【情报实战】黎巴嫩寻呼机爆炸事件调查:硬件拆解和改装操作分析
2024-9-28 09:52:1 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

今天给大家推送土耳其网络防御中心负责人阿里坎·基拉兹Alican Kiraz)对类似BP机进行拆解和改装的分析文章。

首先,如今便携式个人设备中使用的锂离子电池总是受到人们的关注。突然爆炸或设备起火的视频经常引起人们的恐慌。在深入探讨这个话题之前,我们应该首先了解以下内容:爆炸和燃烧有什么区别?

爆炸是突然快速地释放能量,通常表现为高压和高温,并以这种方式造成损害。

另一方面,燃烧或着火是物质与氧气发生反应,释放热量和光的过程。它通常提供更慢且更可控的能量释放。虽然它会产生热量和光,但不会导致压力突然增加或产生冲击波。

现在,让我们重新关注锂离子电池。锂离子电池因其高能量密度和长寿命而被广泛使用。然而,在某些条件下,它们存在燃烧的风险,在极少数情况下甚至会爆炸。这通常是由一种通常称为热失控的过程引起的。

热失控是指电池内部温度不受控制地上升并进入自持循环。最初,内部或外部因素导致电池温度升高。高温引发电池内部的放热化学反应。这些反应产生的热量进一步升高温度,导致更多反应。此循环持续下去,可能导致电池起火或爆炸。

过度充电和放电还会导致另一个问题。对电池充电超过其标称电压会导致电解质降解并产生气体。气体会产生压力,导致电池膨胀并可能导致轻微爆炸。

然而,在我们正在调查的事件中,有一个有趣的转折:这些设备使用 AA 1.5V 或 AAA 电池供电!

Motorola Teletrim 实际上是一款在 20 世纪 90 年代广泛使用的数字寻呼机。该设备允许用户接收短信或数字信息。在手机尚未普及的时代,寻呼机是一种必不可少的通讯工具。如今,它们仍在一些第三世界国家使用。

让我们来看看该设备的功能:

  • 尺寸:约 7 厘米 x 5 厘米 x 1.5 厘米。

  • 重量:约80克,含电池。

  • 电池类型:单节 AAA 碱性电池。

  • 显示类型:LCD 屏。

  • 字符容量:每行可显示约12位数字。

  • 背光:某些型号配备。

  • 振动警报:适合在安静的环境中使用。

  • 音频警报:不同音调和声音级别的选项。

  • 多功能型号:有 VHF 或 900 MHz FLEX、VHF 宽带和窄带、UHF 宽带或窄带以及 900 MHz POCSAG 型号可供选择。

现在,事情开始在我们的脑海中变得更加清晰了;除了 AAA 或 1.5V AA 碱性电池之外没有其他爆炸部件的设备怎么会爆炸呢?

塑性炸药是将高爆炸药与增塑剂混合而形成的可塑性柔性炸药。由于这些特性,塑性炸药可以制成各种形状,用于不同的表面。塑性炸药甚至被用于许多暗杀行动,有时藏在收音机里,甚至是玩具熊里。

塑性炸药具有面团状结构,便于运输,操作适用性强。此外,它们在暴露于火中时不会爆炸!

作为主要炸药材料,通常使用 RDX(环三亚甲基三硝胺)或 PETN(季戊四醇四硝酸酯)等强力炸药。油、蜡或合成聚合物混合在一起,使炸药粉末具有柔韧的塑性。这些被称为增塑剂和粘合剂。在正常条件下,塑性炸药非常稳定。它们对撞击、摩擦或火灾相对不敏感。这使得它们在运输和储存方面非常安全。雷管或雷管用于引发爆炸。让我们在这里暂停一下!

手机、智能设备、智能手表、普通闹钟一直使用干扰器作为触发器。在这种情况下,传呼机最强大的部分被用到了……振动和声音模块!

传呼机中的振动模块通常在 3.0–5.3V 之间工作。此外,众所周知,电动 C4 雷管需要 0.5A 才能工作。设备中制造的一种电流调节器和电动雷管改造可能会引发这种爆炸!

