或者是因为该信息被请求(有源)。这可以依据不同的无线电技术以多种方式实现。
(1)通过定时提前传输实现2G/3G有源定位
在采用时分多址(TDMA)技术的2G GSM网络中,当基站与移动设备连接时,信号必须同步。为此,在2G网络中会使用定时提前(TA)指令。在3G网络中的等效指令称为传播延迟指令(PD)。这些指令由基站定期发出,用于指示手机提前或延迟其传输定时,以便与网络保持同步,并将传播延迟降至最低。结合基站物理位置知识和无线电波速度,在2G网络中,TA/PD指令的值可用于将移动设备定位在大约550米的环形距离内,在3G网络中可定位在234米的环形距离内。这是利用特定移动设备传输信息对移动设备进行定位跟踪的最早形式之一。之前研究表明,将来自多个基站的此类信息与诸如所使用的天线扇区及相关接收信号强度指示(RSSI)信息等进一步信息相结合,可用于对移动设备进行多边定位。这些环形距离的交汇点可用于确定目标移动设备的潜在位置。
图5 根据GSM定时提前(TA)测量得出的2G环形位置重叠
正在主动与所在区域内移动设备建立连接的IMSI捕获器能够使用这种方法。借助这种方法,处于移动状态的IMSI捕获器,或者处于通信状态的多个IMSI捕获器,可以将定时提前值与相对位置信息相结合,及时构建出与其连接的移动设备位置。在关于商业监视IMSI捕获器的描述中,已有简短提及,或者使用定时提前/传播延迟方法进行定位,或者至少收集这种定时提前信息。
(2)通过定时提前/到达时间窃听实现4G无源定位
下一种方法与前一种方法的相似之处在于它也使用了定时提前(TA)。然而,其不同之处在于它可以通过利用4G无线技术的特定特性无源执行。无源定位涉及窃听该区域内4G移动设备与基站之间发送的无线信号以估计位置。与2G/3G一样,在4G LTE无线电中,为了适应其正交频分多址(OFDMA)传输方案需求,再次使用定时提前(TA)指令。这些指令由基站(4G中为eNB)定期发出,指示手机提前或延迟其传输定时,以保持同步并将传播延迟降至最低。2G/3G与4G的关键区别在于,在4G LTE无线电中,这些TA指令未加密发送。也就是说,IMSI捕获器无需建立主动连接来确定相对TA值,它可以仅被动窃听该区域内目标移动设备与真实基站之间发送的值。另一个区别是,由于LTE传输方案,可能的环形距离范围要精确得多,大约78米,而2G系统为550米。
图6 无源4G定位
研究人员已经证明,窃听和记录信息可以确定手机与发出TA指令的4G基站之间的大致距离。进一步的研究已经确定了如何将TA指令窃听与上行链路和下行链路消息到达时间差监测相结合,以定义攻击者和基站之间的双曲线。结合这些方法,以及该区域内基站位置知识,可以将定位精度提高到圆和椭圆的交点处。通过更多监测攻击者,可以进一步提高此位置精度,可通过三边测量确定一个单一位置。
同样,在商业监视IMSI捕获器的描述中也曾简要提及使用定时提前/传播延迟方法进行定位。
(3)通过移动无线电信息检索实现4G有源定位
第三种也是最后一种利用移动无线电信息的方法是利用可以直接向移动设备请求位置或位置辅助信息的有源基站模拟器。这一方法利用了4G标准的特定特性。在4G LTE无线标准中,可以请求目标移动设备返回所在区域内特定基站的信号强度测量值,甚至GPS坐标。2016年首次公开概述了这种攻击的基础技术。这里的一个关键前提是,在IMSI捕获器最初连接到4G设备之后,但在设备/网络认证之前,可以请求此信息,通常情况下,4G IMSI捕获器除非能够访问核心信令网络,否则无法做到这一点。有了这些信息,再结合关于该区域内基站和地形的其他已知信息,攻击者可以在不进行任何三角测量测向的情况下就确定移动设备的潜在位置。
