MESSAGETAP
Η κινεζική ομάδα hacking γνωστή ως APT41 (Advanced Persistent Threat) εντοπίστηκε χρησιμοποιώντας ένα εξελιγμένο εργαλείο hacking που ονομάζεται MESSAGETAP. Η πρώτη δραστηριότητα του κακόβουλου λογισμικού MESSAGETAP εντοπίστηκε στις αρχές του 2019. Όταν το APT41 δεν εκτελεί εκστρατείες με οικονομικά κίνητρα, αυτή η ομάδα hacking χρησιμεύει ως σκύλος επίθεσης για την κινεζική κυβέρνηση. Είναι γνωστό ότι έχουν στοχευμένες οργανώσεις και άτομα που θεωρούνται ότι ενδιαφέρουν τους αξιωματούχους του Πεκίνου.
Αναζητά συγκεκριμένες χορδές κειμένου και στοχοθετημένα άτομα
Η απειλή MESSAGETAP θέτει σε κίνδυνο τις εταιρείες τηλεπικοινωνιών και τα μηνύματα SMS. Αυτό το εργαλείο hacking προγραμματίστηκε είτε για να στοχεύσει συγκεκριμένα άτομα είτε να αναζητήσει συγκεκριμένες συμβολοσειρές κειμένου και λέξεων-κλειδιών, οι οποίες μπορεί να υπάρχουν στα εντοπισμένα μηνύματα κειμένου. Η ανάπτυξη του κακόβουλου λογισμικού MESSAGETAP πραγματοποιείται σε διακομιστές Linux. Αυτοί οι διακομιστές χρησιμοποιούνται ως SMSC (Κέντρα Υπηρεσιών Σύντομων Μηνυμάτων), η οποία είναι η υποδομή που εμπλέκεται στη λήψη και την παράδοση μηνυμάτων κειμένου. Όταν το κακόβουλο λογισμικό MESSAGETAP υπονομεύει επιτυχώς έναν κεντρικό υπολογιστή, θα αναζητήσει τα αρχεία 'keyword_parm.txt' και 'parm.txt'. Ο πρώτος περιέχει μια λίστα λέξεων-κλειδιών που σκοπεύει να εντοπίσει το κακόβουλο λογισμικό MESSAGETAP στα εντοπισμένα μηνύματα κειμένου. Ωστόσο, ο τελευταίος φάκελος περιέχει έναν κατάλογο των αριθμών IMSI (International Mobile Subscriber Identity), οι οποίοι είναι μοναδικοί για την κάρτα SIM κάθε εγγεγραμμένου χρήστη και μπορούν να χρησιμοποιηθούν για τον εντοπισμό ατόμων που είχαν στόχο την εκστρατεία κατασκοπείας του APT41.
Τα Συγκεντρωμένα Δεδομένα μεταφέρονται περιοδικά στον διακομιστή APT41
Όταν και τα δύο αρχεία έχουν φυτευτεί στη μνήμη του στόχου, παράλληλα με τον κώδικα του κακόβουλου λογισμικού MESSAGETAP, η απειλή αυτή θα μειώσει το δακτυλικό αποτύπωμα των απειλητικών δραστηριοτήτων του, διαγράφοντας τα αρχεία του. Στη συνέχεια, το εργαλείο hacking MESSAGETAP θα προχωρήσει με την επίθεση αναζητώντας τις χορδές κειμένου που είχε προγραμματιστεί για να ξεγελάσει και τα μηνύματα κειμένου που πληρούν τα κριτήρια θα συλλέγονται σε μια λίστα. Το malware MESSAGETAP θα συγκεντρώσει επίσης τα μηνύματα κειμένου των συγκεκριμένων αριθμών IMSI και θα τα αποθηκεύσει σε μια άλλη λίστα. Τα δεδομένα και από τις δύο λίστες μεταφέρονται περιοδικά στο διακομιστή των εισβολέων. Είναι πιθανό ότι το APT41 χρησιμοποιεί το εργαλείο hacking MESSAGETAP για να θέσει σε κίνδυνο πολιτικές οργανώσεις, κυβερνητικούς οργανισμούς και στρατιωτικούς οργανισμούς, οι οποίοι θεωρούνται ότι ενδιαφέρουν τα κινεζικά συμφέροντα σε παγκόσμιο επίπεδο.
Οι ειδικοί για το κακόβουλο λογισμικό δεν είναι σίγουροι για το πώς το APT41 είναι ικανό να διεισδύει στους παρόχους τηλεπικοινωνιών, αλλά είναι σαφές ότι η κινεζική κυβέρνηση δεν διστάζει να χρησιμοποιήσει τις υπηρεσίες των εγκληματιών στον κυβερνοχώρο για να προωθήσει τα συμφέροντά τους. Έχει υποθέσει ότι το εργαλείο hacking του MESSAGETAP μπορεί να χρησιμοποιηθεί σε επιχειρήσεις που αντιτίθενται στις διαμαρτυρίες του Χονγκ Κονγκ και πιθανότατα χρησιμοποιείται για την παρακολούθηση των δραστηριοτήτων σημαντικών προσωπικοτήτων που συμμετέχουν στις συγκεντρώσεις κατά του Πεκίνου.
