‘Chinese hackers gebruiken nieuwe malware voor SMS-spionage’

Beveiligingsonderzoekers van FireEye stellen dat een door de Chinese staat gesponsorde hackersgroep SMS-berichten afluisteren met nieuwe malware.

Het gaat om malware genaamd MESSAGETAP, dat dit jaar ontdekt werd, schrijft SiliconAngle. De malware zou door de Chinese groep APT41 ingezet worden tegen een telecom-netwerkprovider voor Chinese spionage op SMS-berichten.

Werking van de malware

De malware wordt geïnstalleerd op een Linux-server die SMS-berichten doorstuurt naar de ontvanger. Is een ontvanger niet bereikbaar – bijvoorbeeld omdat zijn telefoon uitstaat – dan wordt het bericht op de server opgeslagen tot deze wel bezorgd kan worden.

De malware gaat in deze zogeheten SMSC-server zitten om SMS-berichten af te luisteren. MESSAGETAP monitort daarvoor alle netwerkverbindingen van en naar de server. Ook leest de malware de inhoud van alle SMS-berichten en bekijkt het gerelateerde identificeerbare data.

De malware bekijkt aan de hand van die verzamelde data vervolgens of er bepaalde woorden voorkomen in een bericht. Daarnaast zoekt het naar telefoonnummers en IMSI-nummers. Blijken die gegevens voor te komen op een vooraf samengestelde lijst, dan worden ze opgeslagen in een CSV-bestand. De hackers achter de malware kunnen de gegevens dan later gebruiken.

SMS niet enige doelwit

APT41 heeft bovendien niet alleen SMS-berichten op het oog, stellen de beveiligingsonderzoekers. Ook praat de groep met databases op geïnfecteerde diensten, met daarin gegevens van telefoongesprekken. Die gegevens worden doorzocht, opgeslagen en gestolen.

De reden dat de onderzoekers stellen dat het hier om spionage gaat, is onder meer dat deze gegevens overeenkomen met die van hoge officieren die de interesse van Chinese inlichtingendiensten hebben.

De onderzoekers van FireEye stellen dat het gebruik van MESSAGETAP en het op grote schaal afluisteren van gevoelige berichten en telefoongegevens, “representatief” is voor de “veranderende natuur van Chinese cyber-spionagecampagnes” die het bedrijf gezien heeft.