同样,已有关于商业IMSI捕获器/Stingray系统的报告表明它们使用了这种方法,这意味着对手有可能在战场上使用这些方法检测移动设备。
(4)俄罗斯在乌克兰使用的基于无线电网络系统的位置检索
以下总结了所有三种无线电网络系统位置检索方法,如下表3所示:
表3 无线电网络中位置检索的不同形式
关于这些方法是否在乌克兰得到应用,目前尚存争议。如前文所述,Orlan-10无人机制造商STC(其无人机被Leer-3系统所采用)已提交多项涉及使用Orlan-10无人机进行射频测向的专利。然而,专利不一定在现实中得到应用。到目前为止,在乌克兰被击落的Orlan-10无人机中,尽管有报道称其干扰了移动通信,但均未发现有类似外部射频测向功能天线,且在上传的Orlan-10拆解视频中也未提及此类天线。因此,正如某些研究人员所推测,这些无人机可能采用了2G定时提前方法进行定位。
两种4G定位方法存在更多问题。根据2018年ZDNet相关报道,作为在乌克兰可能移动设备位置跟踪方式的一个示例,已深入探讨4G有源定位法,即直接从移动设备请求小区标识(Cell ID)/GPS信息。尽管在冲突中确实有使用该方法的可能,但一个关键要求是目标手机需要支持4G LTE无线电通信。鉴于在2018年初乌克兰移动网络才获得4G牌照,因此从2014年顿巴斯冲突开始之初,俄罗斯电子战部队就使用这一方法的可能性极低,因为当时该地区很少有设备支持4G无线电。
不过据2023年相关报道称,RB-341V Leer-3系统现已支持4G。在推特(Twitter)视频中显示了Leer3的Orlan-10蜂窝控制面板。
总体而言,除了使用2G/3G方法对移动电话进行定位外,俄罗斯军队似乎还有可能采用了特定4G定位检测方法。虽然4G无线电标准通过更强大的加密方式在多方面改善了无线电安全性,但同时也因其存在的特定漏洞而使得位置追踪变得更为容易。
2 网络位置跟踪
网络跟踪方式是要从移动设备所连移动网络中提取移动设备位置信息。有三种方案。一是利用核心信令网络如7号信令(SS7)协议网络,可以获得已知移动设备位置,至少能精确到小区站点级。2022年俄乌冲突以来,乌克兰多次报告遭受SS7信道攻击企图。二是合法监听,各国移动运营商向政府提供信息。战争期间外国移动设备可能位于边界并连接本国网络,可记录其位置等信息。据报道,俄罗斯已实现了批量监视系统,因此有可能用于跟踪连接到俄罗斯和俄罗斯占领区所控制移动网络的移动设备位置。三是移动运营商电信黑客攻击,攻击目标手机所连接移动运营商核心网基础设施内的特定节点,导致位置信息泄露。2023年12月,乌克兰移动网络运营商“基辅之星”曾遭隶属俄罗斯的黑客攻击,断网多日。据报道,在此之前,俄罗斯已接入该公司移动网络几个月。虽还未证实,但据推测有可能黑客在此期间提取了位置等网络信息。
2.1 核心网信令接口
Enea公司在2020年的文章和2016年的情报报告中对使用信令接口进行位置追踪进行了深入探讨。简而言之,全球移动运营商之间通过信令接口相互连接,攻击者可以利用这些接口请求目标移动设备位置(精确到GPS级)。可以从世界任何地方发起这种形式的攻击,但确实需要满足以下条件:
• 目标身份必须事先已知;
• 具备攻击移动网络的能力和访问权限;
• 目标网络的信令防御机制无法抵御这些攻击。
信令攻击通常通过SS7(2G/3G)和/或Diameter(4G)接口发送到目标移动运营商的网络节点。然而,也存在一些变体,如Simjacker攻击,它使用经过特殊格式化的短信从目标移动设备本身获取位置信息。
