MESSAGETAP
O grupo de hackers chinês conhecido como APT41 (Ameaça Persistente Avançada) foi descoberto usando uma sofisticada ferramenta de hackers chamada MESSAGETAP. A primeira atividade do malware MESSAGETAP foi detectada no início de 2019. Quando o APT41 não realiza campanhas motivadas financeiramente, esse grupo de hackers serve como um cão de ataque para o governo chinês. Eles são conhecidos por terem como alvo organizações e indivíduos considerados de interesse dos funcionários de Pequim.
Procura Seqüências de Texto Específicas e Indivíduos Selecionados
A ameaça MESSAGETAP compromete as empresas de telecomunicações e tem como alvo as mensagens SMS. Essa ferramenta de hacking foi programada para segmentar indivíduos específicos ou procurar determinadas sequências de texto e palavras-chave, que podem estar presentes nas mensagens de texto interceptadas. A implantação do malware MESSAGETAP é realizada nos servidores Linux. Esses servidores são usados como SMSC (Short Message Service Centers), que é a infraestrutura envolvida no recebimento e na entrega de mensagens de texto. Quando o malware MESSAGETAP compromete um host com êxito, ele procura os arquivos 'keyword_parm.txt' e 'parm.txt'. O primeiro contém uma lista de palavras-chave que o malware MESSAGETAP deve procurar nas mensagens de texto interceptadas. O último arquivo, no entanto, contém uma lista de números IMSI (International Mobile Subscriber Identity), que são exclusivos para o cartão SIM de cada usuário registrado e podem ser usados para identificar pessoas que foram alvo da campanha de espionagem do APT41.
Os Dados Coletados são Transferidos Periodicamente para o Servidor do APT41
Quando os dois arquivos forem plantados na memória do destino, juntamente com o código do malware MESSAGETAP, essa ameaça reduzirá a impressão digital de suas atividades ameaçadoras, apagando seus arquivos. Em seguida, a ferramenta de hacking MESSAGETAP continuará com o ataque, procurando as seqüências de texto que foram programadas para detectar e as mensagens de texto que se encaixam nos critérios serão coletadas em uma lista. O malware MESSAGETAP também reúne as mensagens de texto dos números IMSI específicos e as armazena em outra lista. Os dados das duas listas são transferidos periodicamente para o servidor do invasor. É provável que o APT41 esteja usando a ferramenta de hackers MESSAGETAP para comprometer organizações políticas, órgãos governamentais e instituições militares, que são consideradas relevantes para os interesses chineses em todo o mundo.
Os especialistas em malware não sabem ao certo como o APT41 é capaz de se infiltrar nos provedores de telecomunicações, mas é claro que o governo chinês não hesita em usar os serviços de criminosos cibernéticos para promover seus interesses. Especula-se que a ferramenta de hackers MESSAGETAP possa ser usada em operações contra os protestos de Hong Kong e é provavelmente utilizada para acompanhar as atividades de figuras proeminentes envolvidas nos comícios anti-Pequim.
