Цифровая броня и радиочастотный призрак - комплексный анализ кибербезопасности мобильных устройств в зоне боевых действий | Лаборатория Шахулова

Deep Research v2.0

Цифровая броня
и радиочастотный призрак

Комплексный технический анализ кибербезопасности мобильных устройств в зоне боевых действий: от архитектуры VpnService API и атак на сигнальные сети SS7/Diameter до эксплуатации baseband-процессоров через OTA-векторы

Погибших - Макеевка

Окно реакции

Скрытых команд baseband

Defense in Depth

Введение

Смартфон как оружие и как мишень

Современное поле боя претерпело фундаментальную трансформацию. Мобильное устройство в руках бойца одновременно являетсятактическим инструментом(навигация, связь, координация огня, разведка) ирадиоэлектронной мишенью, способной выдать координаты подразделения противнику с точностью до нескольких метров.

Инцидент Макеевка: цена одного включённого телефона

Новогодняя ночь 2022/2023, Макеевка, Донецкая область. Удар HIMARS по зданию ПТУ №19, где размещались мобилизованные военнослужащие ВС РФ. По данным Министерства обороны России, погибли89 человек. Официальная причина, озвученная МО РФ:массовое несанкционированное использование мобильных телефоновличным составом, что позволило ВСУ определить координаты скопления.

КомпанияEnea(Швеция), специализирующаяся на безопасности телекоммуникационных сетей, в январе 2024 года опубликовала отчёт"Location Tracking on The Battlefield", в котором провела симуляцию, подтверждающую техническую возможность отслеживания мобильных устройств для наведения удара. Согласно отчёту Cathal Mc Daid (VP of Technology, Enea), существуют три категории методов отслеживания:радиочастотное(пеленгация, IMSI-catchers на БПЛА),сетевое(SS7/GTP/Diameter-атаки) ипрограммное(вредоносное ПО, advertising ID).

Отдельный факт: в начале вторжения 2022 года тепловая карта телефонов, подключённых к российским мобильным сетям на территории Украины, наглядно показала расположение российских войск - каждый активный телефон с российской SIM-картой становился маркером на карте.

"Использование мобильных телефонов военнослужащими, вопреки запрету, позволило определить и установить координаты места дислокации" - Министерство обороны РФ, 4 января 2023

Полная kill chain: от включённого телефона до огневого поражения

Kill chain

Phase 1. Обнаружение

Телефон включаетсяили извлекается из чехла. Устройство сразу начинает радиообмен.

Радиомодем → IMSI/TMSIWi‑Fi Probe → MAC

Phase 2. Идентификация

Противник связывает сигнал с конкретным устройством и владельцем.

IMSI-catcherSS7 / DiameterКорреляция через БД

Phase 3. Локализация

Определяется точка нахождения цели по сети, эфиру или вредоносному ПО.

Триангуляция 50-300мLTRACK менее 6мGPS 3-10м

Phase 4. Поражение

Координаты уходят в контур огневого управления и превращаются в удар.

Огневой контурHIMARS / артиллерия / БПЛА

↓

Логика процесса:включение устройства → появление радиоследа → идентификация → локализация → поражение цели.

⏱

Время от включения телефона до определения координат:от 30 секунд (при использовании IMSI-catcher) до 5 минут (при SS7-атаке через операторскую сеть). Время подлёта снаряда HIMARS на дальность 80 км: менее 60 секунд.Общее окно реакции - менее 7 минут.

Часть I

Программные фаерволы без root-прав: архитектура и критический анализ

1.1 Архитектура VpnService API: что происходит внутри

В экосистеме Android существует фундаментальное разделение привилегий. Классические сетевые экраны уровня ядра (iptables,nftables) требуют root-доступа для прямого управления таблицами маршрутизации и фильтрации пакетов в ядре Linux. Приложения без root-правне имеют физической возможностиоперировать на этом уровне.

Вместо этого используется механизмVpnService API(android.net.VpnService) - стандартный интерфейс Android, предназначенный для создания VPN-подключений. Приложение создаётлокальный VPN-туннель(TUN-интерфейсtun0) внутри самого устройства и перенаправляет весь сетевой трафик через себя для анализа.

Архитектура VpnService

1. Приложения

Telegram, банк, браузер и другие приложения создают исходящий трафик.

→

2. TUN-интерфейс

tun0принимает пакеты внутри устройства вместо прямой отправки в сеть.

→

3. Фаервол

Приложение черезVpnService APIчитает пакет в userspace и решает его судьбу.

→

4. Ядро

Если пакет разрешён, он возвращается в сетевой стек Linux.

→

5. Сеть

Только после этого трафик реально уходит на базовую станцию или Wi‑Fi.

