MESSAGETAP
Čínská hackerská skupina známá jako APT41 (Advanced Persistent Threat) byla objevena pomocí sofistikovaného hackerského nástroje zvaného MESSAGETAP. První aktivita malwaru MESSAGETAP byla zaznamenána na začátku roku 2019. Když APT41 neprovádí finančně motivované kampaně, tato hackerská skupina slouží jako útočný pes pro čínskou vládu. Je známo, že mají zacílené organizace a jednotlivce, o nichž se předpokládá, že jsou v zájmu pekinských úředníků.
Hledá konkrétní textové řetězce a cílené osoby
Hrozba MESSAGETAP ohrožuje telekomunikační společnosti a zacílí na SMS zprávy. Tento hackerský nástroj byl naprogramován tak, aby cílil na konkrétní jednotlivce nebo hledal určité řetězce textu a klíčových slov, která mohou být přítomna v zachycených textových zprávách. Nasazení malwaru MESSAGETAP se provádí na serverech Linux. Tyto servery se používají jako SMSC (Short Message Service Center), což je infrastruktura, která se podílí na přijímání a doručování textových zpráv. Když malware MESSAGETAP úspěšně napadne hostitele, bude hledat soubory 'keyword_parm.txt' a 'parm.txt'. První obsahuje seznam klíčových slov, která má malware MESSAGETAP hledat v zachycených textových zprávách. Posledně uvedený soubor však obsahuje seznam čísel IMSI (International Mobile Subscriber Identity), která jsou jedinečná pro každou SIM kartu zaregistrovaného uživatele a lze je použít k identifikaci jednotlivců, kteří byli cíleni na špionážní kampaň APT41.
Shromážděná data jsou pravidelně přenášena na server APT41
Pokud byly oba soubory zasazeny do paměti cíle spolu s kódem malwaru MESSAGETAP, tato hrozba zajistí vymazání otisků prstů jeho ohrožujících činností vymazáním souborů. Dále hackerský nástroj MESSAGETAP bude pokračovat v útoku hledáním textových řetězců, které byly naprogramovány tak, aby vyčesaly, a textové zprávy, které odpovídají kritériím, budou shromážděny v seznamu. Malware MESSAGETAP také shromáždí textové zprávy konkrétních čísel IMSI a uloží je do jiného seznamu. Data z obou seznamů jsou pak pravidelně přenášena na server útočníků. Je pravděpodobné, že APT41 používá hackerský nástroj MESSAGETAP ke kompromitaci politických organizací, vládních orgánů a vojenských institucí, které jsou celosvětově považovány za relevantní pro čínské zájmy.
Malwaroví odborníci si nejsou jisti, jak je APT41 schopen infiltrovat telekomunikační poskytovatele, ale je jasné, že čínská vláda neváhá využít služeb kyberkriminálů k prosazování svých zájmů. Bylo spekulováno, že hackerský nástroj MESSAGETAP může být použit v operacích proti protestům v Hongkongu a je pravděpodobně využíván při sledování aktivit významných osobností zapojených do protin Pekingských shromáždění.
