Hackers patrocinados por China están atacando las redes de telecomunicaciones para interceptar los mensajes SMS que contienen palabras clave que giran en torno a los disidentes políticos.
Los investigadores han descubierto un nuevo malware para espionaje utilizado por el grupo relacionado con China APT41. El malware intercepta el tráfico del servidor SMS de telecomunicaciones y detecta ciertos números de teléfono y mensajes SMS, especialmente aquellos con palabras clave relacionadas con disidentes políticos chinos.
La herramienta de espionaje, llamada MessageTap, fue descubierta por FireEye Mandiant durante una investigación en 2019 sobre un grupo de servidores Linux dentro de una red de telecomunicaciones no especificada; estos operaban como servidores del Centro de Servicios de Mensajes Cortos (SMSC). En las redes móviles, los SMSC son responsables de enviar mensajes SMS a un destinatario previsto o de almacenarlos hasta que el destinatario se haya conectado.
«La herramienta fue desplegada por APT41 en un proveedor de redes de telecomunicaciones en apoyo a los esfuerzos de espionaje chino», dijeron los investigadores de FireEye Raymond Leong, Dan Pérez y Tyler Dean, en un informe el jueves. «Las operaciones de la APT41 han incluido misiones de ciberespionaje patrocinadas por el estado, así como intrusiones por motivos económicos. Estas operaciones han abarcado desde 2012 hasta la actualidad».
En este caso, el malware fue visto interceptando el tráfico de la red para leer el contenido de los mensajes SMS, captar los números de identidad del suscriptor móvil internacional (IMSI), así como acceder a los números de teléfono de origen y destino de las llamadas telefónicas. Los investigadores dijeron que estos datos robados – en particular los números del IMSI – muestran la «naturaleza altamente dirigida de esta ciber-intrusión».
MessageTap se carga inicialmente en los servidores a través de un script de instalación. Una vez instalado, el malware busca dos archivos: keyword_parm.txt y parm.txt.
Estos dos archivos contienen instrucciones para que el malware apunte y guarde el contenido de determinados mensajes SMS. A partir de ahí, el malware intenta leer los archivos de configuración cada 30 segundos.
«Ambos archivos se borran del disco una vez que los archivos de configuración se leen y cargan en la memoria», dijeron los investigadores. «Después de cargar la palabra clave y los archivos de datos telefónicos, MessageTap comienza a supervisar todas las conexiones de red hacia y desde el servidor. Utiliza la biblioteca libpcap para escuchar todo el tráfico y analizar los protocolos de red empezando por las capas Ethernet e IP».
A continuación, el malware extrae del tráfico de la red el contenido de los datos de los mensajes SMS utilizando determinadas palabras clave, así como determinados números IMSI (utilizando números predeterminados en una lista imsiMap) y la fuente y los destinos de los números de teléfono (con números predeterminados en la lista phoneMap).
«Si un mensaje SMS contenía un número de teléfono o un número IMSI que coincidiera con la lista predefinida, se guardaba en un archivo CSV para su posterior robo por parte del responsable de la amenaza.»
«Del mismo modo, la lista de palabras clave contenía elementos de interés geopolítico para la recopilación de información de la inteligencia china. Ejemplos saneados incluyen los nombres de líderes políticos, organizaciones militares y de inteligencia y movimientos políticos en desacuerdo con el gobierno chino. Si algún mensaje SMS contenía estas palabras clave, MessageTap guardaba el mensaje SMS en el archivo CSV.»
APT41 es un grupo que los investigadores han encontrado históricamente (desde 2012) llevando a cabo actividades duales de espionaje patrocinadas por el estado chino y actividades personales motivadas financieramente. Los investigadores, por su parte, afirmaron que este malware recién descubierto demuestra que la APT41 (y otros grupos de hacking patrocinados por el estado) no se ralentizarán en un futuro próximo. Con esto en mente, es importante que los «individuos altamente atacados» – como disidentes, periodistas y funcionarios – adopten precauciones de seguridad adicionales, según el análisis.
«El uso de MessageTap, la selección de los mensajes de texto sensibles y los registros de detalle de llamadas a escala son representativos de la naturaleza evolutiva de las campañas de ciberespionaje chinas observadas por FireEye», dijeron los investigadores. «La APT41 y otros múltiples grupos de amenazas atribuidos a actores chinos promovidos por el estado han incrementado el número de entidades de datos desde 2017.»