Техническая суть проблемы:VpnService API работает вuserspace(пользовательском пространстве), а не вkernelspace(пространстве ядра). Это означает:

Каждый сетевой пакет копируется из ядра в userspace, анализируется, и возвращается обратно -двойная обработка
Процесс фаервола - обычное Android-приложение, подчинённое всем правилам управления памятью и энергопотреблением ОС
Android OOM Killer может "убить" процесс при нехватке памяти, Doze mode может приостановить его

1.2 Таксономия ограничений программных фаерволов

Ограничение	Техническая суть	Риск в боевых условиях	Вероятность
OOM Kill / Doze Mode	Android агрессивно управляет фоновыми процессами. VPN-процесс фаервола может быть "убит" OOM Killer или приостановлен Doze mode без уведомления пользователя	Фаервол перестаёт работать незаметно, трафик идёт напрямую. Боец уверен в защите, но её нет	Высокая
DNS Leak (Mullvad 2024)	Mullvad обнаружил: DNS-запросы утекают при переподключении VPN, даже при активном kill-switch. Баг затрагивает все Android-устройства	DNS-запросы раскрывают, какие домены запрашивает устройство - карта используемых сервисов утекает в открытую сеть	Средняя
Android 16 VPN Bug (2026)	Always-on VPN и Block connections without VPN не работают корректно. Трафик обходит туннель	Обе защитные функции, на которые рассчитывает пользователь,не работаютна новейших устройствах	Высокая
ADB Wireless Bypass	Wireless Debugging (ADB) создаёт отдельный TUN-интерфейс, обходящий VPN kill-switch полностью	Если включён режим разработчика с беспроводной отладкой - полный обход всей защиты	Низкая
Конфликт с VPN	Android допускает только ОДИН активный VPN-сервис. Фаервол-приложение и реальный VPN не могут работать одновременно	Невозможно использовать защищённый VPN-канал связи при включённом фаерволе	100%
Повышенный расход батареи	Двойная обработка пакетов: TUN + userspace анализ. CPU загрузка +15-30%, расход батареи ускоряется на 2-4 часа	В полевых условиях, где зарядка - роскошь, устройство разряжается критически быстрее	100%

1.3 Обязательная системная настройка kill-switch

Если решение использовать программный фаервол всё же принято, необходимаобязательная настройкана уровне системы:

Настройки - Сеть и интернет - VPN- найти фаервол-приложение
Включить"Постоянная VPN"(Always-on VPN) - автоматический перезапуск VPN при разрыве
Включить"Блокировать соединения без VPN"(Block connections without VPN) - аппаратный kill-switch
Настройки - Батарея - Фаервол-приложение- отключить оптимизацию батареи ("Без ограничений")
ОтключитьApp Standbyдля фаервол-приложения

⚠

КРИТИЧНО:Без активации пунктов 2-5 фаервол-приложение - этоопасная иллюзия безопасности. Но даже с ними, учитывая баги Android 16 VPN и Mullvad DNS Leak, гарантия защитыне является абсолютной. Программный фаервол - это лишь один слой в многоуровневой системе.

1.4 Сравнительный анализ решений сетевой фильтрации

Решение	Root	Уровень	Механизм	Плюсы	Минусы	Оценка
"Фаервол без root"	Нет	Userspace	VpnService API - TUN	Простота, не требует модификации ОС	Все ограничения VpnService, конфликт с VPN	★★☆☆☆
NetGuard	Нет	Userspace	VpnService API - TUN	Open-source, нет телеметрии, гранулярный контроль	Те же ограничения VpnService, но открытый код	★★★☆☆
AFWall+	Да	Kernel	iptables / nftables	Настоящий сетевой экран уровня ядра, полный контроль	Требует root, ослабляет модель безопасности	★★★☆☆
GrapheneOS	Нет	System	Per-app network toggle на уровне ОС	Системная блокировка без VpnService, hardened ядро	Только Google Pixel, требует замены ОС	★★★★★

💡

Рекомендация Лаборатории Шахулова:Для боевого устройства оптимальным решением являетсяGrapheneOS на Google Pixelс встроенным per-app network toggle. Это единственное решение, обеспечивающее блокировку сетевого доступа на системном уровне без VpnService API, с сохранением полной модели безопасности Android, verified boot и изоляцией baseband-процессора. Совместимо с реальным VPN.

Часть II

Инфраструктура 1e100.net: анатомия цифрового следа Google

2.1 Что такое 1e100.net

Домен1e100.netпринадлежит Google и используется как единый обратный DNS-идентификатор длявсехсерверов в её глобальной инфраструктуре соктября 2009 года. Название происходит от числагугол(googol) - 1 x 10^100 - единица со ста нулями.

Когда фаервол-приложение показывает соединения к 1e100.net, этоне означаетутечку данных на "вражеские ресурсы". Это внутренняя инфраструктура Google, обслуживающая критические сервисы.

2.2 Карта сервисов, проходящих через 1e100.net

1e100.net

Firebase Cloud Messaging

Пуши для большинства Android-приложений.
Блок:пропадают уведомления.

Google Play Services

Лицензии, целостность, системные проверки.
Блок:часть софта ломается.

Certificate checks

OCSP, CRL, Certificate Transparency.
Блок:хуже проверка доверия.

Google DNS / DoH

Сервисные DNS-маршруты Google.
Блок:возможны сбои интернета.

Телеметрия

Диагностика и сбор сервисных метрик.
Блок:это полезно.

Вывод

Блокировать надоточечно, а не рубить весь 1e100.net целиком.

2.3 Парадокс блокировки: exponential backoff как демаскирующий фактор

🔴

Критический парадокс:Полная блокировка 1e100.netувеличиваетдемаскирующие признаки устройства. При недоступности сервера приложения входят в режимexponential backoff(экспоненциальной задержки повторного подключения):

1-я попытка: через 1 секунду
2-я: через 2 секунды
3-я: через 4 секунды
Затем цикл сбрасывается и начинается заново

Этот паттернрегулярных всплесковрадиочастотного трафика легко обнаруживается средствами РЭР противника как аномальный сигнал. Устройство, которое должно быть "невидимым", фактическипульсируетв эфире.

Правильный подход (гранулярная блокировка):

Блокироватьтолько телеметрию:play.googleapis.com/log,android.clients.google.com/fdfe/bulkDetails,firebaselogging-pa.googleapis.com
Разрешить FCM (mtalk.google.com:5228-5230) для работы критических приложений
Или полностью отказаться от Google-сервисов черезGrapheneOSс sandboxed Google Play (или без него), где каждый сервис контролируется отдельно

Новый раздел v2.0Часть III

Атаки на сигнальные сети: SS7, Diameter и GTP

3.1 SS7: протокол без аутентификации, разработанный в 1975 году

Signaling System 7 (SS7)- это набор телефонных протоколов, управляющих маршрутизацией вызовов, SMS, роумингом и определением местоположения в глобальной телефонной сети (PSTN). Разработан в1975 годув предположении, что доступ к сигнальной сети будут иметь только доверенные операторы связи.

Фундаментальная проблема:SS7не имеет встроенных механизмов аутентификации. Любой, кто получит доступ к сигнальной сети (через скомпрометированного оператора, арендованный узел или хакерский доступ), может отправлять запросы, которые сетьисполняет без верификации.

3.2 Векторы атак через SS7/Diameter/GTP

Вектор атаки	Протокол	Механизм	Результат	Защита фаерволом
Определение местоположения	SS7 (MAP)	Запрос Provide Subscriber Information / Send Routing Info к HLR/VLR оператора. Возвращает Cell-ID текущей БС абонента	Определение положения с точностью 50-300м без участия устройства жертвы	❌Невозможна
Перехват SMS	SS7 (MAP)	Подмена маршрутизации SMS через UpdateLocation - SMS перенаправляются на узел атакующего	Перехват всех SMS включая коды 2FA. Подтверждённые атаки: O2 Telefonica, Германия, 2017	❌Невозможна
Перехват звонков	SS7 (ISUP)	Манипуляция Call Forwarding через RegisterSS - вызовы перенаправляются через узел прослушивания	Прозрачное прослушивание всех голосовых вызовов	❌Невозможна
Отслеживание перемещений	Diameter (4G)	Аналогичные запросы через протокол Diameter в сетях LTE. Формально защищён TLS, но многие операторы не внедрили защиту	Мониторинг перемещений абонента в реальном времени	❌Невозможна
Атаки через GTP	GTP-C	Эксплуатация GPRS Tunnelling Protocol для перехвата данных при роуминге	Перехват пользовательского трафика на уровне оператора	❌Невозможна

3.3 Почему это критично для боевых условий

SS7 attack flow

Доступ в SS7
Атакующий получает доступ к сигнальной сети оператора.

Запрос в HLR/HSS
Сеть возвращает IMSI и маршрут до нужного VLR.

Запрос местоположения
Через Provide Subscriber Info извлекается актуальный Cell-ID.

Координаты цели
Cell-ID превращается в координаты с точностью примерно 50-300 метров.

Критично:телефон жертвы не видит эту атаку, потому что всё происходит на стороне оператора.

⚠

Ключевой факт:Атаки через SS7/Diameter происходятцеликом на стороне оператора- телефон жертвыне получает никаких уведомленийине может обнаружитьатаку. Никакой фаервол, VPN или антивирус на устройствене способензащитить от этого вектора. Единственная защита -не быть подключённым к сотовой сети.

EFF (Electronic Frontier Foundation) в мае 2024 года подала официальное обращение в FCC, требуя расследования уязвимостей SS7 и Diameter.

Часть IV

Supply Chain Attack: бомба замедленного действия

4.1 Анатомия атаки на цепочку поставок ПО

Supply Chain Attack- класс кибератак, при котором злоумышленник внедряет вредоносный код в промежуточное звено: библиотеку, инструмент сборки, дистрибутив ПО или модифицированный APK-файл.

Когда кто-то "обрабатывает" (взламывает, патчит) коммерческое приложение вроде AlpineQuest:

Декомпиляцияоригинального APK (apktool / jadx)
Модификацияsmali/Java-кода (удаление проверки лицензии)
Возможное внедрениедополнительного кода (бэкдор, C2-клиент)
Подписаниенового APKчужим ключом(не оригинальным ключом разработчика)
Распространениечерез Telegram-каналы, форумы, файлообменники

Supply chain

Легитимная цепочка

Разработчик
Оригинальный APK подписывается штатным ключом.

Google Play
Проверка подписи, канал доставки и Play Protect.

Пользователь
Устанавливает верифицированную сборку.

Скомпрометированная цепочка

Оригинальный APK
Берётся за основу для модификации.

Модификатор
Разбирает пакет, удаляет проверки, может внедрить payload.

Новый ключ
APK переподписывается чужим сертификатом.

Telegram / форум
Файл расходится без доверенной верификации.

4.2 Реальные кейсы supply chain атак (2023-2026)

Кейс	Дата	Группа/APT	Вектор	Цель	Последствия
Sandworm / APT44	Фев 2025	ГРУ ГШ ВС РФ (Unit 74455)	Троянизированные KMS-активаторы Microsoft (пиратские "кряки"), распространяемые на украинских торрент-трекерах	Украинские военные, госслужащие, IT-специалисты	BACKORDER loader - DarkCrystal RAT: кража credentials, cookies, кейлоггинг, SSH-бэкдор, полный доступ к системе
UAC-0184 (Viber)	Янв 2026	Россия-связанная APT	Вредоносные ZIP-архивы через Viber с двойными расширениями (.pdf.exe), социальная инженерия ("приказ", "разведданные")	Украинские военные, госслужащие	Полный удалённый доступ к устройствам через RAT
Signal Linked Devices	2025	Несколько российских APT	Эксплуатация функции "Привязанные устройства" Signal через QR-код (фишинг) - не уязвимость Signal, а социальная инженерия	Военные и дипломатические коммуникации	Перехват ВСЕЙ зашифрованной переписки в реальном времени на привязанном устройстве атакующего
Keenadu Firmware	Фев 2026	Неизвестна (предположительно государственная)	Бэкдор на уровне прошивки Android-планшетов, внедрённый на этапе производства / логистики	Конечные пользователи (включая военных)	Полный удалённый контроль с момента первого включения, персистентность даже после factory reset
SWP Berlin Report	2025	Аналитический отчёт	Stiftung Wissenschaft und Politik (Берлин) опубликовал исследование "An Achilles Heel of Today's Armed Forces" о рисках software supply chain для военных	Вооружённые силы НАТО	Системные рекомендации по аудиту ПО для военного применения

⛔

Абсолютное правило Лаборатории Шахулова:Использование модифицированного ("крякнутого") ПО на боевом устройстве - этопрямая угроза жизни личного состава. Аналогия: надеть "бронежилет", который "подшаманил" незнакомец на рынке.

Обязательный протокол для ПО в зоне БД:

Проверка цифровой подписи-apksigner verify --print-certs app.apk, сверка fingerprint с оригиналом
Sandbox-тестирование- запуск в изолированной среде с мониторингом сетевого трафика через Wireshark/mitmproxy минимум 48 часов
Статический анализ- декомпиляция через jadx, поиск подозрительных permissions, receivers, services
Аудит трафика- tcpdump / Wireshark на отдельном роутере, анализ всех DNS-запросов и TCP-соединений
Разрешённые источники:Google Play, F-Droid (проверенные open-source), официальные сайты разработчиков с HTTPS

Новый раздел v2.0Часть V

Модель OSI и baseband-процессор: компьютер, который вы не контролируете

5.1 Семь уровней и граница контроля программного фаервола

Уровень	Название	Что происходит	Защита фаерволом	Защита чехлом Фарадея
L7	Прикладной	HTTP/HTTPS, DNS, приложения, телеметрия	✔Да	✔
L6	Представительский	SSL/TLS шифрование, сертификаты	✔Частично	✔
L5	Сеансовый	Управление TCP-сессиями	✔Частично	✔
L4	Транспортный	TCP/UDP порты	✔Да	✔
L3	Сетевой	IP-адресация, маршрутизация	✔Да	✔
L2	Канальный	MAC-адреса, Wi-Fi фреймы, Bluetooth, NFC, GSM-кадры	❌НЕТ	✔Да
L1	Физический	Радиоволны, ЭМ-излучение, частоты GSM/LTE/5G/Wi-Fi/BT/GPS	❌НЕТ	✔Да

5.2 Baseband-процессор: закрытый компьютер внутри вашего телефона

В каждом смартфоне работаютдва независимых компьютерасраздельнымипроцессорами, памятью и операционными системами:

Dual processor model

Application Processor

Android / Linux KernelПриложенияФаерволВаши данные

Контроль:эту часть пользователь реально настраивает и видит.

Baseband Processor

RTOSGSM / LTE / 5GWi‑Fi / BT / GPS / NFCЗакрытый код

Контроль:пользователь не может полноценно аудировать и контролировать этот контур.

Связь между ними:Android отдаёт команды модему, но сам радиоконтур L1-L2 живёт в отдельном закрытом процессоре.

