Hackers patrocinados
por China están atacando las redes de telecomunicaciones para interceptar los
mensajes SMS que contienen palabras clave que giran en torno a los disidentes
políticos.
Los investigadores
han descubierto un nuevo malware para espionaje utilizado por el grupo
relacionado con China APT41. El malware intercepta el tráfico del servidor SMS
de telecomunicaciones y detecta ciertos números de teléfono y mensajes SMS,
especialmente aquellos con palabras clave relacionadas con disidentes políticos
chinos.
La herramienta de
espionaje, llamada MessageTap, fue descubierta por FireEye Mandiant durante una
investigación en 2019 sobre un grupo de servidores Linux dentro de una red de
telecomunicaciones no especificada; estos operaban como servidores del Centro
de Servicios de Mensajes Cortos (SMSC). En las redes móviles, los SMSC son
responsables de enviar mensajes SMS a un destinatario previsto o de
almacenarlos hasta que el destinatario se haya conectado.
«La herramienta fue
desplegada por APT41 en un proveedor de redes de telecomunicaciones en apoyo a
los esfuerzos de espionaje chino», dijeron los investigadores de FireEye
Raymond Leong, Dan Pérez y Tyler Dean, en un informe el jueves. «Las
operaciones de la APT41 han incluido misiones de ciberespionaje patrocinadas
por el estado, así como intrusiones por motivos económicos. Estas operaciones
han abarcado desde 2012 hasta la actualidad».
En este caso, el
malware fue visto interceptando el tráfico de la red para leer el contenido de
los mensajes SMS, captar los números de identidad del suscriptor móvil
internacional (IMSI), así como acceder a los números de teléfono de origen y
destino de las llamadas telefónicas. Los investigadores dijeron que estos datos
robados – en particular los números del IMSI – muestran la «naturaleza
altamente dirigida de esta ciber-intrusión».
Diagrama del
funcionamiento de MessageTap. Por fireeye.
MessageTap se carga
inicialmente en los servidores a través de un script de instalación. Una vez
instalado, el malware busca dos archivos: keyword_parm.txt y parm.txt.
Estos dos archivos
contienen instrucciones para que el malware apunte y guarde el contenido de
determinados mensajes SMS. A partir de ahí, el malware intenta leer los
archivos de configuración cada 30 segundos.
«Ambos archivos se
borran del disco una vez que los archivos de configuración se leen y cargan en
la memoria», dijeron los investigadores. «Después de cargar la palabra clave y
los archivos de datos telefónicos, MessageTap comienza a supervisar todas las
conexiones de red hacia y desde el servidor. Utiliza la biblioteca libpcap para
escuchar todo el tráfico y analizar los protocolos de red empezando por las
capas Ethernet e IP».
A continuación, el
malware extrae del tráfico de la red el contenido de los datos de los mensajes
SMS utilizando determinadas palabras clave, así como determinados números IMSI
(utilizando números predeterminados en una lista imsiMap) y la fuente y los
destinos de los números de teléfono (con números predeterminados en la lista
phoneMap).
«Si un mensaje SMS
contenía un número de teléfono o un número IMSI que coincidiera con la lista
predefinida, se guardaba en un archivo CSV para su posterior robo por parte del
responsable de la amenaza.»
«Del mismo modo, la
lista de palabras clave contenía elementos de interés geopolítico para la
recopilación de información de la inteligencia china. Ejemplos saneados
incluyen los nombres de líderes políticos, organizaciones militares y de
inteligencia y movimientos políticos en desacuerdo con el gobierno chino. Si
algún mensaje SMS contenía estas palabras clave, MessageTap guardaba el mensaje
SMS en el archivo CSV.»
APT41 es un grupo que
los investigadores han encontrado históricamente (desde 2012) llevando a cabo
actividades duales de espionaje patrocinadas por el estado chino y actividades
personales motivadas financieramente. Los investigadores, por su parte,
afirmaron que este malware recién descubierto demuestra que la APT41 (y otros
grupos de hacking patrocinados por el estado) no se ralentizarán en un futuro
próximo. Con esto en mente, es importante que los «individuos altamente
atacados» – como disidentes, periodistas y funcionarios – adopten precauciones
de seguridad adicionales, según el análisis.
«El uso de
MessageTap, la selección de los mensajes de texto sensibles y los registros de
detalle de llamadas a escala son representativos de la naturaleza evolutiva de
las campañas de ciberespionaje chinas observadas por FireEye», dijeron los
investigadores. «La APT41 y otros múltiples grupos de amenazas atribuidos a
actores chinos promovidos por el estado han incrementado el número de entidades
de datos desde 2017.»
Más información:
- FireEye https://www.fireeye.com/blog/threat-research/2019/10/messagetap-who-is-reading-your-text-messages.html
- ThreatPost https://threatpost.com/china-hackers-spy-texts-messagetap-malware/149761/
Fuente: Hispasec