PRISTATYMAS
Kinijos įsilaužimų grupė, žinoma kaip APT41 (Advanced Persistent Threat), buvo pastebėta naudojant sudėtingą įsilaužimo įrankį, vadinamą MESSAGETAP. Pirmoji MESSAGETAP kenkėjiškų programų veikla buvo pastebėta 2019 m. Pradžioje. Kai APT41 nevykdo finansiškai pagrįstų kampanijų, ši įsilaužimo grupė yra Kinijos vyriausybės atakos šuo. Yra žinoma, kad jos tikslinės organizacijos ir asmenys, kurie, kaip manoma, domina Pekino pareigūnus.
Ieškomos konkrečios teksto eilutės ir tiksliniai asmenys
MESSAGETAP grėsmė kelia pavojų telekomunikacijų įmonėms ir nukreipia SMS žinutes. Šis įsilaužimo įrankis buvo užprogramuotas taip, kad būtų nukreiptas arba į konkrečius asmenis, arba ieškoma tam tikrų teksto ir raktinių žodžių, kurie gali būti perimtuose tekstiniuose pranešimuose. „MESSAGETAP“ kenkėjiškų programų diegimas vykdomas „Linux“ serveriuose. Šie serveriai naudojami kaip SMSC (trumpųjų žinučių paslaugų centrai), tai yra infrastruktūra, reikalinga tekstiniams pranešimams priimti ir pristatyti. Kai MESSAGETAP kenkėjiška programinė įranga sėkmingai sukompromituoja pagrindinį kompiuterį, ji ieškos failų „Keyword_parm.txt“ ir „parm.txt“. Pirmasis turi raktinių žodžių sąrašą, kurių MESSAGETAP kenkėjiška programa turi ieškoti perimtuose tekstiniuose pranešimuose. Tačiau pastarojoje byloje yra IMSI (International Mobile Subscriber Identity) numerių, kurie yra unikalūs kiekvieno registruoto vartotojo SIM kortelėje, sąrašas, kuris gali būti naudojamas identifikuoti asmenis, kuriems buvo skirta APT41 šnipinėjimo kampanija.
Surinkti duomenys periodiškai perduodami į APT41 serverį
Kai abu failai bus sudėti į taikinio atmintį, šalia MESSAGETAP kenkėjiškos programos kodo, ši grėsmė užtikrins, kad ištrinant failus bus sumažintas grėsmingos veiklos pirštų atspaudas. Toliau įsilaužimo įrankis MESSAGETAP vykdys ataką ieškodamas teksto eilučių, kurias buvo užprogramuota išnaikinti, o kriterijus atitinkantys tekstiniai pranešimai bus renkami sąraše. Kenkėjiška programinė įranga MESSAGETAP taip pat surenka konkrečių IMSI numerių tekstinius pranešimus ir saugo juos kitame sąraše. Tada abiejų sąrašų duomenys periodiškai perduodami į užpuolikų serverį. Tikėtina, kad APT41 naudoja MESSAGETAP įsilaužimo įrankį kompromituoti politines organizacijas, vyriausybės organus ir karines institucijas, kurios, kaip manoma, yra svarbios Kinijos interesams visame pasaulyje.
Kenkėjiškų programų ekspertai nėra tikri, kaip APT41 geba įsiskverbti į telekomunikacijų paslaugų teikėjus, tačiau akivaizdu, kad Kinijos vyriausybė nesiryžta naudotis kibernetinių nusikaltėlių paslaugomis savo interesams skatinti. Buvo spėliojama, kad įsilaužimo įrankis MESSAGETAP gali būti naudojamas vykdant operacijas, nukreiptas prieš Honkongo protestus, ir greičiausiai bus naudojamas stebimų asmenų, dalyvaujančių anti Pekino mitinguose, veiklai vykdyti.
