Des chercheurs découvrent un logiciel malveillant qui détournait les SMS des sociétés de télécommunications
Les pirates sponsorisés par la nation disposent d'un nouvel outil pour drainer les opérateurs de télécommunications d'un grand nombre de messages SMS à grande échelle, ont déclaré les chercheurs.
Surnommé "Messagetap" par des chercheurs de la division Mandiant de la société de sécurité FireEye, ce logiciel malveillant récemment découvert infecte les serveurs Linux qui acheminent les messages SMS via un réseau de télécommunication. Une fois en place, Messagetap surveille le réseau des messages contenant une liste par défaut de téléphones ou IMSI numéros ou une liste par défaut de mots-clés.
Les messages répondant aux critères sont alors XOR codé et enregistré pour une récolte ultérieure. FireEye a déclaré avoir trouvé le malware infectant un fournisseur de télécommunications non divulgué. Les chercheurs de la société ont déclaré que le logiciel malveillant est chargé par un script d'installation, mais ils n'ont pas expliqué comment les infections se produisent.
Orientation des sources de données ascendantes
La société de sécurité a déclaré que Messagetap appartenait à APT41, l’un des nombreux groupes de piratage de menace persistants avancés qui, selon des chercheurs, est parrainé par le gouvernement chinois. Apparemment, le groupe utilise des logiciels malveillants pour espionner les hauts responsables militaires et gouvernementaux. en un rapportLes chercheurs ont déclaré que les logiciels malveillants permettent aux services de renseignement chinois d'obtenir une vaste gamme de données confidentielles à grande échelle.
"L'utilisation de MESSAGETAP et l'orientation des messages texte confidentiels et des enregistrements détaillés d'appels à grande échelle sont représentatifs de la nature évolutive des campagnes de cyberespionnage chinois observées par FireEye", ont écrit les chercheurs. «APT41 et de nombreux autres groupes de menaces attribués à des acteurs parrainés par la Chine ont accru leur objectif de devenir des entités de données ascendantes depuis 2017. Ces organisations, situées à plusieurs niveaux au-dessus des utilisateurs finaux, occupent des points d'information critiques dans lesquels: les données provenant de nombreuses sources convergent vers un seul ou plusieurs nœuds concentrés ".
Le fichier exécutable Messagetap 64 bits sous Linux contient deux fichiers de configuration. Le premier, parm.txt
, contient des listes de numéros IMSI et de numéros de téléphone d’intérêt tout en keyword_parm.txt
Liste des mots-clés Les deux fichiers sont supprimés du disque une fois chargés en mémoire. Par la suite, Messagetap surveille tout le trafic transitant par le réseau et recherche les messages correspondant aux critères des fichiers texte de configuration. Les messages envoyés depuis ou vers le téléphone ou les numéros IMSI sont collectés. Les messages contenant les mots-clés sont également collectés. Le logiciel malveillant analyse tout le trafic sur les couches Ethernet et IP et continue d'analyser les couches de protocole, y compris SCTP, SCCP et TCAP.
Les chercheurs ont récupéré le contenu des fichiers de configuration et ont trouvé un "grand volume de numéros de téléphone et de numéros IMSI". Le rapport de jeudi a continué:
L'inclusion des numéros de téléphone et IMSI montre la nature très spécifique de cette cyber-intrusion. Si un message SMS contient un numéro de téléphone ou un numéro IMSI correspondant à la liste prédéfinie, l'acteur de la menace l'enregistre dans un fichier CSV pour un vol ultérieur. Les numéros de téléphone et numéros IMSI spécifiques appartenaient à des personnes étrangères de haut rang présentant un intérêt pour le gouvernement chinois.
De même, la liste de mots-clés contenait des éléments d’intérêt géopolitique pour la collecte de renseignements chinois. Les exemples désinfectés incluent les noms des dirigeants politiques, des organisations militaires et de renseignement et des mouvements politiques en contradiction avec le gouvernement chinois. Si un message SMS contenait ces mots-clés, MESSAGETAP l'enregistrerait dans un fichier CSV en vue d'un vol ultérieur par l'acteur menaçant.
En plus du vol de SMS MESSAGETAP, Mandiant a également identifié l'acteur de la menace qui interagit avec les bases de données CDR (Call Detail Record) pour interroger, enregistrer et voler des enregistrements de personnes spécifiques au cours de cette même intrusion. Les informations de guidage CDR fournissent un aperçu de haut niveau des appels téléphoniques entre individus, y compris l'heure, la durée et les numéros de téléphone. Au contraire, MESSAGETAP capture le contenu de messages texte spécifiques.
Il est peu probable que Messagetap ait surveillé la grande majorité des utilisateurs de télécommunications infectés, mais son existence montre que les fournisseurs de réseau ne sont pas les seules entités pouvant tirer parti des réseaux téléphoniques. Son utilisation démontre la prudence de ne pas utiliser les réseaux téléphoniques pour transmettre des informations confidentielles sans cryptage. Les Signal Messenger reste le meilleur moyen d’envoyer des textes chiffrés entre deux téléphones.