FireEye eksperter opdagede messagetap malware, der kan stjæle sms og mobilnet. Kinesiske regerings hackere skabte det.
Than malware er designet til Linux-maskiner og blev oprettet for at være vært på SMSC (Short Message Service Centre) servere, som er ansvarlige for driften af den korte besked tjeneste i de netværk af teleoperatører.Malware er med til at ”lytte” til SMS-beskeder ved at anvende et sæt af specifikke filtre til dem.
”FireEye Mandiant for nylig opdaget en ny malware familie brugt af APT41 (en kinesisk APT gruppe). APT41 nyeste spionage værktøj, MESSAGETAP, blev opdaget under en 2019 undersøgelse på et telenet udbyder inden en klynge af Linux-servere. Konkret, disse Linux-servere drives som Short Message Service Centre (SMSC) servere”, - rapport FireEye forskere.
Forskere opdagede Messagetap på en unavngiven mobil operatørs netværk tidligere på året. Det er ikke specificeret ow præcis den infektion forekom.
Malware er i stand til at ”forsinkelse” SMS-beskeder til efterfølgende tyveri, hvis meddelelsen krop indeholder visse søgeord. Ifølge FireEye, blandt disse søgeord var forskellige genstande af geopolitisk interesse for kinesiske særlige tjenester, herunder navnene på politiske ledere, navnene på militære og efterretningsmæssige organisationer, samt politiske bevægelser.
Læs også: Kinesiske hackere oprette en ny bagdør til MSSQL servere
Derudover, malwaren er interesseret i meddelelser, der sendes til eller fra bestemte numre, samt specifikke enheder, baseret på deres IMSI. På tidspunktet for opdagelsen, det spores tusindvis af telefonnumre og IMSI samtidig.
Specialister associeret Messagetap med den relativt “ung” Kinesisk hacker gruppe APT41. tidligere, FireEye eksperter skrev, at denne gruppe er forskellig fra andre, da der ud over den politiske spionage, det praktiserer også operationer, der har klare økonomiske motiver (de er formentlig udført af medlemmer af gruppen til personlige formål).
”APT41 drift har inkluderet statsstøttede cyber spionage missioner samt økonomisk motiverede indtrængen. Disse operationer har spændte fra så tidligt som 2012 til i dag”, - rapport FireEye specialister.
Analytikere skriver, at i det netværk af den kompromitterede mobiloperatør, angriberne også interageret med opkaldet detalje rekord database (CDR, logs af driften af telekommunikationsudstyr, herunder detaljerede oplysninger om opkald). Hackere anmodet CDR matchende udenlandske notabiliteter af interesse for kinesisk intelligens.
Selvom FireEye eksperter ikke oplyse navnet på den berørte virksomhed, Reuters journalisterrapport at MessageTap aktivitet er relateret til den indsats, som de kinesiske myndigheder til at spore det muslimske mindretal, Uighurer lever primært i Xinjiang-provinsen.
