Tin tặc Trung Quốc xâm nhập máy chủ viễn thông cho hoạt động gián điệp

Một nhóm tin tặc Trung Quốc dưới sự hậu thuẫn của chính quyền Bắc Kinh đã bị phát hiện đang nhắm mục tiêu vào các công ty viễn thông nhằm phát tán một phần mềm độc hại mới, được thiết kế để theo dõi các tin nhắn văn bản được gởi và nhận bởi các cá nhân được nhắm mục tiêu.

Tin tặc Trung Quốc xâm nhập máy chủ viễn thông cho hoạt động gián điệp - CyberSec365.org

Được đặt tên là "MessageTap", phần mềm độc hại này là công cụ khai thác dữ liệu 64-bit ELF gần đây đã được phát hiện được cài đặt trên máy chủ Trung tâm dịch vụ tin nhắn ngắn (SMSC) dựa trên Linux của một công ty viễn thông giấu tên.
Theo một báo cáo gần đây được công bố bởi công ty Mandiant của FireEye, MessageTap đã được APT41, một nhóm tin tặc Trung Quốc thực hiện các hoạt động gián điệp do nhà nước tài trợ và cũng bị phát hiện liên quan đến các cuộc tấn công có động cơ tài chính.
Trong các mạng điện thoại di động, máy chủ SMSC hoạt động như một dịch vụ trung gian chịu trách nhiệm xử lý các hoạt động SMS bằng cách định tuyến tin nhắn giữa người gửi và người nhận.
Vì các tin nhắn SMS không được thiết kế để được mã hóa, cả khi truyền và trên các máy chủ viễn thông, việc xâm phạm hệ thống SMSC cho phép kẻ tấn công giám sát tất cả các kết nối mạng đến và từ máy chủ cũng như dữ liệu trong chúng.

MessageTap Malware hoạt động như thế nào?

MessageTap sử dụng thư viện libpcap để theo dõi tất cả lưu lượng SMS và sau đó phân tích nội dung của từng tin nhắn để xác định IMSI và số điện thoại của người gửi và người nhận.
MessageTap sử dụng thư viện libpcap để theo dõi tất cả lưu lượng SMS và sau đó phân tích nội dung của từng tin nhắn để xác định IMSI và số điện thoại của người gửi và người nhận.

Tin tặc Trung Quốc xâm nhập máy chủ viễn thông cho hoạt động gián điệp - CyberSec365.org

Theo các nhà nghiên cứu, tin tặc đã thiết kế phần mềm độc hại MessageTap để lọc và chỉ lưu tin nhắn:

• gửi hoặc nhận bằng số điện thoại cụ thể,
• chứa một số từ khóa nhất định, hoặc
• với các số IMSI cụ thể.

Đối với điều này, MessageTap dựa trên hai tệp cấu hình - keyword_parm.txt và parm.txt - có chứa danh sách các số điện thoại được nhắm mục tiêu, số IMSI và từ khóa được liên kết với "các cá nhân xếp hạng cao quan tâm đến các dịch vụ tình báo Trung Quốc."

"Cả hai tệp đều bị xóa khỏi ổ đĩa sau khi các tệp cấu hình được đọc và tải vào bộ nhớ. Sau khi tải các tệp dữ liệu từ khóa và điện thoại, MESSAGETAP bắt đầu theo dõi tất cả các kết nối mạng đến và từ máy chủ", các nhà nghiên cứu cho biết trong báo cáo được công bố hôm nay.

Nếu nó tìm thấy một tin nhắn văn bản SMS đáng quan tâm, phần mềm độc hại XOR sẽ lưu nội dung của nó vào các tệp CSV để đánh cắp sau này bởi tác nhân đe dọa.
Theo các nhà nghiên cứu, "nguy cơ dữ liệu không được mã hóa bị chặn một số lớp ngược dòng trong chuỗi liên lạc di động của họ" đặc biệt quan trọng đối với các cá nhân có mục tiêu cao như nhà bất đồng chính kiến, nhà báo và quan chức xử lý thông tin nhạy cảm cao. "
Bên cạnh đó, nhóm tin tặc APT41 cũng bị phát hiện ăn cắp hồ sơ chi tiết cuộc gọi (CDR) tương ứng với các cá nhân nước ngoài cấp cao trong cùng vụ xâm nhập này, phơi bày siêu dữ liệu của các cuộc gọi, bao gồm thời gian của các cuộc gọi, thời lượng của họ và nguồn và đích số điện thoại.
Tin tặc Trung Quốc nhắm vào các công ty viễn thông không phải là mới. Trong chính năm nay, nhóm tin tặc APT41 đã nhắm mục tiêu vào ít nhất bốn thực thể viễn thông và các nhóm bị nhà nước Trung Quốc nghi ngờ.
Theo các nhà nghiên cứu của FireEye, xu hướng này sẽ tiếp tục và nhiều chiến dịch như vậy sẽ sớm được phát hiện, và do đó để giảm thiểu mức độ rủi ro, các tổ chức mục tiêu nên xem xét triển khai một chương trình truyền thông phù hợp để thực thi mã hóa đầu cuối.

Đại Phát (Theo THN)