Một nhóm tin tặc Trung Quốc làm gián điệp chính trị cho Bắc Kinh đã được tìm thấy đang nhắm vào các công ty viễn thông với một phần mềm độc hại mới được thiết kế để theo dõi các tin nhắn văn bản được gửi hoặc nhận bởi các cá nhân.
Được đặt tên là “MessageTap”, phần mềm backdoor độc hại sau là công cụ khai thác dữ liệu ELF 64 bit gần đây đã được phát hiện là được cài đặt trên máy chủ của Trung tâm dịch vụ tin nhắn ngắn (SMSC) trên Linux của một công ty viễn thông không tên.
Theo một báo cáo gần đây được công bố bởi công ty Mandiant của FireEye, MessageTap đã được APT41, một nhóm tin tặc Trung Quốc chuyên nghiệp thực hiện các hoạt động gián điệp do nhà nước tài trợ và cũng bị phát hiện liên quan đến các cuộc tấn công có động cơ tài chính.
Trong các mạng điện thoại di động, máy chủ SMSC hoạt động như một dịch vụ trung gian chịu trách nhiệm xử lý các hoạt động SMS bằng cách định tuyến tin nhắn giữa người gửi và người nhận.
Vì các tin nhắn SMS không được thiết kế để được mã hóa, cả khi truyền và trên các máy chủ viễn thông, việc xâm phạm hệ thống SMSC cho phép kẻ tấn công giám sát tất cả các kết nối mạng đến và từ máy chủ cũng như dữ liệu trong chúng.
MessageTap hoạt động như thế nào?
MessageTap sử dụng thư viện libpcap để theo dõi tất cả lưu lượng SMS và sau đó phân tích nội dung của từng tin nhắn để xác định IMSI và số điện thoại của người gửi và người nhận.
Theo các nhà nghiên cứu, tin tặc đã thiết kế phần mềm độc hại MessageTap để lọc và chỉ lưu tin nhắn:
Gửi hoặc nhận bằng số điện thoại cụ thể
Chứa một số từ khóa nhất định.
Với số IMSI cụ thể.
Với điều này, MessageTap dựa trên hai tệp cấu hình được cung cấp bởi những kẻ tấn công – keyword_parm.txt và parm.txt – có chứa danh sách các số điện thoại được nhắm mục tiêu, số IMSI và từ khóa được liên kết với “Các cá nhân có xếp hạng cao đến các dịch vụ tình báo Trung Quốc. “
“Cả hai tệp đều bị xóa khỏi đĩa sau khi các tệp cấu hình được đọc và tải vào bộ nhớ. Sau khi tải các tệp từ khóa và điện thoại, MessageTap bắt đầu theo dõi tất cả các kết nối mạng đến và đi từ máy chủ”, các nhà nghiên cứu cho biết trong báo cáo được công bố hôm nay.
“Dữ liệu trong keyword_parm.txt chứa các điều khoản về lợi ích chính trị đối với tình báo Trung Quốc.”
Nếu nó tìm thấy một văn bản tin nhắn SMS đáng quan tâm, phần mềm độc hại XOR sẽ lưu nội dung của nó và lưu nó vào các tệp CSV.
Theo các nhà nghiên cứu, “Nguy cơ dữ liệu không được mã hóa bị chặn bởi một số lớp upstream trong chuỗi liên lạc di động của họ” đặc biệt quan trọng đối với các cá nhân như nhà bất đồng chính kiến, nhà báo và quan chức xử lý các thông tin nhạy cảm cao. “
Bên cạnh đó, nhóm hack APT41 cũng bị phát hiện là ăn cắp hồ sơ chi tiết các cuộc gọi (CDR) tương ứng với các cá nhân nước ngoài cấp cao trong vụ xâm nhập này, làm lộ liệu của các cuộc gọi, bao gồm thời gian của các cuộc gọi, thời lượng của họ ,địa điểm đến và đi của số điện thoại đó.
Việc tin tặc Trung Quốc nhắm vào các công ty viễn thông không phải là mới. Trong chính năm nay, nhóm hack APT41 đã nhắm vào ít nhất bốn công ty viễn thông và các nhóm bị nhà nước nghi ngờ cũng đánh vào bốn tổ chức viễn thông.
Theo các nhà nghiên cứu của FireEye, xu hướng này sẽ tiếp tục tăng và nhiều chiến dịch như vậy sẽ sớm được phát hiện, và do đó để giảm thiểu mức độ rủi ro, các tổ chức nên xem xét và triển khai một chương trình truyền thông phù hợp để thực thi mã hóa end-to-end.
