Эксперты из FireEye Mandiant обнаружили новый инструмент – MESSAGETAP. Его использует китайская группировка APT41 для перехвата SMS-трафика с серверов коммуникационных компаний с целью кражи контента SMS-сообщений. Хакеры внедрили MESSAGETAP в сети неназванного телекоммуникационного провайдера в целях шпионажа.

Предположительно спонсируемая Китаем группа APT41 специализируется на кибершпионаже и на кампаниях, преследующих финансовую выгоду. Активна с 2012 года.

Со слов экспертов, APT41 скомпрометировала кластер серверов Linux некоего телекомпровайдера для перехвата сообщений высокопоставленных лиц, представляющих интерес для китайского правительства. Хакеров интересовали сообщения, относящиеся к политическим лидерам, военным или разведорганизациям, а также оппозиционным политическим движениям.

Серверы, где был обнаружен MESSAGETAP, функционировали как SMS-центры и отвечали за доставку SMS-сообщений получателям. Инструмент MESSAGETAP представляет собой 64-битный ELF-анализатор данных, загружаемый скриптом установки. После установки вредонос проверяет наличие конфигурационных файлов keyword_parm.txt и parm.txt, содержащих инструкции относительно того, какие текстовые сообщения нужно извлечь. После прочтения и загрузки в память оба конфигурационных файла удаляются с диска, далее MESSAGETAP загружает списки с ключевыми словами и IMSI номерами и приступает к мониторингу всех сетевых соединений от и к серверу. Он использует библиотеку libpcap для просмотра трафика и извлекает метаданные SMS-сообщений, включая содержание SMS-сообщения, номер IMSI, а также телефонные номера отправителя и получателя.

Кроме того, APT41 искала базы данных с подробными записями о вызовах (Call Detail Record) отдельных лиц, включающие информацию о времени, когда были совершены звонки, используемые телефонные номера и продолжительность разговоров.

В FireEye Mandiant не назвали атакованного провайдера, но отметили, что он находится в стране, которая является «стратегическим конкурентом» Китая.

1 ноября, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

15.09.2025
Банк России — о необоснованной блокировке счетов физлиц
15.09.2025
С октября в банковских приложениях появится новая антифрод-ступень
15.09.2025
Массовые обзвоны без согласия абонентов запрещены (но не всем)
15.09.2025
CISA запускает дорожную карту программы «Общие уязвимости и риски»
15.09.2025
Пользователей ChatGPT с «типично женскими» никами стало больше, чем с «типично мужскими»
15.09.2025
Утечка данных в Wealthsimple подтвердила тенденцию к росту киберрисков в Канаде
12.09.2025
Албания доверила госзакупки искусственному интеллекту
12.09.2025
На «Госуслугах» теперь можно запретить себе SIM-карту
12.09.2025
Даркнет сам приходит к «Максу»?
12.09.2025
Половина россиян не одобряет блокировку звонков в мессенджерах

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных