Se ha encontrado que un grupo de piratas informáticos chinos que realizan espionaje político para Beijing apuntan a compañías de telecomunicaciones con una nueva pieza de malware diseñada para espiar mensajes de texto enviados o recibidos por individuos altamente selectivos.
Apodado » MessageTap » , el malware de puerta trasera es un minero de datos ELF de 64 bits que recientemente se descubrió instalado en un servidor del Centro de Servicio de Mensajes Cortos (SMSC) basado en Linux de una compañía de telecomunicaciones no identificada.
Según un informe reciente publicado por la firma Mandiant de FireEye, MessageTap ha sido creado y utilizado por APT41 , un grupo de piratería chino prolífico que lleva a cabo operaciones de espionaje patrocinadas por el estado y también se ha encontrado involucrado en ataques con motivos financieros.
En las redes de telefonía móvil, los servidores SMSC actúan como un servicio intermediario responsable de manejar las operaciones de SMS mediante el enrutamiento de mensajes entre remitentes y destinatarios.
Dado que los SMS no están diseñados para encriptarse, ni en la transmisión ni en los servidores de telecomunicaciones, comprometer un sistema SMSC permite a los atacantes monitorear todas las conexiones de red hacia y desde el servidor, así como los datos dentro de ellos.
¿Cómo funciona MessageTap Malware?
MessageTap usa la biblioteca libpcap para monitorear todo el tráfico de SMS y luego analiza el contenido de cada mensaje para determinar IMSI y los números de teléfono del remitente y el destinatario.
Según los investigadores, los piratas informáticos han diseñado el malware MessageTap para filtrar y solo guardar mensajes:
- enviado o recibido por números de teléfono específicos,
- que contiene ciertas palabras clave, o
- con números IMSI específicos.
Para esto, MessageTap se basa en dos archivos de configuración proporcionados por los atacantes: keyword_parm.txt y parm.txt, que contienen una lista de números de teléfono específicos, números IMSI y palabras clave vinculadas a «individuos de alto rango de interés para los servicios de inteligencia chinos». «
«Ambos archivos se eliminan del disco una vez que los archivos de configuración se leen y cargan en la memoria. Después de cargar la palabra clave y los archivos de datos del teléfono, MESSAGETAP comienza a monitorear todas las conexiones de red hacia y desde el servidor», dijeron los investigadores en su informe publicado hoy.
«Los datos en keyword_parm.txt contenían términos de interés geopolítico para la recopilación de inteligencia china».
Si encuentra un mensaje de texto SMS de interés, el malware XOR almacena su contenido y lo guarda en archivos CSV para su posterior robo por parte del actor de la amenaza.
Según los investigadores, «el riesgo de que los datos no encriptados sean interceptados en varias capas aguas arriba en su cadena de comunicación celular» es especialmente «crítico para personas altamente selectivas, como disidentes, periodistas y funcionarios que manejan información altamente confidencial».
Además de esto, también se descubrió que el grupo de piratería APT41 robaba registros detallados de llamadas (CDR) correspondientes a personas extranjeras de alto rango durante esta misma intrusión, exponiendo metadatos de llamadas, incluido el tiempo de las llamadas, su duración y el origen y destino números de teléfono.
Los piratas informáticos chinos dirigidos a empresas de telecomunicaciones no son nuevos. En este año, el grupo de piratería APT41 apuntó al menos a cuatro entidades de telecomunicaciones, y grupos separados sospechosos de patrocinio del estado también observaron haber golpeado a cuatro organizaciones de telecomunicaciones adicionales.
Según los investigadores de FireEye, esta tendencia continuará y pronto se descubrirán más campañas de este tipo y, por lo tanto, para mitigar un cierto grado de riesgos, las organizaciones seleccionadas deberían considerar la implementación de un programa de comunicación apropiado que aplique el cifrado de extremo a extremo.
