导航菜单
首页 >  沐鸣开户测速 >  » 正文

研究人员发现了一种恶意软件,它会将短信从电信公司的网络中吸走

沐鸣开户测速,研究人员发现了

研究人员称,由国家资助的黑客拥有一种新工具,可以大规模窃取电信运营商的大量短信。
 
安全公司火眼(FireEye)曼迪昂特(Mandiant)分部的研究人员将这款最近发现的恶意软件称为“Messagetap”,沐鸣开户测速它感染了通过电信网络发送短信的Linux服务器。设置好后,Messagetap将监视网络,查找包含预先设置的电话或IMSI号码列表或预先设置的关键字列表的消息。
 
然后对满足条件的消息进行XOR编码并保存,以供以后获取。FireEye表示,它发现恶意软件感染了一家未公开的电信服务提供商。该公司的研究人员说,恶意软件是通过安装脚本加载的,但没有解释感染是如何发生的。
 
针对上游数据源
 
这家安全公司说,Messagetap隶属于APT41。研究人员说,APT41是由中国政府资助的几个持续威胁黑客组织之一。该组织显然是利用恶意软件来监视高级军事和政府官员。研究人员在一份报告中说,这种恶意软件使中国情报机构得以大规模获取各种敏感数据。
 
研究人员写道:“MESSAGETAP的使用,以及针对敏感短信和电话详细记录的大规模攻击,代表了FireEye观察到的中国网络间谍活动不断演变的本质。”自2017年以来,APT41和其他多个被认为是中国政府支持的行为者发起的威胁组织,加大了针对上游数据实体的攻击力度。这些组织位于终端用户之上的多层,占据着重要的信息连接点,其中来自众多来源的数据会聚成单个或集中的节点。”
 
Messagetap的64位Linux可执行文件包含两个配置文件。第一,改。txt,包含IMSI号码和感兴趣的电话号码列表,而keyword_parm.txt列出关键字。一旦加载到内存中,这两个文件都会从磁盘中删除。之后,Messagetap监视通过网络的所有流量,并从配置文本文件中查找符合条件的消息。发送到或来自电话或IMSI号码的消息将被收集。还将收集包含关键字的消息。恶意软件解析以太网和IP层的所有流量,并继续解析协议层,包括SCTP、SCCP和TCAP。
 
FireEye
 
研究人员恢复了配置文件的内容,发现“大量的电话号码和IMSI号码”。周四的报告继续写道:
 
包括电话号码和IMSI号码显示了这种网络入侵的高度针对性。如果SMS消息包含匹配预定义列表的电话号码或IMSI号码,则会将其保存到CSV文件中,供威胁参与者稍后进行盗窃。这些目标电话号码和IMSI号码属于中国政府感兴趣的外国高层人士。
 
同样,关键字列表包含了中国情报收集的地缘政治利益。被“净化”的例子包括政治领导人、军事和情报组织以及与中国政府存在分歧的政治运动的名字。如果任何SMS消息包含这些关键字,沐鸣开户测速MESSAGETAP将把SMS消息保存到CSV文件中,以便稍后由威胁参与者进行窃取。
 
除了MESSAGETAP短信盗窃外,Mandiant还识别了与呼叫详细记录(CDR)数据库交互的威胁行动者,以便在同一入侵期间为特定的个人查询、保存和窃取记录。以CDR信息为目标提供了个人之间电话呼叫的高级概述,包括时间、持续时间和电话号码。相反,MESSAGETAP捕获特定文本消息的内容。
 
虽然Messagetap不太可能监控了受感染电信公司的绝大多数用户,但它的存在表明,网络提供商并不是唯一能够进入手机网络的实体。它的使用表明不使用电话网络来传递未加密的敏感信息是谨慎的。信号信使仍然是在两部手机之间发送加密文本的最佳方式。