MESSAGETAP

Den kinesiske hackinggruppe kendt som APT41 (Advanced Persistent Threat) er blevet plettet ved hjælp af et sofistikeret hackingværktøj kaldet MESSAGETAP. Den første aktivitet af MESSAGETAP malware blev fundet i begyndelsen af 2019. Når APT41 ikke gennemfører finansielt motiverede kampagner, fungerer denne hackinggruppe som en angrebshund for den kinesiske regering. Det vides, at de har målrettede organisationer og enkeltpersoner, der anses for at være af interesse for Pekings embedsmænd.

Ser efter specifikke tekststrenge og målrettede personer

MESSAGETAP-truslen kompromitterer telekommunikationsselskaber og er målrettet mod SMS-beskeder. Dette hackingværktøj blev programmeret til enten at målrette mod specifikke individer eller kigge efter bestemte strenge tekst og nøgleord, som kan være til stede i de opfangede tekstmeddelelser. Implementeringen af MESSAGETAP-malware udføres på Linux-servere. Disse servere bruges som SMSC (Short Message Service Centers), som er infrastrukturen, der er involveret i modtagelse og levering af tekstbeskeder. Når MESSAGETAP-malware kompromitterer en vært med succes, ser den efter 'nøgleordet_parm.txt' og 'parm.txt' -filerne. Førstnævnte indeholder en liste over nøgleord, som MESSAGETAP-malware er beregnet til at se efter i de opfangede tekstmeddelelser. Den sidstnævnte fil indeholder imidlertid en liste over IMSI-numre (International Mobile Subscriber Identity), som er unikke for hver registreret brugers SIM-kort og kan bruges til at identificere enkeltpersoner, der var målrettet til spionage-kampagnen i APT41.

De indsamlede data overføres periodisk til APT41-serveren

Når begge filer er plantet i hukommelsen på målet sammen med koden til MESSAGETAP malware, vil denne trussel sørge for at reducere fingeraftrykket for dets truende aktiviteter ved at slette dets filer. Dernæst fortsætter MESSAGETAP-hackingværktøjet med angrebet ved at lede efter de tekststrenge, det var programmeret til at snuse ud, og de tekstmeddelelser, der passer til kriterierne, vil blive samlet på en liste. MESSAGETAP-malware indsamler også tekstbeskeder med de specifikke IMSI-numre og gemmer dem på en anden liste. Dataene fra begge lister overføres derefter med jævne mellemrum til angribernes server. Det er sandsynligt, at APT41 bruger MESSAGETAP-hackingværktøjet til at kompromittere politiske organisationer, regeringsorganer og militære institutioner, der betragtes som relevante for de kinesiske interesser globalt.

Malware-eksperter er ikke sikre på, hvordan APT41 er i stand til at infiltrere telekommunikationsudbydere, men det er klart, at den kinesiske regering ikke tøver med at bruge cyberkriminelle tjenester til at fremme deres interesser. Det er blevet spekuleret i, at MESSAGETAP-hackingværktøjet kan bruges til operationer mod Hong Kong-protesterne og sandsynligvis bruges til at følge aktiviteterne fra fremtrædende figurer involveret i anti-Beijing-stævnerne.