核心网信令接口利用这一监控领域是俄罗斯过去特别活跃的一个领域。在2014年克里米亚危机期间,首次报道这些接口被用于位置追踪,并溯源到俄罗斯。从那以后,俄罗斯通过一家商业公司对遍布全球的移动网络有了深入了解。就在2022年俄乌冲突开始之前,Enea公司分享了关于一个使用SS7的威胁行为体的信息,认为它来自俄罗斯。检测到来自与俄罗斯相关的HiddenArt组织的一次位置跟踪攻击的Wireshark捕获,该攻击伪造了一个非洲的原始点。该攻击使用了一个名为ProvideSubscriberInformation的SS7命令,请求目标用户位置(locationInformation),同时还请求设备类型(IMEI)以及设备当前是否已连接、是否在通话中(subscriberState)。它还请求在无线侧对用户进行寻呼(currentLocation),以确保返回的位置尽可能最新。
需要注意的是,这个命令只返回目标用户的小区标识(Cell ID),而不是设备本身的确切位置。根据小区大小,位置范围可能从几百米到几十公里。然而,还有其他命令,例如 “ProvideSubscriberLocation”(提供用户位置)可以用来从目标设备返回由GPS得出的特定定位信息。
自2022年俄乌冲突开始以来,乌克兰多次报告了通过SS7信道的攻击企图。这些攻击值得注意,因为它们代表了在战争环境中首次确认使用电信信令攻击。然而,通过充分的准备、防御和情报工作,可以大大降低这些信令攻击成功的可能性。此外,乌克兰在俄乌冲突开始当晚采取的关键行动是阻止来自俄罗斯/白俄罗斯的入境漫游,这减少了乌克兰网络受来自俄罗斯/白俄罗斯信号地址恶意命令的“攻击面”。
在分析这些数据时,有一个重要的注意事项,那就是在溯源最终用户时必须谨慎。一般来说,各国试图通过伪造来源或利用第三方为其执行攻击来掩盖信令接口攻击源。只有综合考虑最终来源、攻击性质和目标类型,才能进行最终溯源。仅仅因为一次攻击来自X国,并不意味着X国正在执行攻击。例如,Enea目前正在监测几个正式分配给俄罗斯车臣网络的信令源(信令连接控制部分全局标题,即SCCP Global Title 或 GT),这些信令源正在被用于可疑的信令活动。然而,仅基于此证据就说这些攻击与俄罗斯国家有关或受其指导并不合适。通常需要进一步调查以确定最终用户。
2.2 合法监听或批量截获
合法监听是一个国家内移动网络所处理的通信或位置流量能够被截获并传递给该国合法当局的方式。合法监听系统(LI system)通常符合一系列标准,如欧洲电信标准协会(ETSI)制定的标准,世界上大多数国家都会安装某种类型的合法监听系统以满足警方或其他合法机构在窃听、位置跟踪等方面的命令。通常,这些通过特定的合法监听网关实现,这种网关与归属电信运营商的合法监听网络节点进行通信,尽管有时也可以使用SS7/Diameter接口。这里的一个关键因素是,合法监听系统只对连接到归属网络的用户起作用,所以如果一个乌克兰或其他西方国家用户没有连接到俄罗斯或俄罗斯代理的移动网络,那么就不会面临通过这种方法被跟踪的危险。然而,如果一部手机离俄罗斯网络足够近,并且如果它试图在这些网络上注册,那么这种注册(如果被接受)可能会被记录下来,并且这些信息(当信息被集中后)可以用于确定位置。
显然,要实现这一点,收集标准已经超出了针对特定个人的范围,而更倾向于一种批量截获或一般监视的形式。批量截获概念与合法监听不同,因为政府可能立法规定获取并存储来自移动网络或其他通信形式的所有信息,而不是仅获得或存储由法律命令确定的特定标识符。其他不同之处在于,批量截获通常(但并非总是)用于历史分析,并且由于存储问题,通常只存储元数据信息。在俄罗斯方面,他们已经立法建立了一个称为SORM的批量截获系统。尽管细节不多,但图5展示了SORM系统如何与移动核心网进行连接。
