MESSAGETAP: Кто читает ваши текстовые сообщения?

FireEye Mandiant недавно обнаружил новое семейство вредоносных программ, используемых APT41 (китайская группа APT), которые предназначены для отслеживания и сохранения SMS-трафика с определенных телефонных номеров, номеров IMSI и ключевых слов для последующей кражи. Инструмент под названием MESSAGETAP был развернут APT41 у поставщика телекоммуникационных сетей для поддержки китайских шпионских операций. Операции APT41 включали спонсируемые государством миссии кибершпионажа, а также финансово мотивированные вторжения. Эти операции продолжались с 2012 года по настоящее время. Обзор APT41 см. В нашем блоге за август 2019 г. или в полном опубликованном отчете. MESSAGETAP впервые был передан подписчикам FireEye Threat Intelligence в августе 2019 года и первоначально обсуждался публично в презентации APT41 на FireEye Cyber ​​Defense Summit 2019.

MESSAGETAP Обзор

Новейший инструмент шпионажа APT41, MESSAGETAP, был обнаружен в ходе расследования 2019 года у поставщика телекоммуникационных сетей в кластере серверов Linux. В частности, эти серверы Linux работали как серверы центра службы коротких сообщений (SMSC). В мобильных сетях SMSC несут ответственность за маршрутизацию сообщений службы коротких сообщений (SMS) предполагаемому получателю или за их хранение до тех пор, пока получатель не подключится к сети. На этом фоне давайте подробнее рассмотрим саму вредоносную программу.

MESSAGETAP - это 64-битный майнер данных ELF, изначально загружаемый установочным скриптом. После установки вредоносная программа проверяет наличие двух файлов: keyword_parm.txtи parm.txtи пытается прочитать файлы конфигурации каждые 30 секунд. Если они существуют, содержимое читается и XOR декодируется со строкой:

  • http://www.etsi.org/deliver/etsi_ts/123000_123099/123040/04.02.00_60/ts_123040v040200p.pdf
    • Интересно, что этот ключ XOR ведет к URL-адресу, принадлежащему Европейскому институту стандартов электросвязи (ETSI). В документе описывается служба коротких сообщений (SMS) для сетей GSM и UMTS. В нем описывается архитектура, а также требования и протоколы для SMS.

    Эти два файла, keyword_parm.txtи parm.txt,содержат инструкции для MESSAGETAP по нацеливанию и сохранению содержимого SMS-сообщений.

    • Первый файл ( parm.txt) - это файл, содержащий два списка:
      • imsiMap: этот список содержит номера международного идентификатора мобильного абонента (IMSI). Номера IMSI идентифицируют абонентов сотовой сети.
      • phoneMap: список phoneMapсодержит телефонные номера.

      Оба файла удаляются с диска после того, как файлы конфигурации будут прочитаны и загружены в память. После загрузки файлов ключевых слов и данных телефона MESSAGETAP начинает мониторинг всех сетевых подключений к серверу и от него. Он использует библиотеку libpcap для прослушивания всего трафика и анализирует сетевые протоколы, начиная с уровней Ethernet и IP. Он продолжает анализировать уровни протокола, включая SCTP, SCCP и TCAP. Наконец, вредоносная программа анализирует и извлекает данные SMS-сообщений из сетевого трафика:

      1. Содержание SMS сообщения
      2. Номер IMSI
      3. Телефонные номера источника и получателя

      Вредоносная программа ищет в содержимом SMS-сообщения ключевые слова из списка keywordVec, сравнивает номер IMSI с номерами из списка imsiMapи проверяет извлеченные телефонные номера с номерами в списке phoneMap.



      Рисунок 1: Общая обзорная диаграмма MESSAGETAP

      Если текст SMS-сообщения содержит одно из значений keywordVec, содержимое подвергается операции XOR и сохраняется в путь в следующем формате:

      • /etc//kw_.csv

      Вредоносная программа сравнивает номер IMSI и номера телефонов со значениями из списков imsiMapи phoneMap. В случае обнаружения вредоносная программа выполняет XOR содержимого и сохраняет данные по пути в следующем формате:

      • /etc//.csv

      Если вредоносная программа не может правильно проанализировать сообщение, она сбрасывает его в следующее место:

      • /etc//_.dump

      Значение входных файлов

      Файлы конфигурации предоставляют контекст для целей этой кампании по сбору информации и мониторингу. Данные в keyword_parm.txtсодержали термины, представляющие геополитический интерес для сбора китайской разведки. Два списка phoneMapи imsiMapиз parm.txtсодержат большое количество телефонных номеров и номеров IMSI.

      Для быстрого обзора, номера IMSI используются в сетях мобильной связи GSM (Глобальная система для мобильных телефонов) и UMTS (Универсальная система мобильной связи) и состоят из трех частей:

      1. Мобильный код страны (MCC)
      2. Код мобильной сети (MNC)
      3. Идентификационный номер мобильной станции (MSIN)

      Код страны мобильной связи соответствует стране абонента, код сети мобильной связи соответствует конкретному провайдеру, а идентификационный номер мобильной станции однозначно привязан к конкретному абоненту.



