安全企业FireEye本周指出,他们发现了由中国政府赞助的黑客集团APT41,企图借由渗透电信企业的短信服务中心服务器,来拦截目标对象的短信流量,此外,电信组织似乎成为中国黑客集团的头号目标,今年APT41就相中了4家电信组织,还有4家电信组织被另一个疑似同样由中国赞助的黑客集团锁定。
FireEye把APT41所使用的攻击工具命名为MESSAGETAP,它是个间谍程序,主要被部署在短信服务中心(Short Message Service Center,SMSC)所使用的Linux服务器上,SMSC负责将短信发送到接收端,或是存放短信直至接收端上线,而MESSAGETAP即是个数据挖掘工具。
当APT41在SMSC服务器上安装了MESSAGETAP之后,它就会检查服务器是否含有keyword_parm.txt与parm.txt这两个文件,前者含有该电信用户的IMSI设备识别码列表与电话号码,后者则是一个关键字列表,MESSAGETAP会加载这两个文件,并开始监控进出该服务器的网络连接,以分析它们的短信内容、IMSI及电话号码,以搜集并存储所需的信息。
APT41所搜集的信息包括目标对象发送或接收的短信,以及各种与中国政府理念背道而驰的短信内容及相关信息。
FireEye指出,从2017年以来,由中国政府支持的黑客集团就日益锁定上游企业发动攻击,诸如电信企业,让中国情报组织能够大规模地获取机密信息。
光是在今年,FireEye便发现APT41锁定4家电信组织发动攻击,还有另外4家电信组织,也被疑似由中国支持的黑客集团所攻击,且相信该趋势未来仍将持续,不管是企业或用户,都应该考虑到这些未加密的消息可能被拦截的风险,特别是那些握有机密信息的记者或官员,也呼吁不管是企业或用户都应该采取适当的保护措施。