MESSAGETAP
Il gruppo di hacking cinese noto come APT41 (Advanced Persistent Threat) è stato individuato utilizzando un sofisticato strumento di hacking chiamato MESSAGETAP. La prima attività del malware MESSAGETAP è stata individuata all'inizio del 2019. Quando l'APT41 non conduce campagne motivate dal punto di vista finanziario, questo gruppo di hacking funge da cane da attacco per il governo cinese. È noto che hanno preso di mira organizzazioni e individui considerati di interesse per i funzionari di Pechino.
Cerca stringhe di testo specifiche e individui targetizzati
La minaccia MESSAGETAP compromette le società di telecomunicazioni e prende di mira i messaggi SMS. Questo strumento di hacking è stato programmato per colpire individui specifici o cercare determinate stringhe di testo e parole chiave, che possono essere presenti nei messaggi di testo intercettati. La distribuzione del malware MESSAGETAP viene eseguita su server Linux. Questi server vengono utilizzati come SMSC (Short Message Service Center), ovvero l'infrastruttura coinvolta nella ricezione e nella consegna di messaggi di testo. Quando il malware MESSAGETAP compromette correttamente un host, cercherà i file "keyword_parm.txt" e "parm.txt". Il primo contiene un elenco di parole chiave che il malware MESSAGETAP dovrebbe cercare nei messaggi di testo intercettati. Quest'ultimo file, tuttavia, contiene un elenco di numeri IMSI (International Mobile Subscriber Identity), che sono univoci per la carta SIM di ciascun utente registrato e possono essere utilizzati per identificare le persone che sono state prese di mira per la campagna di spionaggio dell'APT41.
I dati raccolti vengono periodicamente trasferiti al server APT41
Quando entrambi i file sono stati inseriti nella memoria del target, insieme al codice del malware MESSAGETAP, questa minaccia farà in modo di ridurre l'impronta digitale delle sue attività minacciose cancellando i suoi file. Successivamente, lo strumento di hacking MESSAGETAP procederà all'attacco cercando le stringhe di testo che è stato programmato per annusare e i messaggi di testo che soddisfano i criteri verranno raccolti in un elenco. Il malware MESSAGETAP raccoglierà anche i messaggi di testo dei numeri IMSI specifici e li memorizzerà in un altro elenco. I dati di entrambe le liste vengono quindi periodicamente trasferiti al server degli aggressori. È probabile che l'APT41 stia utilizzando lo strumento di hacking MESSAGETAP per compromettere le organizzazioni politiche, gli organi governativi e le istituzioni militari, che sono considerati rilevanti per gli interessi cinesi a livello globale.
Gli esperti di malware non sono certi di come APT41 sia in grado di infiltrarsi nei fornitori di telecomunicazioni, ma è chiaro che il governo cinese non esita a utilizzare i servizi dei criminali informatici per promuovere i propri interessi. È stato ipotizzato che lo strumento di hacking MESSAGETAP possa essere utilizzato nelle operazioni di contrasto alle proteste di Hong Kong ed è probabilmente utilizzato nel seguire le attività di personaggi di spicco coinvolti nei raduni anti-Pechino.
