MESSAGETAP
Den kinesiske hackinggruppen kjent som APT41 (Advanced Persistent Threat) har blitt oppdaget ved hjelp av et sofistikert hackingverktøy kalt MESSAGETAP. Den første aktiviteten til MESSAGETAP malware ble oppdaget i begynnelsen av 2019. Når APT41 ikke gjennomfører økonomiske motiverte kampanjer, fungerer denne hackinggruppen som en angrepshund for den kinesiske regjeringen. Det er kjent at de har målrettede organisasjoner og enkeltpersoner som anses å være av interesse for Beijings tjenestemenn.
Ser etter spesifikke tekststrenger og målrettede individer
MESSAGETAP-trusselen kompromitterer telekommunikasjonsselskaper og retter seg mot SMS-meldinger. Dette hackingverktøyet ble programmert til å enten målrette mot spesifikke individer eller se etter bestemte tekststrenger og nøkkelord, som kan være til stede i de avskjermede tekstmeldingene. Distribusjonen av MESSAGETAP malware foregår på Linux-servere. Disse serverne brukes som SMSC (Short Message Service Centres), som er infrastrukturen som er involvert i mottak og levering av tekstmeldinger. Når MESSAGETAP-skadelig programvare kompromitterer en vert vellykket, vil den se etter 'keyword_parm.txt' og 'parm.txt' -filene. Førstnevnte har en liste over nøkkelord som MESSAGETAP-skadelig programvare er ment å se etter i de oppfangede tekstmeldingene. Den sistnevnte filen inneholder imidlertid en liste over IMSI (International Mobile Subscribber Identity) -numre, som er unike for hver registrerte brukers SIM-kort og kan brukes til å identifisere enkeltpersoner som var målrettet for spionasjkampanjen til APT41.
De innsamlede dataene overføres periodisk til APT41-serveren
Når begge filene har blitt plantet i minnets minne, sammen med koden til MESSAGETAP malware, vil denne trusselen sørge for å redusere fingeravtrykket til dets truende aktiviteter ved å slette filene. Deretter vil MESSAGETAP-hackingverktøyet fortsette med angrepet ved å se etter tekststrengene det var programmert for å snuse ut, og tekstmeldingene som passer til kriteriene, blir samlet i en liste. MESSAGETAP-malware vil også samle tekstmeldingene til de spesifikke IMSI-numrene og lagre dem i en annen liste. Dataene fra begge listene overføres deretter med jevne mellomrom til angriperens server. Det er sannsynlig at APT41 bruker MESSAGETAP-hackingverktøyet for å kompromittere politiske organisasjoner, regjeringsorganer og militære institusjoner, som anses å ha relevans for kinesiske interesser globalt.
Malware-eksperter er ikke sikre på hvordan APT41 er i stand til å infiltrere telekommunikasjonsleverandører, men det er tydelig at den kinesiske regjeringen ikke nøler med å bruke tjenestene til nettkriminelle for å fremme sine interesser. Det har blitt spekulert i at MESSAGETAP-hackingverktøyet kan brukes i operasjoner mot Hong Kong-protester og sannsynligvis blir brukt til å følge aktivitetene fra fremtredende personer involvert i anti-Beijing-stevnene.
