FireEye eksperter oppdaget messagetap malware, som kan stjele sms og mobile nettverk. Kinesiske myndigheter hackere opprettet den.
Than Malware er utviklet for Linux-maskiner og ble opprettet for å ligge på SMSC (Short Message Service Center) servere, som er ansvarlig for driften av kortmeldingstjenesten i nettverkene til teleoperatørene.Malware bidrar til å “lytte” til SMS-meldinger ved å bruke et sett av spesifikke filtrene til dem.
“FireEye Mandiant nylig oppdaget en ny malware familie brukt av APT41 (en kinesisk APT gruppe). APT41 nyeste spionasje verktøy, MESSAGETAP, ble oppdaget under en 2019 Undersøkelsen ved et telekommunikasjonsnettverksleverandør innenfor en klynge av Linux servere. nærmere bestemt, disse Linux-servere som drives som Short Message Service Center (SMSC) servere”, - rapportere FireEye forskere.
Forskere oppdaget Messagetap på en ikke navngitt mobilleverandørens nettverk tidligere i år. Det er ikke spesifisert ow akkurat infeksjonen inntraff.
Malware er i stand til å “forsinkelse” SMS-meldinger for påfølgende tyveri hvis meldingsteksten inneholder bestemte søkeord. Ifølge FireEye, among these keywords were various objects of geopolitical interest for Chinese special services, including the names of political leaders, the names of military and intelligence organizations, as well as political movements.
Les også: Kinesiske hackere opprette en ny bakdør for MSSQL servere
Dess, the malware is interested in messages sent to or from certain numbers, as well as specific devices, based on their IMSI. At the time of discovery, it tracked thousands of phone numbers and IMSI at the same time.
Specialists associate Messagetap with the relatively “young” Chinese hacker group APT41. Tidligere, FireEye eksperter skrev at denne gruppen er forskjellig fra andre, siden i tillegg til politisk spionasje, Det praktiserer også virksomhet som har klare økonomiske motiver (de sannsynligvis utført av medlemmer av gruppen for personlige formål).
“APT41 virksomhet har tatt statsstøttet cyber spionasje oppdrag samt økonomisk-motiverte inntrenging. Disse operasjonene har spent fra så tidlig som 2012 til i dag”, - rapport FireEye spesialister.
Analytikere skriver at i nettverket av den kompromitterte mobiloperatør, angriperne også interaksjon med samtalen detalj posten database (CDR, logger av drift av telekommunikasjonsutstyr, inkludert detaljert informasjon om samtaler). Hackere bedt CDR matchende utenlandske embetsmenn av interesse for kinesisk etterretning.
Selv FireEye eksperter ikke avsløre navnet på det berørte selskap, Reuters journalisterrapportere at MessageTap virksomhet er relatert til innsatsen til de kinesiske myndigheter for å spore den muslimske minoriteten, Uigurer som bor hovedsakelig i Xinjiang-provinsen.