图7 俄罗斯某移动运营商内部 SORM网络示意图
2.3 移动运营商电信网络黑客攻击
顾名思义,这种形式的位置跟踪涉及对移动运营商的电信基础设施进行黑客攻击以提取位置信息。过去曾发生过“SoftCell”和“LightBasin”等攻击事件。与其他形式的定位跟踪相比,这种方式可能会更慢且不太及时,除非信息正在持续被提取。但除非谨慎操作,否则这很可能会引起注意。这种攻击形式的另一个问题是,除了需要对该国的每个移动运营商进行攻击之外,如果还想获取关于本国用户或入境漫游用户的信息,则还需要针对不同的节点进行攻击。假设可以突破运营商的IT防御措施,实施这些黑客攻击也需要时间。
虽然目前没有公开报道确认与俄罗斯有关联的黑客通过这种手段在乌克兰成功获取了位置信息,但2023年12月12日乌克兰最大的移动网络运营商基辅之星(Kyivstar)遭受的严重黑客攻击显然是最接近的类似事件。攻击导致Kyivstar的蜂窝和互联网信号暂时中断,服务中断影响了乌克兰境内多地用户。乌克兰国家安全局表示,此次攻击疑似源自俄罗斯,并且一个与俄罗斯有关联的黑客组织声称已经下载了“信息”,这些信息理论上可能包含位置数据。在2024年1月初的采访中,乌克兰国家安全局局长透露,至少自2023年5月起黑客就已经潜伏,并很可能自2023年11月起就获得了全面访问权限。乌克兰国家安全局评估认为,凭借他们获得的访问权限,黑客能够窃取个人信息,追踪手机位置,拦截短信,甚至可能窃取Telegram账户。
在基辅之星遭受攻击之前,最引人注目的是针对美国卫星电信公司ViaSat的黑客攻击,该公司曾为乌克兰军队提供服务。俄乌冲突开始时,ViaSat的通信系统被渗透,其调制解调器被清空。然而,同样没有确凿的证据表明通过这种方式获得了位置信息。
3 移动设备位置跟踪
移动设备位置跟踪方式有两种途径。一是手机App数据采集与交换,可获取匿名数据用来推断特定地区特定类型移动设备的存在,过去曾报道俄罗斯公司购买过此类信息。二是目标设备感染移动恶意软件,它可记录位置并上传给攻击者。过去曾报道俄罗斯试图感染乌克兰炮兵部队安卓平板电脑。2023年发现针对乌克兰军队平板电脑的恶意软件。还有其他恶意软件可能能够获取连接被感染平板电脑的“星链”天线位置。
3.1 移动应用数据收集
这种位置跟踪方法的基础是重复使用许多应用在用户安装时收集的位置信息。
从技术上讲,收集位置数据的移动应用可能在其中内置了被称为软件开发工具包(SDK)的小型软件,然后这些软件会将数据上传到一组特定的数据代理。或者,通过移动广告盈利合作伙伴,可以将移动应用程序的信息上传,用之对手机用户进行潜在广告推广。这种“竞价数据流”(bidstream)包含的信息随后可用于所谓的广告情报(ADINT)。通过一系列的代理和交易平台,那些只对接收“竞价数据流”中的信息感兴趣(而不是利用这些信息在移动应用或浏览器上购买广告)的公司,可以间接收集和使用这些信息。ADINT公司最近引起了广泛关注,因为它们承诺(或至少声称)能够在全球范围内定位大量用户,而无需对设备进行黑客攻击或放置特定恶意软件。
这些应用可能出于所需的原因记录信息,但在某些情况下可能会将信息出售给数据交换平台。这些数据交换平台随后可将其转售给其他公司,而这些公司又可以将其提供给政府客户。
