MESSAGETAP
Le groupe de piratage chinois connu sous le nom de APT41 (Advanced Persistent Threat) a été repéré à l'aide d'un outil de piratage sophistiqué appelé MESSAGETAP. La première activité du logiciel malveillant MESSAGETAP a été détectée au début de 2019. Lorsque l'APT41 ne mène pas de campagnes à motivation financière, ce groupe de piratage sert de chien d'attaque au gouvernement chinois. Ils sont connus pour avoir ciblé des organisations et des individus considérés comme présentant un intérêt pour les responsables de Beijing.
Recherche des chaînes de texte spécifiques et des individus ciblés
La menace MESSAGETAP compromet les entreprises de télécommunication et cible les messages SMS. Cet outil de piratage a été programmé pour cibler des personnes spécifiques ou rechercher des chaînes de texte et des mots-clés susceptibles d’être présents dans les messages texte interceptés. Le déploiement du logiciel malveillant MESSAGETAP est effectué sur des serveurs Linux. Ces serveurs sont utilisés en tant que SMSC (Short Message Service Centers), qui est l’infrastructure impliquée dans la réception et la livraison de messages texte. Lorsque le programme malveillant MESSAGETAP met en danger un hôte, il recherche les fichiers 'keyword_parm.txt' et 'parm.txt'. Le premier contient une liste de mots-clés que le logiciel malveillant MESSAGETAP est censé rechercher dans les messages texte interceptés. Ce dernier fichier contient toutefois une liste de numéros IMSI (International Mobile Subscriber Identity) uniques pour la carte SIM de chaque utilisateur enregistré et pouvant être utilisés pour identifier les personnes ciblées pour la campagne d'espionnage de l'APT41.
Les données collectées sont transférées sur le serveur APT41 périodiquement
Lorsque les deux fichiers ont été placés dans la mémoire de la cible, parallèlement au code du logiciel malveillant MESSAGETAP, cette menace veillera à réduire l'empreinte digitale de ses activités menaçantes en effaçant ses fichiers. Ensuite, l'outil de piratage MESSAGETAP procédera à l'attaque en recherchant les chaînes de texte pour lesquelles il a été programmé, et les messages texte correspondant aux critères seront rassemblés dans une liste. Le programme malveillant MESSAGETAP va également rassembler les messages texte des numéros IMSI spécifiques et les stocker dans une autre liste. Les données des deux listes sont ensuite périodiquement transférées sur le serveur des attaquants. Il est probable que l'APT41 utilise l'outil de piratage MESSAGETAP pour compromettre les organisations politiques, les organes gouvernementaux et les institutions militaires, qui sont jugés pertinents pour les intérêts chinois dans le monde.
Les experts en logiciels malveillants ne sont pas certains de la capacité de l'APT41 d'infiltrer les fournisseurs de télécommunications, mais il est clair que le gouvernement chinois n'hésite pas à utiliser les services de cybercriminels pour défendre leurs intérêts. Il a été supposé que l'outil de piratage MESSAGETAP pourrait être utilisé dans les opérations de lutte contre les manifestations de Hong Kong et serait probablement utilisé pour suivre les activités de personnalités impliquées dans les rassemblements anti-Pékin.
