Группировка APT41 крадет SMS прямо с серверов провайдера

Опубликовано at 18:54
60 0

Китайская хакерская группировка APT41 просматривала SMS-сообщения пользователей в целях шпионажа в интересах страны.

О целях шпионажа  сообщается, но это некие высокопоставленных лица, представляющих интерес для китайского правительства (данную группировку связывают с правительством КНР). Очевидно, это зарубежные дипломаты и чиновники, а также оппозиционеры и представители меньшинств.

Как сообщают эксперты FireEye Mandiant, с помощью специального вредоносного ПО  MESSAGETAP, внедренного в сеть провайдера, китайские хакеры перехватывают контент SMS-сообщений.

MESSAGETAP представляет собой 64-битный ELF-анализатор данных, загружаемый скриптом установки. После установки вредонос проверяет наличие конфигурационных файлов keyword_parm.txt и parm.txt, содержащих инструкции относительно того, какие текстовые сообщения нужно извлечь. После прочтения и загрузки в память оба конфигурационных файла удаляются с диска, далее инструмент загружает списки с ключевыми словами и IMSI номерами и приступает к мониторингу всех сетевых соединений от и к серверу. Он использует библиотеку libpcap для просмотра трафика и извлекает метаданные SMS-сообщений, включая содержание SMS-сообщения, номер IMSI, а также телефонные номера отправителя и получателя.

Для своей операции группировка скомпрометировала кластер серверов Linux неназванного телеком-провайдера. При этом провайдер находился в стране, которая является «стратегическим конкурентом» Китая.

В общей сложности в 2019 году эксперты обнаружили атаки, совершенные участниками одной только APT41 на четыре телекоммуникационные компании.

Читайте также на АКБ:

КНР стрелял в протестный Гонконг из Великой Китайской Пушки

Китайцы создали самолет C919 на основе украденных хакерами данных

Китайский майнер зачищает конкурентов и держит связь через GitHub

Подписываемся, следим @CyberAgency

Related Post

Шифровальщик Sodinokibi оказался новым обличьем GandCrab

Опубликовано - 25.09.2019 0
Стремительно поднимающийся к вершине иерархии вредоносных угроз REvil, будучи исследован специалистами, оказался весьма неожиданным экземпляром. Это новое семейство программ-вымогателей содержит…