即使来自应用的数据没有被出售给交换平台或代理,政府机构仍然可以使用这些数据。例如,谷歌最近更改了其谷歌地图应用中的“位置历史记录”设置,以便谷歌自身无法访问该数据。此前,在反向位置搜索或“地理围栏搜查令”中会请求此信息。据报道,美国地方和联邦机构会要求获取在某个特定时间出现在特定区域中所有手机的详细信息。
有报道称受制裁的俄罗斯组织正在购买来自应用程序的信息。从情报角度来看,这依赖于目标移动设备是否为智能手机、是否安装了这些应用,以及是否有足够的无线连接在特定时间报告位置。从攻击者的角度来看,存在一个问题是,上传的这种信息通常不包含像电话号码或IMSI这样的用户标识。然而,这些信息仍然对攻击者有用,因为它可以告诉攻击者某个特定位置有用户存在,并且随着时间推移,攻击者可以了解上传了哪些用户信息。
3.2 移动恶意软件/被感染移动设备
在战场上获取位置信息的最后一种方式是通过移动恶意软件,即被感染移动设备。移动设备会通过某种传播方式被感染(通常是通过包含用户必须点击的恶意软件链接的电子邮件或短信),一旦安装,移动恶意软件可以根据需要或定期从设备中提取位置信息。
与移动应用数据交换一样,这首先需要感染移动设备(即智能手机),并且需要识别目标并诱导安装可以检索信息的应用。
过去有报道称,俄罗斯曾试图感染使用安卓平板电脑的乌克兰炮队,但这种方法的成功率还有待观察,而且这些设备显然没有连接到移动网络。据报道,俄罗斯曾试图用恶意软件入侵乌克兰官员的手机,但几乎没有其他详细信息。此外,过去还有报道称,俄罗斯私营国防承包商STC即Orlan无人机的开发商,开发了安卓移动恶意软件。
2023年8月,乌克兰安全局报告称挫败了俄罗斯黑客组织“沙虫”(Sandworm)试图利用缴获的乌克兰军队安卓平板电脑发动的攻击。攻击目的是寻找乌克兰军队网络中漏洞,感染连接到该网络的其他平板电脑设备并从中提取信息。同样,这些平板电脑不会连接到移动网络,因此会使用其他网络来感染它们并从中提取信息。然而,要提取的信息包括从连接到平板电脑的任何Starlink终端获取的信息,根据受感染设备的配置,从中可能获取到位置信息。
2023年8月底,包括英国国家网络安全中心(NCSC)在内的多个西方情报机构公布了关于这种源自俄罗斯的恶意软件的更多细节。除上述可能通过星链卫星天线获得的位置信息外,在这份文件中还明确指出,GPS信息也被收集用于位置跟踪目的。GPS信息通过恶意netd进程获得。恶意netd进程(据推测)从乌克兰的安卓设备本身获取信息。
4 其他跟踪方式
除上述方法外,在乌克兰战场上还有其他几种可能但不太常见的方式可以检测到携带手机的目标。这些方式包括:
• 远距离空中或天基移动设备检测和定位。它们本质上是基于无线电检测方法的远程版本。
• 窃听陆上、地下或海底的电信线缆,其中包含用户位置信息。
不知道这些方法是否在乌克兰得到使用,所以这里不做深入探讨。然而,还有另外一些方法可以跟踪感兴趣目标,但这些方法需要通过其他方式确定目标位置,即间接位置追踪。这些间接方法更加隐蔽。以下是这些方法的示例。
4.1 关联移动设备跟踪
用户设备可能不是追踪目标,但其关联设备可能是。在当真正目标的用户身份不明、可能引起过多关注,或者无法直接追踪用户移动设备位置时可能出现这种情况。这种情形下,可能会跟踪关联设备进行追踪,而不是用户设备,或者同时追踪用户设备和其关联设备。ENEA公司曾在一位信令安全客户处观察到这种策略,发现通过SS7信令(核心网)接口进行的有针对性的位置追踪攻击。经过调查后确定,一名政府官员汽车中的嵌入式SIM卡才是目标,而非其个人移动设备。据推测,攻击者之所以选择这样做,一方面是因为他们不知道目标的IMSI,另一方面是因为追踪非移动电话SIM卡更不易引起注意。相同的策略可以应用于任何带有嵌入式SIM卡的现代车辆,这些SIM卡通常用于资产追踪、车辆遥测数据检索或eCall等系统(尽管eCall系统通常只在发生碰撞时才激活)。而且这些设备也不一定非得是内置的,有报道称在乌克兰军队人员的车辆中放置了带有嵌入式SIM卡的汽车追踪设备。