另一方面,正如我们从震网事件中被盗证书案例中了解到的那样,8200部队经常在许多情况下利用摩萨德的能力。

我们可以从我上一篇文章的以下部分中回顾一下 Stuxnet 中被盗数字证书的情况;

鉴于这些环境的安全性质,发生此类入侵的可能性非常小。第二条线索是,两家证书被盗的公司 Realtek 和 JMicron 位于新竹科学工业园区的同一栋大楼内。这种巧合表明可能存在物理操作。考虑到物理操作,以擅长此类任务而闻名的以色列 MOSSAD 很可能是此次行动的嫌疑人。

因此,在目前的情况下,我们也可以得出结论,这些装置可能在供应链中被修改过,并在其中放置了炸药。

从爆炸视频中可以看到,没有火焰。只有大量的气体释放和强烈的冲击。在第一段视频中,冲击力非常大,以至于人摔倒在地,包里的纸被向前抛出近 1.5 米。

第二张图片给了我们主要线索。在上面第一个视频中,我们看到爆炸发生在包内,因为包内的其他纸张和物品散落在四周。因此,我们无法判断它是否自行爆炸。然而,在下面第二个视频中,我们看到一个人看着该装置。这表明放置在装置中的爆炸物在接到电话后爆炸。

同时发生的集体爆炸表明,一个共同的信息引发了这些爆炸。因此,我们目前有以下结论:

  • 这些设备仅使用一节 AA 1.5V 或 AAA 电池,因此若无外部干预,设备不会爆炸。若无干预,设备内部不会存在其他爆炸性或易燃物质。这意味着设备内部放置了爆炸性物质,或者如果产品附带电池,爆炸物可能嵌入电池本身!

  • 该装置经过改装,爆炸时会发出特定信息。最有可能的是,振动或声音模块被篡改,放置在里面的爆炸物通过额外的电子触发器引爆。

我希望这能解答你的任何疑问。重要的是要记住,我们不能失去跨学科的方法。电子设备中并非所有东西都是纯硬件,也不仅仅是软件。我们应该避免陷入狭隘视野。

我已经完成了检查 Motorola Advisor Pager 型号的准备工作,并开始进行分析。我还获得了 Motorola LX2 和 Motorola Teletrim 的安全版本,我相信它们没有受到物理篡改。目前,整个社区都基于 Gold Apollo 设备后盖的一张图像(该图像带有制造商信息)假设所有设备都是相同的。但是,我仍然想检查上述所有四种型号。我很快也会对它们进行详细评论。

我几乎可以肯定这些设备爆炸是由于物理改造而不是特定条件下的软件问题。但是,由于没有 100% 确定的事情,我采取了全面的预防措施。在对这些其他设备进行物理检查后,我采取了以下预防措施以确保操作测试期间的安全:

我们的设备在 VHF 频段运行,具体来说是在 148–150 MHz 的 Sub-GHz 信号范围内。因此,使用八木天线和经过改装的中国制造的干扰器,我将创建一个反频率来干扰 100 MHz - 150 MHz 范围内的信号。为了确保干扰器正常工作,我将使用连接到 CC1020 的 Flipper Zero 和 MAYHEM 模块进行双重检查,监控 27–300 MHz 频段。

对于设备中可能出现的任何温度变化,我将使用高度专业的热成像设备进行检查。这样我就能检测到哪怕是最轻微的突然加热或波动。(例如,我在 MAYHEM 模块运行时拍摄了它的图像。)

我必须再次强调,我相信这些装置已经经过修改,包括爆炸物和引爆装置。因此,我应注意并认真关注的要点是:

  • 炸药被添加到设备中的位置;它很可能被放置在主板和屏幕之间,在测试期间,它可能会产生最大的弹片效应。

  • 触发模块可以连接在哪里;虽然雷管是模拟的,但我怀疑已经添加了带有微控制器的电子电路模块,以便在特定的呼叫或时间触发雷管。

  • 如果对设备进行了任何修改,需要付出多大的努力;我将检查打开和关闭设备的复杂程度。由于有数千台设备受到影响,我将检查设备是否可以轻松拆卸和重新组装。

首先,我采取了上述所有预防措施。然后,从设备背面的信息中,我看到它的频率是 148.0375 MHz。我将 CC1020 连接到 Flipper Zero,花了一些时间调整它以扫描该频率范围。CC1020 给我带来了一些麻烦,确定它是否正常工作有点紧张。尽管我相当有信心这不会是一个大问题,但它仍然让我有点焦虑。

电池仓设计为使用 AAA 电池,盖子关闭时不会留下任何缝隙。之后,我开始提起设备的侧夹,这样我就可以分离后部。

拆开设备时,那个倒置的蓝色部件让我吃了一惊。然而,当我把它翻过来时,我意识到那只是一个用来固定屏幕的柔软部件。就在那时,我的脑海里闪过几个信号!

因为从电子角度来看,设备中实际上有一个部件没有实际用途,但相对于设备而言却占用了相当大的空间。而且它的位置非常接近直接接触设备的振动马达!

