Tin tặc Trung Quốc tấn công máy chủ viễn thông để theo dõi tin nhắn SMS

Tin tặc Trung Quốc tấn công máy chủ viễn thông để theo dõi tin nhắn SMS

​

Một nhóm tin tặc Trung Quốc thực hiện việc gián điệp chính trị cho Bắc Kinh đã được phát hiện nhắm mục tiêu vào các công ty viễn thông với một phần mềm độc hại mới được thiết kế để theo dõi các tin nhắn văn bản được gửi hoặc nhận bởi các cá nhân quan trọng.

Được đặt tên là "MessageTap", phần mềm độc hại backdoor này là công cụ khai thác dữ liệu ELF 64 bit gần đây đã được phát hiện được cài đặt trên máy chủ Trung tâm dịch vụ tin nhắn ngắn (SMSC) dựa trên Linux của một công ty viễn thông giấu tên.

Theo một báo cáo gần đây được công bố bởi công ty Mandiant của FireEye, MessageTap đã được APT41, một nhóm hack Trung Quốc chuyên nghiệp thực hiện các hoạt động gián điệp do nhà nước tài trợ và cũng bị phát hiện liên quan đến các cuộc tấn công có động cơ tài chính.

Trong các mạng điện thoại di động, máy chủ SMSC hoạt động như một dịch vụ trung gian chịu trách nhiệm xử lý các hoạt động SMS bằng cách định tuyến tin nhắn giữa người gửi và người nhận.

Vì các tin nhắn SMS không được thiết kế để được mã hóa, cả khi truyền và trên các máy chủ viễn thông, việc xâm phạm hệ thống SMSC cho phép kẻ tấn công giám sát tất cả các kết nối mạng đến và từ máy chủ cũng như dữ liệu trong chúng.

MessageTap Malware hoạt động như thế nào?

MessageTap sử dụng thư viện libpcap để theo dõi tất cả lưu lượng SMS và sau đó phân tích nội dung của từng tin nhắn để xác định IMSI và số điện thoại của người gửi và người nhận.

Theo các nhà nghiên cứu, tin tặc đã thiết kế phần mềm độc hại MessageTap để lọc và chỉ lưu tin nhắn:

gửi hoặc nhận bằng số điện thoại cụ thể, chứa một số từ khóa nhất định, hoặc với các số IMSI cụ thể.

Đối với điều này, MessageTap dựa trên hai tệp cấu hình được cung cấp bởi những kẻ tấn công - keyword_parm.txt và parm.txt - có chứa danh sách các số điện thoại được nhắm mục tiêu, số IMSI và từ khóa được liên kết với "các cá nhân quan trọng đến các dịch vụ tình báo Trung Quốc. "

"Cả hai tệp đều bị xóa sau khi các tệp cấu hình được đọc và tải vào bộ nhớ. Sau khi tải các tệp dữ liệu từ khóa và điện thoại, MESSAGETAP bắt đầu theo dõi tất cả các kết nối mạng đến và từ máy chủ", các nhà nghiên cứu cho biết trong báo cáo được công bố hôm nay.

"Dữ liệu trong keyword_parm.txt chứa các điều khoản về lợi ích chính trị đối với bộ sưu tập tình báo Trung Quốc."

Nếu nó tìm thấy một văn bản tin nhắn SMS đáng quan tâm, phần mềm độc hại XOR sẽ lưu nội dung của nó và lưu nó vào các tệp CSV cho kẻ tấn công.

Theo các nhà nghiên cứu, "nguy cơ dữ liệu không được mã hóa lưu thông trong hệ thống thông tin liên lạc là cực kỳ nguy hiểm" đặc biệt quan trọng đối với các cá nhân quan trọng như chính trị gia bất đồng chính kiến, nhà báo và quan chức nắm giữ thông tin nhạy cảm. "

Bên cạnh đó, nhóm hack APT41 cũng bị phát hiện ăn cắp hồ sơ chi tiết cuộc gọi (CDR) tương ứng với các cá nhân nước ngoài cấp cao trong cùng vụ xâm nhập này, phơi bày siêu dữ liệu của các cuộc gọi, bao gồm thời gian của các cuộc gọi, thời lượng của họ và nguồn và đích số điện thoại.

Việc tin tặc Trung Quốc nhắm vào các công ty viễn thông không phải là mới. Trong chính năm nay, nhóm hack APT41 đã nhắm mục tiêu vào ít nhất bốn mục tiêu viễn thông và các nhóm bị nhà nước Trung Quốc nghi ngờ.

Theo các nhà nghiên cứu của FireEye, xu hướng này sẽ tiếp tục và nhiều chiến dịch như vậy sẽ sớm được phát hiện, và do đó để giảm thiểu mức độ rủi ro, các tổ chức mục tiêu nên xem xét triển khai một giải pháp phù hợp để thực thi mã hóa đầu cuối.

Công ty Itmap Asia nhà phân phối thiết bị Tường Lửa WatchGuard tại Việt Nam.

ITMAP ASIA

555 Trần Hưng Đạo, P. Cầu Kho, Q.1, TP.HCM

Email: info@itmapasia.com

Đt: 028 5404 0717 - 5404 0799