5.3 Реальные уязвимости baseband-процессоров (CVE)

Исследование / CVE	Дата	Что найдено	Воздействие
Google Project Zero: 18 zero-day в Samsung Exynos	Март 2023	18 уязвимостей нулевого дня в модемах Samsung Exynos, 4 из которых позволяютудалённое выполнение кода Over-The-Air(OTA) без взаимодействия с пользователем - достаточно знать номер телефона	Полный контроль над baseband. Затронуты: Pixel 6/7, Samsung Galaxy S22/A53 и десятки других
taszk.io: Full Chain Baseband Exploits	2024-2025	17+ уязвимостей (16 CVE от Samsung и MediaTek). Полная цепочка эксплоитов:OTA - baseband RCE - pivot to Application Processor	Over-the-air эксплуатация Android через baseband. Подобные эксплоиты использовались in-the-wild (Predator / NSO Pegasus)
BlackHat USA 2021: OTA Baseband Exploit	2021	Эксплуатация уязвимости в IMS-компоненте baseband (обработка SIP/XML-сообщений VoLTE/VoNR). Парсер XML реализован "с нуля" вместо стандартной библиотеки	Remote Code Execution через отправку специально сформированного VoLTE-вызова. Жертва даже не должна отвечать на звонок
BaseMirror (2024): 873 скрытые команды	2024	Инструмент автоматического реверс-инжиниринга обнаружил873 недокументированные командыbaseband в Samsung Shannon. 8 zero-day уязвимостей	Baseband содержит огромную скрытую поверхность атаки, не документированную производителем
KAIST LLFuzz (2025)	2025	Фреймворк фаззинга нижних уровней коммуникационных модемов. Обнаружены критические уязвимости, позволяющие вызвать крах модема одним пакетом	Denial of Service: устройство теряет связь. Потенциально - RCE
CVE-2026-21385 (Qualcomm, март 2026)	Март 2026	Integer overflow в графическом компоненте Qualcomm, затрагивающий200+ чипсетов. Эксплуатировалась in-the-wild до патча	Memory corruption - потенциально RCE. Затронуты Snapdragon 8 Gen 3 и сотни других

💀

Что это означает для бойца:Противник, обладающий эксплоитом уровня baseband (а государственные APT-группы ими обладают - см. NSO Pegasus, Predator), может:

Определить координатытелефона с высокой точностью
Включить микрофондля прослушивания
Получить полный доступк Android (через pivot baseband - AP)
Всё это -без единого действия со стороны жертвы, просто зная номер телефона

Фаервол-приложение не имеет НИКАКОГО доступа к baseband-процессору.Это как ставить замок на дверь дома, у которого нет стены с другой стороны.

5.4 Что "видит" противник на уровнях L1-L2

Даже привыключенном интернетеивключённом фаерволе, если не активирован авиарежим, радиомодуль продолжает:

Процесс	Что передаётся	Периодичность	Обнаруживается РЭР
Registration Request	IMSI/TMSI + IMEI при подключении к БС	При включении, смене БС	✔Всегда
Location Area Update	Сообщение сети о перемещении между зонами	При смене Location Area	✔Всегда
Paging Response	Ответ "я здесь" на запрос сети	При входящем вызове/SMS	✔Всегда
Measurement Reports	Уровень сигнала соседних БС (для handover)	Каждые 0.5-2 секунды	✔Для триангуляции
Wi-Fi Probe Requests	MAC-адрес + SSID известных сетей	Каждые 15-60 секунд при включённом Wi-Fi	✔Уникальный fingerprint
Bluetooth Discovery	BT MAC-адрес, имя устройства	Постоянно при включённом BT	✔Идентификация

Часть VI

IMSI-catchers и триангуляция: детальный разбор

6.1 Архитектура IMSI-catcher

IMSI-catcher(International Mobile Subscriber Identity catcher), также известный какStingray(Harris Corporation, США) илиDRT Box(Boeing/Digital Receiver Technology) - устройство, имитирующее легитимную базовую станцию.

Принцип эксплуатации:мобильные телефоны по протоколувсегда подключаются к базовой станции с наиболее сильным сигналомине проверяют подлинностьстанции в сетях 2G (GSM). В 3G/4G аутентификация сети существует, но IMSI-catcher может провестиdowngrade attack- принудить устройство переключиться на 2G.

IMSI-catcher

Нормальное подключение

Телефон
Ищет самую сильную легитимную станцию.

Реальная БС
Соединение строится напрямую с сетью оператора.

Атака

Ложная БС
IMSI-catcher даёт более сильный сигнал и притягивает устройство.

Перехват идентификаторов
Снимаются IMSI, IMEI, TMSI и возможен downgrade до 2G.

MitM-ретрансляция
Трафик проксируется к реальной сети и к оператору противника.

6.2 Метод LTRACK: менее 6 метров точности без ложной БС

LTRACK(USENIX Security 2022) - метод определения местоположения телефона в сети LTEбез использования ложной базовой станции:

IMSI Extractor:извлекает IMSI устройства через технику "message overshadowing"
Пассивный сниффер:мониторит uplink/downlink без передачи, что делает методпрактически необнаружимым
Точность:менее6 метровв 90% случаев при прямой видимости
Преимущество:не требует downgrade до 2G, работает в LTE

