MESSAGETAP
Kiinalainen hakkerointiryhmä, joka tunnetaan nimellä APT41 (Advanced Persistent Threat), on havaittu käyttämällä hienostunutta hakkerointityökalua nimeltä MESSAGETAP. MESSAGETAP-haittaohjelmien ensimmäinen toiminta havaittiin vuoden 2019 alussa. Kun APT41 ei suorita taloudellisesti motivoituja kampanjoita, tämä hakkerointiryhmä toimii hyökkäyskoirana Kiinan hallitukselle. Heillä tiedetään olevan kohdennettuja organisaatioita ja henkilöitä, joiden katsotaan kiinnostavan Pekingin virkamiehiä.
Etsii tiettyjä tekstimerkkejä ja kohdennettuja henkilöitä
MESSAGETAP-uhka vaarantaa teleyritykset ja kohdistaa tekstiviestit. Tämä hakkerointityökalu on ohjelmoitu joko kohdistamaan tiettyihin henkilöihin tai etsimään tiettyjä teksti- ja avainsanoja, joita voi olla sieppatuissa tekstiviesteissä. MESSAGETAP-haittaohjelmien käyttöönotto suoritetaan Linux-palvelimilla. Näitä palvelimia käytetään SMSC: na (Short Message Service Centers), joka on tekstiviestien vastaanottamiseen ja toimittamiseen tarkoitettu infrastruktuuri. Kun MESSAGETAP-haittaohjelma vaarantaa isännän onnistuneesti, se etsii avainsanan_parm.txt- ja parm.txt-tiedostoja. Edellisessä on luettelo avainsanoista, joita MESSAGETAP-haittaohjelmien on tarkoitus etsiä sieppatuissa tekstiviesteissä. Jälkimmäinen tiedosto sisältää kuitenkin luettelon IMSI-numeroista (International Mobile Subscriber Identity), jotka ovat yksilöllisiä jokaiselle rekisteröidyn käyttäjän SIM-kortille ja joita voidaan käyttää tunnistamaan henkilöitä, joille on kohdistettu APT41: n vakoilukampanja.
Kerätyt tiedot siirretään säännöllisesti APT41-palvelimelle
Kun molemmat tiedostot on istutettu kohteen muistiin MESSAGETAP-haittaohjelman koodin rinnalla, tämä uhka vähentää sen uhkaavien toimintojen sormenjäljet poistamalla tiedostot. Seuraavaksi MESSAGETAP-hakkerointityökalu jatkaa hyökkäystä etsimällä tekstijonoja, jotka se oli ohjelmoitu nuuskimaan, ja kriteerit täyttävät tekstiviestit kerätään luetteloon. MESSAGETAP-haittaohjelma kerää myös tiettyjen IMSI-numeroiden tekstiviestit ja tallentaa ne toiseen luetteloon. Tämän jälkeen molempien luetteloiden tiedot siirretään ajoittain hyökkääjien palvelimelle. On todennäköistä, että APT41 käyttää MESSAGETAP-hakkerointityökalua vaarantaakseen poliittiset organisaatiot, hallintoelimet ja sotilaslaitokset, joiden katsotaan olevan tärkeitä Kiinan etujen kannalta maailmanlaajuisesti.
Haittaohjelmien asiantuntijat eivät ole varmoja siitä, kuinka APT41 kykenee tunkeutumaan tietoliikenteen tarjoajiin, mutta on selvää, että Kiinan hallitus epäröi käyttää verkkorikollisten palveluita etujensa edistämiseksi. On arveltu, että MESSAGETAP-hakkerointityökalua voidaan käyttää Hongkongin mielenosoitusten vastaisissa operaatioissa, ja sitä todennäköisesti käytetään seuraamaan Pekingin vastaisiin mielenosoituksiin osallistuvien merkittävien henkilöiden toimintaa.
