Aangenomen wordt dat een Chinese, door de staat gesponsorde hackinggroep achter een nieuwe vorm van malware zit die zich richt op sms-berichten op servers van telecommunicatiebedrijven.
De MESSAGETAP-malware, afkomstig van de Chinese geavanceerde persistente dreigingsgroep APT41, werd gedetailleerd beschreven door beveiligingsonderzoekers van FireEye Mandiant. Volgens de onderzoekers werd het ingezet tegen een telecommunicatienetwerkaanbieder ter ondersteuning van Chinese spionage-inspanningen.
Linux-servers
De malware is ontdekt op Linux-servers die worden gebruikt als Short Message Service Center-servers. SMSC-servers sturen sms-berichten naar een beoogde ontvanger of slaan ze op totdat een ontvanger online is gekomen. Eenmaal geïnstalleerd, begint MESSAGETAP, ontworpen als dataminer, alle netwerkverbindingen van en naar de server te bewaken, waarbij zowel de inhoud van SMS-berichten als gerelateerde identificatiegegevens worden ontleed.
Trefwoorden
Met behulp van die gegevens scant de malware op trefwoorden in de berichten, evenals telefoonnummers en IMSI-nummers die overeenkomen met een vooraf gedefinieerde lijst. Degenen die overeenkomen, worden vervolgens opgeslagen in een CSV-bestand voor latere diefstal door degenen achter de malware.
CDR-records
SMS-berichten werden niet alleen doelwit van APT41. De onderzoekers zeiden dat de groep ook in wisselwerking stond met call-detailrecorddatabases op geïnfecteerde services om records op te vragen, op te slaan en te stelen. De CDR-records voegden geloof toe aan de overtuiging dat de motivatie spionage was en kwamen overeen met buitenlandse hoge functionarissen van belang voor Chinese inlichtingendiensten.
MESSAGETAP
"Het gebruik van MESSAGETAP en doelgerichtheid van gevoelige tekstberichten en call detail records op schaal is representatief voor de evoluerende aard van Chinese cyber spionage campagnes waargenomen door FireEye," schreven de onderzoekers. “APT41 en meerdere andere bedreigingsgroepen toegeschreven aan Chinese door de overheid gesponsorde acteurs hebben hun doelwit van upstream data-entiteiten sinds 2017 verhoogd. Deze organisaties, die meerdere lagen boven eindgebruikers bevinden, bezetten kritieke informatiekanalen waarin gegevens uit een groot aantal bronnen samenkomen in één of geconcentreerde knooppunten. " MESSAGETAP volgt op een rapport van 1 september dat een aanval gericht op iPhone, Android en Windows zijn oorsprong had in China. In dat geval wordt aangenomen dat de aanslagen vooral gericht waren op de Uyghurse gemeenschap van de autonome regio Xinjiang Uyghur in het Midden-Koninkrijk.
Google LLC
Hoewel Uyghur mogelijk het primaire doelwit was, wordt aangenomen dat de campagne ook anderen heeft geïnfecteerd die per ongeluk toegang hebben gehad tot geïnfecteerde websites die zijn gebruikt in de aanval die zijn geïndexeerd door Google LLC.
BRON: techzine, siliconangle