Source: USENIX Security 2025 — Dans un article de recherche, des auteurs de la Singapore University of Technology and Design dévoilent SNI5GECT, un framework open source pour le sniffing et l’injection de messages 5G NR avant authentification, permettant des attaques ciblées sans déployer de rogue gNB.
SNI5GECT agit comme un tiers sur l’interface radio: il synchronise la cellule, sniffe en temps réel les messages uplink/downlink pré-authentification (DCI/PDCCH, PDSCH, PUSCH), suit l’état du protocole (RACH, RRC attach, NAS) puis injecte des payloads en downlink au bon moment. Il atteint >80% d’exactitude de sniffing UL/DL et 70–90% de réussite d’injection jusqu’à 20 m. L’équipe a évalué l’outil avec 5 UEs 5G (OnePlus Nord CE2/MediaTek, Galaxy S22/X65, Pixel 7/Exynos 5300, Huawei P40 Pro/Balong 5000, modem Fibocom X55) et avec un gNB open-source (srsRAN) et un gNB commercial (Effnet + Phluido RRU) via USRP B210. 🔬📶
Attaques démontrées et impact:
- Crashes d’UE via messages malformés (ex. 5Ghoul), avec des taux de succès élevés (jusqu’à 100% selon le cas) et variations selon distance/modèle.
- Downgrade 5G→4G par injection de Registration Reject (succès élevés; comportement confirmé côté 5G/4G avec srsRAN et Effnet).
- Exfiltration d’identité par Identity Request (SUCI catcher): attaque « one-shot + réponse » avec des taux autour de ~60% (variant selon appareil et distance).
- Attaques multi‑étapes avec injections successives en fonctions d’états RRC/NAS; succès jusqu’à 93%.
Nouvelle attaque de downgrade (multi‑étapes) et divulgation coordonnée:
- Injection/rejeu d’Authentication Request avec SQN invalide pour forcer le minuteur T3520, déclenchant des Authentication Failure successifs, le blacklisting du gNB par l’UE, la déconnexion 5G et la bascule vers 4G. Risque reconnu par la GSMA (identifiant CVD-2024-0096). Les auteurs montrent l’implication: une fois en 4G, un IMSI-catcher peut récupérer l’IMSI en clair.
Résultats et limites notables:
- Sniffing DL très fiable; UL plus sensible aux cadrages/TA mais robuste dans une fenêtre TA±4 (~±1,04 µs). Taux d’injection soutenus en répétant les messages sur plusieurs sous-trames et en « overshadowing » les slots du gNB.
- Avec un gNB commercial Effnet, taux un peu moindres (scheduling plus dense, plus de collisions), mais attaques toujours réalisables en multipliant les injections.
- Portée typique démontrée jusqu’à ~20 m; attaques pré‑authentification et downlink uniquement; nécessite une calibration de délai d’injection.
TTPs (techniques observées):
- Sniffing pré‑authentification UL/DL (DCI, PDSCH, PUSCH), suivi d’état RRC/NAS.
- Injection/overshadowing downlink synchronisé par slot OFDM, DCI synthétique, duplication multi‑slots.
- Rejeu d’Authentication Request (SQN invalide) pour forcer T3520 et downgrade.
- Registration Reject (N1 mode not allowed) pour bidding‑down 5G→4G.
- Identity Request pour fingerprinting/SUCI catcher.
Conclusion: Il s’agit d’une publication de recherche présentant un outil de test et d’évaluation pratique des attaques 5G NR « in the wild », avec preuve expérimentale (performances, multi‑UEs, gNB open‑source et commercial) et divulgation coordonnée d’un nouveau risque de downgrade.
🧠 TTPs et IOCs détectés
TTP
Sniffing pré-authentification UL/DL (DCI, PDSCH, PUSCH), suivi d’état RRC/NAS, Injection/overshadowing downlink synchronisé par slot OFDM, DCI synthétique, duplication multi-slots, Rejeu d’Authentication Request (SQN invalide) pour forcer T3520 et downgrade, Registration Reject (N1 mode not allowed) pour bidding-down 5G→4G, Identity Request pour fingerprinting/SUCI catcher.
IOC
Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse technique fournie.
🔗 Source originale : https://www.usenix.org/conference/usenixsecurity25/presentation/luo-shijie