MESSAGETAP

Китайская хакерская группа, известная как APT41 (Advanced Persistent Threat), была обнаружена с использованием сложного хакерского инструмента под названием MESSAGETAP. Первая активность вредоносного ПО MESSAGETAP была обнаружена в начале 2019 года. Когда APT41 не проводит финансово мотивированных кампаний, эта хакерская группа служит атакующей собакой для китайского правительства. Известно, что они имеют целевые организации и частных лиц, которые, как считается, представляют интерес для чиновников Пекина.

Ищет конкретные текстовые строки и целевые лица

Угроза MESSAGETAP ставит под угрозу телекоммуникационные компании и предназначается для SMS-сообщений. Этот хакерский инструмент был запрограммирован либо для нацеливания на отдельных лиц, либо для поиска определенных строк текста и ключевых слов, которые могут присутствовать в перехваченных текстовых сообщениях. Развертывание вредоносной программы MESSAGETAP осуществляется на серверах Linux. Эти серверы используются в качестве SMSC (Центры обслуживания коротких сообщений), которые представляют собой инфраструктуру, используемую для приема и доставки текстовых сообщений. Когда вредоносная программа MESSAGETAP скомпрометирует хост, она будет искать файлы «keyword_parm.txt» и «parm.txt». Первый содержит список ключевых слов, которые вредоносная программа MESSAGETAP должна искать в перехваченных текстовых сообщениях. Последний файл, однако, содержит список номеров IMSI (Международная идентификация абонента мобильной связи), которые являются уникальными для SIM-карты каждого зарегистрированного пользователя и могут использоваться для идентификации лиц, на которых была нацелена шпионская кампания APT41.

Собранные данные периодически передаются на сервер APT41

Когда оба файла были помещены в память цели, наряду с кодом вредоносной программы MESSAGETAP, эта угроза обязательно уменьшит отпечаток своей угрожающей деятельности, удалив ее файлы. Затем, инструмент взлома MESSAGETAP продолжит атаку, отыскивая текстовые строки, которые он был запрограммирован, чтобы прослушать, и текстовые сообщения, которые соответствуют критериям, будут собраны в список. Вредоносная программа MESSAGETAP также собирает текстовые сообщения с конкретными номерами IMSI и сохраняет их в другом списке. Затем данные из обоих списков периодически передаются на сервер злоумышленников. Вполне вероятно, что APT41 использует хакерский инструмент MESSAGETAP для компрометации политических организаций, государственных органов и военных учреждений, которые считаются актуальными для интересов Китая во всем мире.

Эксперты по вредоносным программам не уверены, как APT41 способен проникнуть в телекоммуникационные провайдеры, но ясно, что правительство Китая, не колеблясь, использует услуги киберпреступников для продвижения своих интересов. Предполагается, что хакерский инструмент MESSAGETAP может использоваться в операциях по противодействию протестам в Гонконге и, вероятно, используется для отслеживания действий видных деятелей, участвующих в митингах против Пекина.