5G vs. хакер. Создан инструмент, который взламывает мобильные сети ещё до подключения к ним

Группа ученых представила новый фреймворк SNI5GECT, который демонстрирует уязвимости мобильных сетей пятого поколения на самых ранних этапах установления соединения. В отличие от атак с использованием поддельной базовой станции , которые ограничены сложностью реализации и легко обнаруживаются средствами мониторинга, SNI5GECT действует как «третья сторона»: он перехватывает незашифрованный обмен между устройством и базовой станцией ещё до момента аутентификации и способен внедрять собственные сообщения в поток связи. Это позволяет инициировать целенаправленные атаки на смартфон или модем без знания его идентификаторов и без необходимости заставлять терминал подключаться к «фейковому» gNB.

В рамках тестирования исследователи применили SNI5GECT на пяти различных 5G-устройствах, используя как открытые реализации базовых станций (srsRAN), так и коммерческие решения (Effnet). Эксперименты показали, что система перехватывает более 80% обмена в канале вверх (uplink) и вниз (downlink), а успешность внедрения поддельных сообщений достигает 70–90% даже при удалённости до 20 метров. В одном из экспериментов удалось вызвать краш модема у смартфонов с чипами MediaTek , а в другом — реализовать новый метод downgrade, когда терминал помещает базовую станцию в чёрный список и навсегда теряет 5G-подключение, переходя на LTE . Этот сценарий уже признан отраслевым сообществом GSMA и получил идентификатор CVD-2024-0096.

Практическая опасность связана с тем, что окно незашифрованной связи возникает регулярно: при потере сигнала в лифте, переходе в режим полёта или выходе из тоннеля устройство инициирует повторное подключение, и именно в этот момент атакующий может перехватить и модифицировать обмен. Таким образом, уязвимость затрагивает широкий спектр сценариев реального мира.

SNI5GECT также позволяет моделировать сложные цепочки атак, включающие последовательное внедрение и анализ ответов устройства. Например, можно навязать поддельный отказ в регистрации, что приводит к переходу на менее защищённую сеть, или спровоцировать повторные ошибки аутентификации, из-за чего смартфон «чёрным списком» блокирует базовую станцию и переключается на 4G. В результате становится возможным применение IMSI-ловушек , слежка и сбор чувствительных данных.

Авторы отмечают, что их инструмент — первый в своём роде открытый фреймворк для исследования слабых мест в 5G без необходимости поднимать поддельную базовую станцию. Код проекта доступен на GitHub , а риск нового метода деградации официально признан отраслевыми структурами. Исследователи подчеркивают, что открытая публикация сделана в интересах сообщества для повышения уровня безопасности, но сами эксплойты будут предоставляться только проверенным организациям, чтобы исключить злоупотребления.

Технический обзор SNI5GECT

Внутри SNI5GECT выделено несколько ключевых компонентов. Центральным является Syncher, который синхронизируется с легитимной сотой и извлекает базовую информацию из Master Information Block (MIB). Эта синхронизация должна выполняться в реальном времени и с минимальной задержкой, иначе любой пропущенный слот ведёт к потере критического сообщения и провалу атаки. Syncher работает в отдельном потоке с приоритетным планированием и обеспечивает точное выравнивание по временным слотам, чтобы впоследствии можно было декодировать как управляющий канал PDCCH, так и пользовательские данные в PDSCH и PUSCH.

Далее вступает в работу Broadcast Worker, который анализирует System Information Block Type 1 (SIB1). Именно там содержатся общие настройки радиоинтерфейса: параметры доступа, конфигурации каналов и алгоритмы случайного доступа. После успешного разбора SIB1 компонент переходит к мониторингу попыток новых устройств подключиться к сети. Первым признаком такого события служит Random Access Response (RAR), содержащий временный идентификатор RA-RNTI. Получив его, система запускает новый модуль UETracker, который будет отслеживать конкретного абонента вплоть до назначения постоянного идентификатора C-RNTI.

UETracker сам по себе разделён на три части. UE DL Worker занимается декодированием нисходящего трафика: он извлекает Downlink Control Information из PDCCH и на основе этих данных раскладывает сообщения из PDSCH, определяя протокольное состояние соединения. В этот момент становится возможным формировать вредоносный полезный груз, рассчитанный на конкретный шаг процедуры. GNB UL Worker обрабатывает восходящий канал. Здесь сложность в том, что тайминги передачи на uplink не совпадают с downlink, а сами пакеты часто смещены во времени из-за использования команды Timing Advance. SNI5GECT компенсирует этот сдвиг, что позволяет успешно декодировать PUSCH и видеть критические запросы от UE ещё до установки защищённого контекста. Наконец, GNB DL Injector создаёт и внедряет поддельные пакеты, маскируя их под легитимный трафик базовой станции. Важная особенность — он не просто вставляет сообщение, а формирует собственный DCI и соответствующее расписание для PDSCH, так что смартфон принимает внедрённый пакет как настоящий.

Главная сложность здесь — точное совпадение по времени. Малейшее рассогласование в пределах микросекунд ведёт к отбрасыванию сообщения из-за ошибок CRC. Авторы решили задачу через процедуру поиска оптимальной задержки: сначала они записывают IQ-сэмплы в конкретной точке, а затем подбирают задержку так, чтобы терминал успешно декодировал поддельный кадр. Впоследствии это значение применяется для атак на устройства, находящиеся в том же радиусе (до 20 метров).

Архитектурно SNI5GECT базируется на связке srsRAN и библиотеки WDissector. Для работы используется SDR USRP B210, который синхронно обслуживает как процесс перехвата, так и внедрения. В экспериментах система успешно атаковывала как открытые реализации gNB, так и коммерческие решения Effnet, что доказывает универсальность подхода. Более того, фреймворк открыт и доступен на GitHub, а сами эксплойты будут передаваться только исследовательским организациям по запросу, чтобы минимизировать риск злоупотреблений.