培训通知:2025年8月25日至8月29日将举办网络情报分析实战技能培训及CISAW认证考试。课程详情可查阅《网络情报分析实战技能培训》。有意系统提升OSINT(开源情报)实战能力者,可通过后台私信咨询。
3月25日,中国网络安全产业联盟(CCIA)发布《美情报机构针对全球移动智能终端实施的监听窃密活动》报告。该报告从11个维度披露,美国情报机构长期对全球移动智能终端和通信体系实施大规模监听窃密,覆盖SIM卡、固件、操作系统、数据线、Wi-Fi、蓝牙、蜂窝网络、GPS等数据接口,渗透至互联网企业数据中心及整个移动产业链,严重威胁全球网络安全与国家安全。
NSA“GOPHERSET”窃密技术揭秘
斯诺登曾曝光美国国家安全局(NSA)48种ANT攻击装备,其中之一即为代号“GOPHERSET”的黑客技术。该技术至少可追溯至2007年,由NSA下属的定制访问行动办公室(TAO)开发,旨在通过在SIM卡中植入后门程序,远程窃取手机中的电话簿、短信、通话记录等敏感信息,并通过短信外传数据。
1. GOPHERSET的背景与功能
GOPHERSET是一种针对GSM用户识别模块(SIM卡)的软件植入工具,能够提取目标设备的通讯录、短信和通话记录,并通过SMS发送至指定号码。该工具属于NSA高级网络技术(ANT)目录的一部分,自2007年1月起已具备实战部署能力。
项目负责人编号为S32222,其中“S”代表信号情报局,“S3”为NSA数据采集部门,“S32”指代TAO黑客团队。S322分支负责开发软件植入物,S3222则专注于后门程序研发,其子团队S2222的具体职能尚未公开。
作为内部开发工具,GOPHERSET无需额外成本,但需获取目标SIM卡的物理或逻辑访问权限方可部署。
2. 技术原理与运作模式
现代SIM卡(Phase 2+)支持SIM工具包(STK),允许卡内应用向手机发送主动指令。GOPHERSET正是利用这一机制,通过STK命令读取数据并以加密短信形式外传。
程序编译后,可通过USB智能卡读卡器或无线配置方式写入SIM卡。安装过程可能需要服务提供商提供的安全密钥,具体取决于其安全策略。
攻击流程分为三步:首先,NSA人员需获得目标SIM卡的物理接触权限,或通过社会工程诱导远程安装;其次,程序激活后解密触发指令;最后,自动提取指定信息,封装为加密短信发送至预设接收号码。
由于依托SIM卡原生功能运行,GOPHERSET行为极难被用户察觉,隐蔽性强。
3. 目标场景与应用价值
GOPHERSET特别适用于监控“高价值目标”,如频繁更换手机但保留同一SIM卡的用户,或采取高强度设备防护措施的个体。只要SIM卡未更换,即便设备更新,监控仍可持续,实现长期情报捕获。
后续发展与相关研究
自GOPHERSET问世以来,SIM卡后门技术持续演进:
- 2013年黑帽大会:安全研究员卡斯滕·诺尔(Karsten Nohl)展示如何利用SIM卡Java执行环境构建更高级后门。
- 2017年欧洲黑帽大会:学术团队揭示可通过SIM卡远程配置功能实施远程攻击。
未来,此类技术可能进一步增强隐蔽性与功能集成度,成为信号情报机构的核心工具之一。
安全启示与应对建议
尽管GOPHERSET早已曝光,但公众对SIM卡潜在风险认知仍不足。每一个通信组件都可能成为攻击入口。
- 建议用户定期更换SIM卡,尤其在怀疑设备遭监控时。
- 运营商应强化SIM卡安全配置,提升密钥管理复杂度。
GOPHERSET不仅体现了NSA在信号情报领域的技术深度,也凸显了SIM卡在网络安全架构中的关键地位。随着通信技术演进,SIM及相关组件的安全防护将持续面临新挑战。任何具备命令执行能力的模块,无论设计初衷如何,均可能被转化为情报收集载体。