MESSAGETAP

Den kinesiska hacking-gruppen känd som APT41 (Advanced Persistent Threat) har upptäckts med ett sofistikerat hackverktyg som kallas MESSAGETAP. Den första aktiviteten med MESSAGETAP-skadlig programvara upptäcktes i början av 2019. När APT41 inte genomför ekonomiskt motiverade kampanjer, fungerar denna hackinggrupp som en attackhund för den kinesiska regeringen. De är kända för att ha riktade organisationer och individer som anses vara av intresse för Pekings tjänstemän.

Letar efter specifika textsträngar och riktade individer

MESSAGETAP-hotet äventyrar telekommunikationsföretag och riktar sig till SMS-meddelanden. Detta hackverktyg programmerades för att antingen rikta in sig på specifika individer eller leta efter vissa strängar av text och nyckelord, som kan finnas i de avlyssnade textmeddelandena. Distribueringen av MESSAGETAP-skadlig programvara utförs på Linux-servrar. Dessa servrar används som SMSC (Short Message Service Centers), som är infrastrukturen för att ta emot och leverera textmeddelanden. När MESSAGETAP-skadlig programvara komprometterar en värd framgångsrikt kommer den att leta efter "keyword_parm.txt" och "parm.txt" -filerna. Den förstnämnda har en lista med nyckelord som MESSAGETAP skadlig kod är tänkt att leta efter i de avlyssnade textmeddelandena. Den senare filen innehåller emellertid en lista över IMSI-nummer (International Mobile Subscribber Identity), som är unika för varje registrerad användares SIM-kort och kan användas för att identifiera individer som var riktade för spionage-kampanjen för APT41.

Den insamlade informationen överförs periodiskt till APT41-servern

När båda filerna har planterats i målets minne, tillsammans med koden för MESSAGETAP-skadlig programvara, kommer detta hot att se till att minska fingeravtrycket för dess hotande aktiviteter genom att radera dess filer. Därefter fortsätter MESSAGETAP-hackverktyget med attacken genom att leta efter textsträngarna som det programmerades för att snifta ut, och textmeddelanden som passar kriterierna kommer att samlas i en lista. MESSAGETAP-skadlig programvara samlar också textmeddelanden med specifika IMSI-nummer och lagrar dem i en annan lista. Data från båda listorna överförs sedan regelbundet till angriparens server. Det är troligt att APT41 använder MESSAGETAP-hackingverktyget för att kompromissa politiska organisationer, regeringsorgan och militära institutioner, som anses vara relevanta för kinesiska intressen globalt.

Malware-experter är inte säkra på hur APT41 kan infiltrera telekommunikationsleverantörer, men det är uppenbart att den kinesiska regeringen inte tvekar att använda cyberkriminella tjänster för att främja sina intressen. Man har spekulerat i att MESSAGETAP-hackverktyget kan användas vid operationer mot Hong Kong-protesterna och sannolikt kommer att användas för att följa aktiviteterna från framstående personer som är inblandade i anti-Peking-rallyna.