为了让您更好地了解尺寸,我将其放在 1 TL 硬币旁边作为比例。然后,我的注意力又回到了振动马达上。我拆下振动马达并检查它。我发现它是 Namiki 品牌的马达,工作电压为 1.5V。

我立即意识到,这种发动机的设计与用于点燃塑料炸药的雷管几乎完全相同。

虽然我对这个发现感到很兴奋,但我还是决定暂时把这个话题搁置一边。那么,这个装置里到底能装下多少塑料炸药呢?这个装置的内部空间大得惊人!甚至在无线电卡和主板下面都有空间!

当后盖上的弧形结构和设备内部的压力垫被移除时,很明显里面可以装下大约半把爆炸物。不过,我仍在继续这个过程并检查其他部件。经过调查,我发现上面的无线电卡是一个灵敏的 4051 型无线电卡。我把它从主板上拆下来进行更详细的检查。

我的心思还在兴奋地盯着震动马达,激动之下,手有些发抖,所以没拍清楚。不过我来给你描述一下细节:

  • 左侧其实是一根天线,周围有一根带子。里面有一根铁氧体棒。旁边是电感器和电容器。

  • 经过一番研究,我发现蓝色部分是镀有蓝色层的中频晶体,用于保证高频信号性能。

  • 我还了解到,底部的这个 IF 晶体的工作频率为 17.9 MHz。

  • 然而,第一个晶体是不同的,我发现它通过旋转可变电感器来调整频率。

现在,我开始关注主板。

看到主板上震动模块的痕迹,我又兴奋起来了,左下角芯片上的两个金色触点槽,可以直接与外后盖上的联动弹簧连接,这样就可以轻松开合,无需焊接!

换句话说,当这些装置从某个地方取出时,无需进行工厂设置 - 只需在振动马达旁边添加一个扳机,或者拆除马达并用雷管替换,里面装有约 5 克塑料炸药,即使站着也可以轻松完成!

主板上还有背光逆变变压器、陶瓷封装IC、LCD控制器。

而且前面还有另一个空的空间!
事实上,该设备内部约有 40% 的空间未被使用!仅这一点,经过彻底研究后,它就可能成为篡改的潜在目标。

最后,在检查主板时,我发现主板顶部的绿色橡胶盖下有一个小型备用电池。这可确保主电池耗尽时,RAM 中存储的时钟和消息得以保留。他们也可能篡改了这一点,让设备在没有主电池的情况下也能引爆!

现在,让我们回到重点:振动马达……

底火钥匙通过电缆直接接触内部电路,以 1.5V 电压引爆……由于这些步骤的危险性,我正在审查它们……由于底火钥匙在土耳其不单独出售,并且无法轻易从子弹中提取,所以我提供了这些详细信息,仅供参考。

我重新组装了设备部件,然后使用 Flipper 和 PagerSOG 进行了手动频率传输测试。我发现该事件是由快速连续发送的一系列连续消息触发的。

现在,让我们看看这件事究竟是如何发生的;”

  • 打开设备,放入爆炸物(很可能是耐冲击、防水和恶劣条件的塑料爆炸物),然后将弹片放在前键盘旁边和电路板间隙之间的空隙中。

  • 作为扳机,可能放置了一个不需要电激活的烟火冲击管雷管,利用振动马达前面的振荡部分。

  • 随后,大量请求被发送到目标寻呼机的广播频率,这实际上是一种暴力破解形式。

  • 结果,发动机前方的运动部件发生过度振动,导致冲击波管相互作用并引爆装置。

  • 设备被打开,里面放入了爆炸物(很可能是耐冲击、防水、耐恶劣条件的塑料爆炸物)。弹片碎片被放在前键盘旁边和电路板缝隙之间的空隙中。

  • 作为引爆器,震动马达被拆除,换成电击管,用来引发爆炸。

首先,我要感谢你们的支持、鼓励,以及要求我注意某些细节的留言。我希望这对那些像我一样对电子和网络安全感兴趣的人有所帮助。本分析完全出于学术目的,不直接或间接针对任何国家、政治或规范。

长按识别下面的二维码可加入星球
里面已有万余篇资料可供下载
越早加入越便宜
续费五折优惠


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2MTE0NTE3Mw==&mid=2651146383&idx=2&sn=908625771b7cf78d10dcebb9861ab289&chksm=f1af3fb5c6d8b6a364633ee0c9e2e8fea9ea675fc2f4977ac9bf44ac5f7b9d66f9cdd0bbe63a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh