MESSAGETAP
De Chinese hackgroep bekend als APT41 (Advanced Persistent Threat) is opgemerkt met behulp van een geavanceerde hacktool genaamd MESSAGETAP. De eerste activiteit van de MESSAGETAP-malware werd begin 2019 opgemerkt. Wanneer de APT41 geen financieel gemotiveerde campagnes uitvoert, dient deze hackgroep als aanvalshond voor de Chinese overheid. Het is bekend dat ze gerichte organisaties en personen hebben die interessant worden geacht voor de functionarissen van Beijing.
Zoekt naar specifieke tekstreeksen en gerichte individuen
De MESSAGETAP-dreiging brengt telecombedrijven in gevaar en richt zich op sms-berichten. Deze hacktool was geprogrammeerd om zich op specifieke personen te richten of bepaalde reeksen tekst en trefwoorden te zoeken, die aanwezig kunnen zijn in de onderschepte tekstberichten. De inzet van de MESSAGETAP-malware wordt uitgevoerd op Linux-servers. Deze servers worden gebruikt als SMSC (Short Message Service Centers), de infrastructuur voor het ontvangen en afleveren van tekstberichten. Wanneer de MESSAGETAP-malware succesvol een host in gevaar brengt, zal deze zoeken naar de 'keyword_parm.txt' en de 'parm.txt' bestanden. De eerste bevat een lijst met zoekwoorden waarnaar de MESSAGETAP-malware moet zoeken in de onderschepte sms-berichten. Het laatste bestand bevat echter een lijst met IMSI-nummers (International Mobile Subscriber Identity), die uniek zijn voor de SIM-kaart van elke geregistreerde gebruiker en kunnen worden gebruikt om personen te identificeren die het doelwit waren van de spionagecampagne van de APT41.
De verzamelde gegevens worden periodiek overgedragen aan de APT41-server
Wanneer beide bestanden in het geheugen van het doel zijn geplant, naast de code van de MESSAGETAP-malware, zorgt deze dreiging ervoor dat de vingerafdruk van zijn bedreigende activiteiten wordt verkleind door de bestanden te wissen. Vervolgens gaat de MESSAGETAP-hacktool door met de aanval door te zoeken naar de tekenreeksen die zijn geprogrammeerd om eruit te snuiven, en de tekstberichten die aan de criteria voldoen, worden in een lijst verzameld. De MESSAGETAP-malware verzamelt ook de tekstberichten van de specifieke IMSI-nummers en slaat ze op in een andere lijst. De gegevens uit beide lijsten worden vervolgens periodiek overgedragen aan de server van de aanvallers. Het is waarschijnlijk dat de APT41 het MESSAGETAP-hacktool gebruikt om politieke organisaties, overheidsinstanties en militaire instellingen te compromitteren, die wereldwijd als relevant worden beschouwd voor Chinese belangen.
Malware-experts weten niet zeker hoe de APT41 in staat is om telecomaanbieders te infiltreren, maar het is duidelijk dat de Chinese overheid niet aarzelt om de diensten van cybercriminelen te gebruiken om hun belangen te bevorderen. Er is gespeculeerd dat de MESSAGETAP-hacktool kan worden gebruikt bij operaties tegen de Hongkongse protesten en waarschijnlijk wordt gebruikt bij het volgen van de activiteiten van prominenten die betrokken zijn bij de anti-Beijing-rally's.
