MESSAGETAP

Kineska skupina za hakiranje poznata kao APT41 (Advanced Persistent Threat) primijećena je pomoću sofisticiranog alata za hakiranje pod nazivom MESSAGETAP. Prva aktivnost zlonamjernog softvera MESSAGETAP uočena je početkom 2019. Kada APT41 ne provodi financijski motivirane kampanje, ova skupina hakiranja služi kao pas napada kineske vlade. Poznato je da imaju ciljane organizacije i pojedince za koje se smatra da su zanimljivi za Pekingove dužnosnike.

Traži određene tekstualne nizove i ciljane pojedince

Prijetnja MESSAGETAP kompromitira telekomunikacijske tvrtke i cilja SMS poruke. Ovaj alat za hakiranje programiran je ili za ciljanje određenih pojedinaca ili za traženje određenih nizova teksta i ključnih riječi koji mogu biti prisutni u presretnutim tekstualnim porukama. Uvođenje zlonamjernog softvera MESSAGETAP provodi se na Linux poslužiteljima. Ovi se poslužitelji koriste kao SMSC (Short Message Service Centers), što je infrastruktura uključena u primanje i isporuku tekstualnih poruka. Kada se MESSAGETAP zlonamjerni softver uspješno kompromitira s hostom, tražit će datoteke 'Keyword_parm.txt' i 'parm.txt'. Prva sadrži popis ključnih riječi koje su zlonamjerni softver MESSAGETAP trebali potražiti u presretnutim tekstualnim porukama. Potonja datoteka, međutim, sadrži popis IMSI (International Mobile Subscriber Identity) brojeva, koji su jedinstveni za SIM karticu svakog registriranog korisnika i mogu se koristiti za identifikaciju pojedinaca koji su bili namijenjeni kampanji špijunaže APT41.

Prikupljeni podaci povremeno se prenose na poslužitelj APT41

Kad su obje datoteke zasađene u memoriji cilja, uz kôd zlonamjernog softvera MESSAGETAP, ova prijetnja će osigurati smanjenje otiska prsta njegovih prijetnjivih aktivnosti brisanjem datoteka. Zatim će alat za hakiranje MESSAGETAP nastaviti s napadom tražeći tekstualne nizove iz kojih je programiran da njuška, a tekstualne poruke koje odgovaraju kriterijima bit će sakupljene na popisu. Zlonamjerni softver MESSAGETAP također će prikupljati tekstualne poruke određenih IMSI brojeva i spremiti ih na drugi popis. Podaci s oba popisa tada se povremeno prenose na poslužitelj napadača. Vjerojatno je da APT41 koristi hakerski alat MESSAGETAP za kompromitiranje političkih organizacija, vladinih tijela i vojnih institucija, za koje se smatra da su od značaja za kineske interese u cijelom svijetu.

Stručnjaci za zlonamjerni softver nisu sigurni koliko je APT41 sposoban infiltrirati telekomunikacijske pružatelje, ali jasno je da se kineska vlada ne ustručava koristiti usluge cyber kriminalaca za unapređenje svojih interesa. Nagađa se da se alat za hakiranje MESSAGETAP može upotrijebiti u operacijama koje se suprotstavljaju protestima u Hong Kongu i koji se vjerojatno koristi u praćenju aktivnosti istaknutih osoba uključenih u skupove protiv Pekinga.