MESSAGETAP
Die als APT41 (Advanced Persistent Threat) bekannte chinesische Hacking-Gruppe wurde mithilfe eines ausgeklügelten Hacking-Tools namens MESSAGETAP entdeckt. Die erste Aktivität der MESSAGETAP-Malware wurde Anfang 2019 entdeckt. Wenn der APT41 keine finanziell motivierten Kampagnen durchführt, dient diese Hacking-Gruppe als Angriffshund für die chinesische Regierung. Es ist bekannt, dass sie auf Organisationen und Einzelpersonen abzielen, von denen angenommen wird, dass sie für Pekings Beamte von Interesse sind.
Sucht nach bestimmten Textzeichenfolgen und Zielpersonen
Die Bedrohung durch MESSAGETAP gefährdet Telekommunikationsunternehmen und zielt auf SMS-Nachrichten ab. Dieses Hacking-Tool wurde so programmiert, dass es entweder auf bestimmte Personen abzielt oder nach bestimmten Textfolgen und Schlüsselwörtern sucht, die in den abgefangenen Textnachrichten vorhanden sein können. Die Bereitstellung der MESSAGETAP-Malware erfolgt auf Linux-Servern. Diese Server werden als SMSC (Short Message Service Center) verwendet. Dies ist die Infrastruktur für den Empfang und die Zustellung von Textnachrichten. Wenn die MESSAGETAP-Malware einen Host erfolgreich infiziert, sucht sie nach den Dateien "keyword_parm.txt" und "parm.txt". Ersteres enthält eine Liste von Schlüsselwörtern, nach denen die MESSAGETAP-Malware in den abgefangenen Textnachrichten suchen soll. Die letztere Datei enthält jedoch eine Liste von IMSI-Nummern (International Mobile Subscriber Identity), die für die SIM-Karte jedes registrierten Benutzers eindeutig sind und zur Identifizierung von Personen verwendet werden können, die für die Spionagekampagne des APT41 bestimmt waren.
Die gesammelten Daten werden regelmäßig an den APT41-Server übertragen
Wenn beide Dateien zusammen mit dem Code der MESSAGETAP-Malware im Speicher des Ziels abgelegt wurden, wird durch diese Bedrohung sichergestellt, dass der Fingerabdruck der Bedrohungsaktivitäten durch Löschen der Dateien verringert wird. Als Nächstes sucht das Hacking-Tool MESSAGETAP nach den Textzeichenfolgen, für die das Sniff-Out programmiert wurde, und die Textnachrichten, die den Kriterien entsprechen, werden in einer Liste gesammelt. Die MESSAGETAP-Malware sammelt auch die Textnachrichten der spezifischen IMSI-Nummern und speichert sie in einer anderen Liste. Die Daten aus beiden Listen werden dann regelmäßig auf den Server des Angreifers übertragen. Es ist wahrscheinlich, dass der APT41 das Hacking-Tool MESSAGETAP einsetzt, um politische Organisationen, Regierungsstellen und militärische Institutionen zu kompromittieren, die für die chinesischen Interessen weltweit von Bedeutung sind.
Malware-Experten sind sich nicht sicher, wie der APT41 Telekommunikationsanbieter infiltrieren kann, aber es ist klar, dass die chinesische Regierung nicht zögert, die Dienste von Cyberkriminellen zu nutzen, um ihre Interessen voranzutreiben. Es wurde spekuliert, dass das Hacking-Tool MESSAGETAP bei Operationen gegen die Proteste in Hongkong eingesetzt werden kann und wahrscheinlich zur Verfolgung der Aktivitäten prominenter Persönlichkeiten eingesetzt wird, die an den Kundgebungen gegen Peking beteiligt sind.
