Группировка APT41 крадет SMS прямо с серверов провайдера

Опубликовано at 18:54
49 0

Китайская хакерская группировка APT41 просматривала SMS-сообщения пользователей в целях шпионажа в интересах страны.

О целях шпионажа  сообщается, но это некие высокопоставленных лица, представляющих интерес для китайского правительства (данную группировку связывают с правительством КНР). Очевидно, это зарубежные дипломаты и чиновники, а также оппозиционеры и представители меньшинств.

Как сообщают эксперты FireEye Mandiant, с помощью специального вредоносного ПО  MESSAGETAP, внедренного в сеть провайдера, китайские хакеры перехватывают контент SMS-сообщений.

MESSAGETAP представляет собой 64-битный ELF-анализатор данных, загружаемый скриптом установки. После установки вредонос проверяет наличие конфигурационных файлов keyword_parm.txt и parm.txt, содержащих инструкции относительно того, какие текстовые сообщения нужно извлечь. После прочтения и загрузки в память оба конфигурационных файла удаляются с диска, далее инструмент загружает списки с ключевыми словами и IMSI номерами и приступает к мониторингу всех сетевых соединений от и к серверу. Он использует библиотеку libpcap для просмотра трафика и извлекает метаданные SMS-сообщений, включая содержание SMS-сообщения, номер IMSI, а также телефонные номера отправителя и получателя.

Для своей операции группировка скомпрометировала кластер серверов Linux неназванного телеком-провайдера. При этом провайдер находился в стране, которая является «стратегическим конкурентом» Китая.

В общей сложности в 2019 году эксперты обнаружили атаки, совершенные участниками одной только APT41 на четыре телекоммуникационные компании.

Читайте также на АКБ:

КНР стрелял в протестный Гонконг из Великой Китайской Пушки

Китайцы создали самолет C919 на основе украденных хакерами данных

Китайский майнер зачищает конкурентов и держит связь через GitHub

Подписываемся, следим @CyberAgency

Related Post

ФБР вычисляет виртуальных педофилов с помощью торрент-клиентов

Опубликовано - 20.04.2017 0
Федеральное бюро расследований США использует модифицированные торрент-клиенты, чтобы идентифицировать пользователей, загружающих и распространяющих детскую порнографию. Об этом сообщил вчера портал…