      Рисунок 2: Описание номера IMSI

      Включение номеров телефонов и IMSI показывает целенаправленный характер этого кибер-вторжения. Если SMS-сообщение содержало номер телефона или номер IMSI, совпадающие с предварительно определенным списком, оно сохранялось в CSV-файл для последующей кражи злоумышленником.

      Точно так же список ключевых слов содержал элементы, представляющие геополитический интерес для сбора китайской разведки. Обеззараженные примеры включают имена политических лидеров, военных и разведывательных организаций и политических движений, не согласных с китайским правительством. Если какое-либо SMS-сообщение содержит эти ключевые слова, MESSAGETAP сохранит SMS-сообщение в CSV-файл для последующей кражи злоумышленником.

      Помимо кражи SMS-сообщений MESSAGETAP, FireEye Mandiant также идентифицировал злоумышленника, который взаимодействовал с базами данных записи вызовов (CDR) для запроса, сохранения и кражи записей во время того же вторжения. Записи CDR относятся к иностранным высокопоставленным лицам, представляющим интерес для китайских спецслужб. Информация о таргетинге CDR обеспечивает общий обзор телефонных звонков между людьми, включая время, продолжительность и номера телефонов. Напротив, MESSAGETAP фиксирует содержимое определенных текстовых сообщений.

      Смотреть вперед

      Использование MESSAGETAP и таргетинг на конфиденциальные текстовые сообщения и записи о звонках в большом масштабе свидетельствует о развивающемся характере китайских кибершпионажных кампаний, наблюдаемых FireEye. APT41 и множество других групп угроз, приписываемых спонсируемым государством китайским субъектам, с 2017 года усилили нацеливание на вышестоящие объекты данных. Эти организации, расположенные на нескольких уровнях над конечными пользователями, занимают важные информационные узлы, в которых данные из множества источников сходятся в единый или концентрированные узлы. Стратегический доступ к этим организациям, таким как поставщики телекоммуникационных услуг, позволяет китайским спецслужбам получать конфиденциальные данные в широком масштабе для широкого спектра приоритетных разведывательных требований.

      В 2019 году FireEye зафиксировала четыре телекоммуникационные организации, ставшие объектами атаки APT41. Кроме того, еще четыре телекоммуникационных предприятия стали мишенью в 2019 году отдельных групп угроз с подозреваемыми китайскими государственными ассоциациями. Помимо телекоммуникационных организаций, другие вертикали клиентов, которые обладают конфиденциальными записями, относящимися к конкретным интересующим их лицам, например, крупные туристические услуги и поставщики медицинских услуг, также стали мишенью APT41. Это отражает развивающуюся тенденцию нацеливания в Китае, ориентированную как на данные разведки, так и на целевое наблюдение. Для более глубокого анализа недавних тенденций в отношении таргетинга в Китае кибершпионаж клиенты могут обратиться к порталу FireEye Threat Intelligence. Эта тема также обсуждалась на саммите FireEye Cyber ​​Defense Summit 2019.

      FireEye считает, что эта тенденция сохранится и в будущем. Соответственно, и пользователи, и организации должны учитывать риск перехвата незашифрованных данных на нескольких уровнях выше в их цепочке сотовой связи. Это особенно важно для лиц, нацеленных на строго определенные действия, таких как диссиденты, журналисты и должностные лица, которые имеют дело с конфиденциальной информацией. Соответствующие меры безопасности, такие как использование коммуникационной программы, обеспечивающей сквозное шифрование, могут снизить степень этого риска. Кроме того, обучение пользователей должно учитывать риски передачи конфиденциальных данных по SMS. В более широком смысле угроза для организаций, работающих в критических информационных узлах, будет только увеличиваться, поскольку у решительных национальных государственных субъектов сохраняются стимулы для получения данных, которые напрямую поддерживают ключевые геополитические интересы.

      Обнаружения FireEye

      • FE_APT_Controller_SH_MESSAGETAP_1
      • FE_APT_Trojan_Linux64_MESSAGETAP_1
      • FE_APT_Trojan_Linux_MESSAGETAP_1
      • FE_APT_Trojan_Linux_MESSAGETAP_2
      • FE_APT_Trojan_Linux_MESSAGETAP_3

      Пример файла

      • Имя файла:mtlserver
      • Хеш MD5: 8D3B3D5B68A1D08485773D70C186D877

      * Этот образец был идентифицирован FireEye на VirusTotal и предоставляет читателям пример для справки. Этот файл является менее надежной версией, чем экземпляры MESSAGETAP, выявленные во время вторжений, и может представлять собой более раннюю проверку вредоносного ПО. Файл и любые его встроенные данные не наблюдались в ходе какого-либо взаимодействия с Mandiant Consulting *

      использованная литература

      Благодарности

      Спасибо Адриану Писарчику, Матиасу Бевилаква и Марцину Зидларцу за выявление и анализ MESSAGETAP на мероприятии FireEye Mandiant Consulting.

ПОПУЛЯРНЫЕ СТАТЬИ