Raport - hackerii angajaţi de regimul comunist chinez interceptează mesajele text din toată lumea
alte articole
Firma americană de securitate cibernetică FireEye a dezvăluit că un grup de hackeri chinezi aparţinând regimului comunist - denumit APT41 - a compromis mai multe firme majore de telecomunicaţii şi a preluat înregistrări de apeluri de la clienţii acestora, interceptând mesaje text, precum şi înregistrări de apeluri din întreaga lume.
Raportul nu a numit companiile de telecomunicaţii care au fost ţinta atacurilor.
Hackerii au căutat înregistrări de apeluri şi mesaje text căutând după anumite cuvinte cheie, cum ar fi politicieni, organizaţii de informaţii şi grupări „în contradicţie cu guvernul chinez”, potrivit raportului.
Nu este prima dată când hackerii chinezi sponsorizaţi de stat au interceptat mesaje text internaţionale trimise prin telefonia mobilă. Firma americană Cybereason a lansat un raport pe 25 iunie, în care prezenta modul în care grupul de hackeri APT10 a efectuat atacuri persistente din 2017 asupra furnizorilor de telecomunicaţii la nivel mondial.
Cybereason a concluzionat că APT10 funcţionează „în numele Ministerului Chinez al Securităţii Statului”, agenţia principală de informaţii a Partidului Comunist Chinez. Hackerii urmau să obţină date privind detaliile apelurilor, care includ timpul de apel, durata, numerele de telefon implicate şi geolocaţia.
FireEye a publicat studiul său despre securitatea mesajelor text pe 31 octombrie, concentrându-se pe un nou instrument pe care APT41 îl utilizează: un malware numit MESSAGETAP, pentru a intercepta mesajele text ale utilizatorilor de telefonie mobilă din întreaga lume.
Raportul a explicat că hackerii APT41 au instalat MESSAGETAP pe serverele SMSC (Short Message Service Center (SMSC)) ale operatorilor de telecomunicaţii vizaţi. Programul malware poate monitoriza toate conexiunile de reţea către şi de pe server.
MESSAGETAP poate intercepta tot traficul de mesaje SMS, care include conţinutul mesajelor; identificatorul unic al telefoanelor mobile, cunoscut ca număr IMSI şi numerele de telefon sursă şi destinaţie.
Mai mult, hackerii pot configura cuvinte cheie în MESSAGETAP, permiţând programului malware să filtreze conţinutul pe care hackerii îl caută.
În timpul anchetei, FireEye a aflat că hackerii au căutat cuvinte cheie, cum ar fi numele „persoanelor de rang înalt care prezintă interes pentru serviciile de informaţii chineze”, precum şi lideri politici, organizaţii militare şi de informaţii şi grupuri civile.
FireEye a declarat că au observat că patru organizaţii de telecomunicaţii sunt vizate de APT41 în 2019.
FireEye a lansat anterior, în august, un raport complet despre APT41 intitulat „Dragonul dublu: APT41, o operaţiune dublă de spionaj şi criminalitate cibernetică”.
Adjectivul „dublu” se referă la faptul că „APT41 este un grup chinez de spionaj sponsorizat de stat, care desfăşoară, de asemenea, activităţi pentru profit financiar şi câştig personal”, din 2012. Nu a oferit detalii suplimentare despre cine a angajat serviciile APT41.
„APT41 vizează industriile într-o manieră, în general, aliniată planurilor cincinale ale Chinei” şi planul de zece ani al Beijing-ului „Made în China 2025”, potrivit raportului.
Grupul de hackeri adună de asemenea informaţii înaintea evenimentelor importante, cum ar fi fuziunile şi achiziţiile şi evenimentele politice.
„Made în China 2025”, lansat pentru prima dată în 2015, este un model economic prin care regimul chinez doreşte să domine producţia globală în 10 sectoare cheie de înaltă tehnologie, precum farmaceutice, inteligenţă artificială şi robotică.
APT41 vizează asistenţa medicală (inclusiv dispozitive medicale şi diagnostice), produse farmaceutice, retail, companii de software, telecomunicaţii, servicii de turism, educaţie, jocuri video şi monede virtuale, potrivit raportului.
APT41 a vizat firme din sectoare ale SUA, Marii Britanii, Franţei, Italiei, Olandei, Elveţiei, Turciei, Japoniei, Coreei de Sud, Singapore, Indiei, Birmaniei, Tailandei şi Africii de Sud.
FireEye a aflat că APT41 s-a concentrat pe furtul proprietăţii intelectuale din ţările vizate. Dar la mijlocul anului 2015, hackerii „s-au îndreptat către colectarea strategică de informaţii şi consolidarea accesului şi către furtul direct de proprietate intelectuală”.
Grupul de hackeri foloseşte „peste 46 de familii şi instrumente malware diferite pentru a-şi îndeplini misiunile, inclusiv utilităţile disponibile publicului, malware-ul partajat cu alte operaţiuni de spionaj chinez şi instrumente care sunt unice pentru acest grup”, se arată în raport.
Pentru ca o firmă să se protejeze de atacurile potenţiale ale APT41, FireEye a avertizat firmele să nu deschidă e-mailuri necunoscute: „Grupul se bazează adesea pe e-mailuri de tip spear cu ataşamente precum fişiere HTML (.chm) compilate pentru a-şi compromite iniţial victimele. “