6.3 Три эшелона методов определения местоположения

Эшелон	Метод	Точность	Дальность	Обнаруживаемость	Стоимость
1. RF/SIGINT	Пассивная радиопеленгация (Direction Finding), TDOA, FDOA	5-50м	До 20 км	Необнаружима (пассивная)	$50K-500K
1. RF/SIGINT	IMSI-catcher / Stingray / DRT Box	10-100м	1-5 км (наземный), 5-10 км (БПЛА)	Обнаружима (активная)	$10K-200K
1. RF/SIGINT	LTRACK (пассивный LTE)	менее 6м	До 1 км	Необнаружима	$5K-50K
2. Сетевой	SS7 Provide Subscriber Info	50-300м (Cell-ID)	Глобальная	Необнаружима для жертвы	$1K-10K за запрос
2. Сетевой	Diameter/GTP атаки (4G/5G)	50-300м	Глобальная	Необнаружима для жертвы	Аналогично SS7
3. Программный	Вредоносное ПО / backdoor в APK	3-10м (GPS)	Глобальная (через интернет)	Обнаружима при аудите	$0 (если есть доступ)
3. Программный	Advertising ID / RTB tracking	10-50м	Глобальная	Необнаружима для пользователя	$1K-5K за поток данных

Часть VII

Чехол Фарадея: физика, стандарты и тактика применения

7.1 Физика экранирования

В 1836 году Майкл Фарадей продемонстрировал, что замкнутая проводящая оболочка экранирует внутреннее пространство от внешних электростатических полей. Для электромагнитных волн эффективность экранирования зависит от:проводимости материала(медь, никель, серебро),толщины и плотностиплетения металлизированных нитей,герметичности застёжки(любая щель > 1/20 длины волны пропускает сигнал),частотного диапазона.

7.2 Стандарты и реальные характеристики

Параметр	Военный стандарт	Качественные коммерческие	Дешёвые чехлы
Стандарт	MIL-STD-188-125-2 + IEEE 299-2006	Собственное тестирование, CE	Без сертификации
Затухание (dB)	60-100+ dB	40-80 dB	10-30 dB
Что означает	Сигнал ослабляется в 1 000 000 - 10 000 000 000 раз	Сигнал ослабляется в 10 000 - 100 000 000 раз	Сигнал ослабляется в 10 - 1000 раз (может быть НЕДОСТАТОЧНО)
Производители	Mission Darkness, GoDark (Military)	Disklabs, SLNT, Shieldex	Noname с AliExpress
Цена	$50-200	$20-80	$3-15

⚠

ВАЖНО:Дешёвый чехол с затуханием 10-30 dB может бытьНЕДОСТАТОЧЕНдля блокировки сигнала. Базовая станция может принимать сигналы с мощностью -110 dBm. Если телефон излучает +23 dBm (200 мВт) и чехол даёт 30 dB затухания, выходной сигнал составит -7 dBm -всё ещё достаточно для обнаружения на расстоянии нескольких километров.

7.3 Парадокс "выхода из чехла" и тактический протокол

🔴

Парадокс:Когда телефон извлекается из чехла Фарадея, он немедленно начинаетburst transmission- массовую отправку накопившихся запросов. Этот всплескв 5-10 раз более заметендля средств РЭР, чем постоянное фоновое присутствие в сети.

Тактический протокол использования чехла Фарадея:

ДО помещения в чехол:Включить авиарежим - Вручную отключить Wi-Fi, Bluetooth, NFC - Дождаться исчезновения индикаторов связи
Помещение в чехол:Убедиться в полном закрытии застёжки. Проверить: позвонить на номер - должен быть "абонент недоступен"
Извлечение:НЕ включать сетевые модули на текущей позиции - Переместиться на300+ метров- Только после перемещения выключить авиарежим - Использовать устройствоминимальное время, затем снова в чехол

Часть VIII

Авиарежим: программная команда vs физическое отключение

8.1 Что реально происходит при включении авиарежима

Авиарежим - этопрограммная команда(AT+CFUN=4 или аналог) операционной системы baseband-процессору. Baseband работает подсобственной закрытой RTOS, и команда - это лишьзапрос, который firmwareдолженисполнить.

Как отмечают разработчики GrapheneOS:"Airplane mode doesn't shut off your baseband. It just sends it a message saying 'go into airplane mode'. The firmware is still running."

8.2 Уровни защиты: от минимального к максимальному

Действие	Уровень	Что защищает	Что НЕ защищает
Фаервол ВКЛ	Низкий	L3-L7: блокировка приложений	L1-L2: радиомодуль работает, SS7 атаки, baseband exploits
Авиарежим ВКЛ	Средний	L1-L7 (если baseband исполняет команду)	Зависит от firmware: теоретически может игнорировать
Авиарежим + ручное откл. Wi-Fi/BT/NFC	Средний+	Все радиоинтерфейсы (если firmware честен)	Baseband firmware всё ещё активен
Авиарежим + чехол Фарадея	Высокий	Двойная защита: программная + физическая	Устройство всё ещё включено, данные в памяти
Выключение + чехол Фарадея	Очень высокий	Минимальный RF-след	Некоторые устройства отвечают на AT-команды в выключенном состоянии
Извлечение аккумулятора + чехол Фарадея	Максимальный	Физическая невозможность работы	Недоступно на 95% современных смартфонов с несъёмной батареей