4.2 用户上报位置跟踪
另一种间接位置追踪形式是用户自身有意或无意上传包含其位置信息的内容。有多种途径可以实现这一目的,例如在社交媒体上传带有嵌入位置信息的图片,或者上传带有可识别位置地标的图片。俄乌冲突中,有许多这样的例子,交战双方战斗人员上传的信息后来被用于确定他们的地理位置,无论是在战场上,还是在车臣总统卡德罗夫的重要案例中——信息被用来证明其并未身处战场。即使是不能直接与一个或多个目标相关联的信息也可能有用,例如 Strava健身应用帮助绘制出了全球多个军事基地的大致位置。
4.3 第三方上报位置跟踪
与用户主动报告位置相关的是第三方报告位置追踪。即使个人严格遵守手机使用规范,甚至在前线不携带移动设备,他们仍有可能与携带手机的人在一起,从而引发第三方报告位置追踪的情况。具体情形多种多样,可能包括以下几种:
• 有同事在前线附近随身携带处于开机状态的手机;
• 有同事在前线附近拍摄带有未遮挡面部并且背景中有当地地标建筑的群体照片或TikTok(抖音海外版)视频,然后将这些内容发送到社交媒体或错误Telegram频道;
• 其他将信息和部队位置泄露给敌方的人员。
在乌克兰,上述最后一种方法已成为热议话题。据报道,乌克兰已在其移动网络上建立了基础设施,以便普通公民能够报告有关俄军的信息。
5 结语及建议
在当今复杂的战争环境中,移动设备的定位问题成为了一个关键的关注点。本报告深入剖析了移动设备在战场上的定位问题,尤其聚焦俄乌冲突中战场手机定位跟踪。文章详细介绍了三种定位方式,证实了信号在实际事件中被检测的可能性。该报告明确了移动设备在战区带来的风险与益处,对理解战场手机跟踪及安全保障具有重要意义。军事人员和非军事人员需评估携带移动设备的后果,并了解在复杂危险的战区环境中如何降低使其用风险,保障自身安全与信息保密。结合前文分析,报告提出以下建议:
(1)尽量避免使用移动设备
明确认识在不同位置拥有移动设备的风险差异。远离前线虽能降低被追踪风险但不能完全消除这种风险。在前线或前线附近,应尽量避免使用移动设备,以减少被追踪和暴露的风险。如果确实需要使用,应尽可能减少使用频率和时长,并优先使用无线网络或其他短距离连接。
(2)保持设备静默
即使在没有移动信号的地区,移动设备也应保持关机状态或处于飞行模式,以避免无源或有源射频测向。
(3)选择普通设备
避免使用在该地区显得不寻常或引人注目的移动设备或SIM卡,降低被特别关注的风险。
(4)使用低规格设备
在可能的情况下,使用功能手机而非智能手机,这样可以减少如移动恶意软件或向数据交换平台上传信息的应用程序的攻击面。功能低意味着数据流量会大幅减少,从而也会降低无线电辐射。虽然这可能会降低移动设备的实用性,但在保障安全方面具有重要意义。
(5)军队全面管控
对军队发放和士兵个人携带的移动设备进行全面管控,遵循军事电子战原则,控制并最小化可被追踪的特征/信号发射。通过制定严格的使用规定和管控措施,确保移动设备不会成为安全隐患。
(本文根据互联网资料编译整理,仅供参考使用,文中观点不代表本公众号立场)
声明:本文来自电子小氙,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
