Китайская группировка APT41 просматривала SMS-сообщения пользователей в целях шпионажа

Китайская группировка APT41 просматривала SMS-сообщения пользователей в целях шпионажа

Группировка следила за сообщениями высокопоставленных лиц, представляющих интерес для китайского правительства.

Исследователи из фирмы FireEye Mandiant обнаружили новый вредоносный инструмент под названием MESSAGETAP, используемое китайской кибергруппировкой APT41 для мониторинга и перехвата SMS-трафика с серверов коммуникационных компаний с целью кражи контента SMS-сообщений. Преступники внедрили инструмент в сети некоего неназванного телекоммуникационного провайдера в целях шпионажа.

Предположительно спонсируемая государством Китая APT41 специализируется как на кибершпионаже, так и на кампаниях, преследующих финансовую выгоду. Группировка активно по меньше мере с 2012 года.

По словам специалистов, группировка скомпрометировала кластер серверов Linux некоего телекомпровайдера для перехвата сообщений высокопоставленных лиц, представляющих интерес для китайского правительства. Киберпреступников в основном интересовали сообщения, относящиеся к политическим лидерам, военным или разведывательным организациям, а также политическим движениям, находящимся в оппозиции китайскому правительству.

Linux-серверы, где было обнаружено вредоносное ПО MESSAGETAP, функционировали как SMS-центры и отвечали за доставку SMS-сообщений получателям. MESSAGETAP представляет собой 64-битный ELF-анализатор данных, загружаемый скриптом установки. После установки вредонос проверяет наличие конфигурационных файлов keyword_parm.txt и parm.txt, содержащих инструкции относительно того, какие текстовые сообщения нужно извлечь. После прочтения и загрузки в память оба конфигурационных файла удаляются с диска, далее инструмент загружает списки с ключевыми словами и IMSI номерами и приступает к мониторингу всех сетевых соединений от и к серверу. Он использует библиотеку libpcap для просмотра трафика и извлекает метаданные SMS-сообщений, включая содержание SMS-сообщения, номер IMSI, а также телефонные номера отправителя и получателя.

В ходе атаки группировка APT41 также искала базы данных с подробными записями о вызовах (Call Detail Record) отдельных лиц, включающие информацию о времени, когда были совершены звонки, используемые телефонные номера и продолжительность разговоров.

Исследователи не назвали пострадавшего от кибератаки провайдера, но отметили, что он находится в стране, которая является «стратегическим конкурентом» Китая.

В общей сложности в 2019 году эксперты обнаружили атаки, совершенные участниками APT41 на четыре телекоммуникационные компании. Также в этом году году четыре других телекомпровайдера стали жертвами вредоносных кампаний, организованных прочими группировками, предположительно связанными с Китаем.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!