Новый раздел v2.0Часть IX

Рекомендации NSA и CISA: что говорят спецслужбы

9.1 NSA Mobile Device Best Practices (2020, обновлено 2024)

Выключайте Bluetooth, Wi-Fi, NFCкогда не используете
Не приносите устройствов зоны с чувствительной информацией
Перезагружайте устройствоеженедельно (прерывает persistence exploits)
Отключайте геолокационные сервисыкогда не нужны
Используйте сильный PIN(минимум 6 цифр) или пароль
Обновляйте ОС и приложениякак только обновления доступны
Не используйте публичные Wi-Fiи не подключайтесь к неизвестным сетям
Не рутуйте / не джейлбрейкайтеустройство
Используйте только доверенные аксессуары(кабели, зарядки)

9.2 CISA Mobile Communications Best Practice Guidance (ноябрь 2025)

CISAвыпустила обновлённое руководство в ответ на кампании кибершпионажа, связанные сКНР (PRC):

Используйте end-to-end зашифрованные мессенджеры(Signal) вместо SMS
Включите FIDO2/аппаратные ключидля MFA (не SMS-коды - они уязвимы через SS7)
Избегайте SMS для аутентификации- перехват через SS7 документирован и подтверждён
Включите Advanced Protection Program(Google) или Lockdown Mode (Apple)
Используйте Private DNS(DNS-over-HTTPS / DNS-over-TLS)

🇺🇸

Ключевой вывод из рекомендаций NSA/CISA:Даже для гражданских лиц в мирных условиях рекомендации включают отключение Wi-Fi/BT, избегание SMS, и неиспользование устройства в чувствительных зонах. Длябойца в зоне боевых действийэти рекомендации должны исполнятьсямногократно строже.

Часть X

Комплексный OPSEC и тактические протоколы

10.1 Многоуровневая модель защиты (Defense in Depth)

Defense in depth

Физическая безопасность
Чехол Фарадея, раздельные устройства, уничтожение при риске захвата.

Радиочастотная дисциплина
Авиарежим по умолчанию, ручное отключение Wi‑Fi/BT/NFC, минимум времени в эфире.

Программная защита
GrapheneOS, системный контроль сети, только верифицированное ПО.

Криптография
FDE, Signal / Briar, контейнеры VeraCrypt.

Процедуры
Обучение, SOP, регулярная смена идентификаторов и тактическая дисциплина.

10.2 Двенадцать золотых правил

📋

12 правил мобильной безопасности в зоне БД (Shahulov Lab Standard):

Два устройства- боевое (минимум ПО, без личных данных, одноразовая SIM) и личное (НИКОГДА не берётся на позиции)
Авиарежим - состояние по умолчанию.Включение связи - осознанное действие на минимальное время
Правило 2 минут / 300 метров:максимум 2 минуты в эфире, затем смена позиции на 300+ метров
Никакого модифицированного ПО.Только Google Play, F-Droid, официальные сайты с HTTPS. Каждый APK - проверка подписи
Фаервол с kill-switch+ обязательные настройки Always-on VPN и Block without VPN. Понимание ограничений
Чехол Фарадеясертифицированный (MIL-STD-188-125-2). Авиарежим ПЕРЕД помещением в чехол
Отключение всей телеметрии:Google, Яндекс, аналитика. Гранулярная блокировка, не полная
Сильное шифрование:пароль минимум 8 символов (не PIN!), Full Disk Encryption, VeraCrypt для файлов
Signal для связис проверкой Safety Number при каждой встрече. НИКОГДА не SMS для чувствительной информации
Удалённое стираниенастроено и протестировано заранее. План действий при захвате устройства
Обучение:каждый боец должен понимать WHY, а не только WHAT. Без понимания - правила не работают
TSCM-мышление:перед использованием связи - оценка электромагнитной обстановки. Не слишком ли сильный сигнал неизвестной БС?

10.3 Стандартная операционная процедура (SOP) использования устройства

SOP

Оценить обстановку
Если окно небезопасно, связь не включается.

Сместиться на 300м+
Работа с устройством только вне основной позиции.

Извлечь из чехла
Только после перемещения.

Выключить авиарежим
Wi‑Fi и Bluetooth остаются выключенными.

Таймер 2 минуты
Выполнить только нужную задачу.

Снова авиарежим
По завершении или по таймеру.

Отключить все радиомодули
Wi‑Fi, BT, NFC вручную.

Вернуть в чехол и сменить точку
После работы снова убрать устройство и покинуть место сеанса.

Часть XI

Компонент	Рекомендация	Обоснование
Устройство	Google Pixel 8/9 с GrapheneOS	Titan M2 security chip, аппаратная изоляция baseband, hardened ядро, verified boot, per-app network control, LTE-only mode
Чехол Фарадея	Mission Darkness / GoDark (MIL-STD-188-125-2)	Сертифицированное затухание 60-100+ dB, блокировка 200 MHz - 40 GHz
Внешний аккумулятор	20000+ mAh с солнечной панелью	Автономность в полевых условиях
Кабели	Только data-block USB кабели	Защита от Juice Jacking (атака через зарядные порты). NSA рекомендует использовать только свои аксессуары

Задача	Основное решение	Альтернатива	Почему
ОС	GrapheneOS	Stock Android + NetGuard	Изоляция baseband, per-app network, hardened malloc, exec spawning
Навигация	OsmAnd (open-source, оффлайн)	Organic Maps	Оффлайн карты, нет телеметрии, open-source - аудируемый код
Связь	Signal (E2E, проверка Safety Number)	Briar (peer-to-peer, без сервера, работает через Tor/Wi-Fi/BT)	E2E шифрование. Briar не требует интернета - работает через mesh
Фаервол	Per-app network toggle (GrapheneOS)	NetGuard (open-source) + kill-switch	Системный контроль без VpnService, совместимость с VPN
DNS	Private DNS: NextDNS / Quad9 (DoT/DoH)	RethinkDNS (open-source, on-device)	Шифрование DNS-запросов, блокировка телеметрии на уровне DNS
Шифрование файлов	EDS Lite (VeraCrypt-совместимый)	Cryptomator	Создание зашифрованных контейнеров для чувствительных данных
2FA	Аппаратный ключ (YubiKey 5 NFC)	Aegis Authenticator (open-source TOTP)	FIDO2 - невозможно перехватить через SS7 (в отличие от SMS)

Что правильно и что критически важно понимать глубже

✔Что правильно в исходных рекомендациях

Использование программного фаервола -верное направление, но требует правильной настройки и понимания ограничений
Чехол Фарадея -эффективное средствофизической защиты на уровнях L1-L2
Осознание проблемы несанкционированной передачи данных -правильный вектормышления

⚠Что критически важно понимать глубже

Фаервол без root работает через VpnService API иможет быть "убит" ОС
1e100.net - это инфраструктура Google, не "вражеский ресурс". Полная блокировкасоздаёт пульсирующий RF-шум
"Обработанный хакерами" AlpineQuest - потенциальнаяSupply Chain Attack
Программный фаерволне контролируетL1-L2. Baseband содержит 873+ недокументированных команд
Атаки черезSS7/Diameterпроисходят на стороне оператора - устройствоне может их обнаружить
Авиарежим -программная команда, а не физическое отключение

🎯

Безопасность мобильного устройства в зоне боевых действий - это не одно приложение и не один чехол. Это пятиуровневая система Defense in Depth:

Физическая(чехол Фарадея, раздельные устройства)
Радиочастотная(авиарежим, минимальное время в эфире)
Программная(GrapheneOS, фаервол, верифицированное ПО)
Криптографическая(Signal, FDE, VeraCrypt)
Процедурная(обучение, SOP, TSCM-мышление)

Каждый уровень компенсирует слабости другого.Без понимания стека TCP/IP, модели OSI, архитектуры baseband и методов SS7-атак любая мера безопасности превращается вцифровое плацебо- опасную иллюзию защищённости, которая может стоить жизней.

Источники

Источники и ссылки

Академические и исследовательские

KAIST (2025).LLFuzz: Lower Layer Fuzz.Фреймворк тестирования безопасности коммуникационных модемов
LTRACK (2022).Stealthy Tracking of Mobile Phones in LTE.USENIX Security Symposium
taszk.io (2024-2025).Full Chain Baseband Exploits.17+ CVE в Samsung Shannon и MediaTek
BaseMirror (2024).Automatic Reverse Engineering of Baseband Commands.873 недокументированные команды, 8 zero-day
BlackHat USA (2021).Over The Air Baseband Exploit: Gaining RCE on 5G Smartphones
Google Project Zero (2023).18 Zero-Day Vulnerabilities in Samsung Exynos Chipsets

Разведывательные и аналитические

Enea (2024).Location Tracking on The Battlefield.Cathal Mc Daid, VP of Technology
Commsrisk (2024).How Russia and Ukraine Tracks Mobile Phones on the Battlefield
SWP Berlin (2025).An Achilles Heel of Today's Armed Forces: Software Supply Chain Risks
EFF (2024).EFF to FCC: SS7 is Vulnerable, and Telecoms Must Acknowledge That
P1 Security (2025).Location Tracking Attacks: How Adversaries Exploit Mobile Networks

Государственные рекомендации

NSA (2020, обновлено 2024).Mobile Device Best Practices.Агентство национальной безопасности США
NSA (2018).Mobile Device Best Practices When Traveling OCONUS
CISA (ноябрь 2025).Mobile Communications Best Practice Guidance.В ответ на PRC-кампании
U.S. Army Cyber Command.NSA Mobile Device Best Practices Guide

Технические

GrapheneOS Project.FAQ: Baseband Isolation, Per-App Network Toggle
Mullvad VPN (2024).Android DNS Leak Vulnerability
Android 16 VPN Bug (2026).Always-on VPN and Kill Switch Bypass
Google (2009).What is 1e100.net?Официальное разъяснение
MITRE ATT&CK.T1430.002: Location Tracking: Impersonate SS7 Nodes

Инциденты

BBC (2023).Makiivka attack: Could mobile phones have revealed Russian soldiers' location?
МО РФ (4 января 2023). Официальное заявление о потерях в Макеевке
CVE-2026-21385.Qualcomm Graphics Component Integer Overflow.200+ чипсетов, exploited in-the-wild