بـرنامج ضار جديد يطلق عليه "Messagetap" مصمم لرصد وتسجيل حركة مرور الرسائل القصيرة لبعض أرقام الهواتف ، وأرقام IMSI ، واستنادا إلى الكلمات الرئيسية للسرقة اللاحقة.
Messagetap تدفق الرسم البياني الموافقة المسبقة عن علم: FireEye
يحاول البرنامج النصي لتثبيت البرامج الضارة قراءة ملفات التكوين لكل 30 ثانية في حالة وجود ملفات التكوين يتم تحميلها في الذاكرة وسيتم حذف الملفات.
"تبدأ Messagetap في مراقبة جميع اتصالات الشبكة من وإلى الخادم. يستخدم مكتبة libpcap للاستماع إلى جميع بروتوكولات شبكة المرور وتوزيع البيانات التي تبدأ بطبقات Ethernet و IP. فإنه لا يزال تحليل بروتوكول الطبقات بما في ذلك SCTP، SCCP، وإدارة تنمية البرامج الميدانية "، يقرأ FireEye التقرير .
تستخرج البرامج الضارة البيانات التالية من الشبكة
محتويات رسالة SMS
رقم IMSI
أرقام هواتف المصدر والوجهة
" يبحث البرنامج الضار في محتويات الرسائل النصية القصيرة عن الكلمات الرئيسية من قائمة الكلمات الرئيسية ، ويقارن رقم IMSI بالأرقام من قائمة imsiMap ، ويتحقق من أرقام الهواتف المستخرجة بالأرقام الموجودة في قائمة phoneMap."
إذا كانت رسالة SMS تتطابق مع رقم الهاتف أو رقم IMSI أو الكلمات الرئيسية التي يتم حفظها في ملف CSV من قبل الممثل التهديد.
بالإضافة إلى سرقة الرسائل النصية القصيرة من Messagetap ، حدد FireEye أيضًا الفاعل التهديد الذي يتفاعل مع قواعد بيانات سجل تفاصيل المكالمات (CDR) للاستعلام عن السجلات وحفظها وسرقةها أثناء نفس الاقتحام.
تواصل مجموعة الجهات الفاعلة التهديد استهداف المنظمات الأخرى مثل خدمات السفر ومقدمي الرعاية الصحية خارج الاتصالات السلكية واللاسلكية لسرقة تفاصيل حساسة لأفراد معينين.
اكتشف الباحثون مؤخرًا هجومًا جديدًا يطلق عليه Simjacker ، ويمكن استغلاله عن طريق إرسال رسالة نصية قصيرة تحتوي على نوع معين من رمز برامج التجسس.
- تم تطوير البرنامج الضار الجديد بواسطةمجموعة القـراصنة الصينية APT41 للنشر فى شبكة الاتصالات. تم اكتشاف البرنامج الضار بواسطة FireEye أثناء التحقيق فى مزود شبكة اتصالات.
- APT41 هي مجموعة القراصنة الصينية التي ترعاها الدولة ، وتعرف بأنها تقوم بعمليات ذات دوافع مالية ، وقد وجد ت المجموعة أنها نشطة على الأقل منذ عام 2012.
- تم العثور على البرامج الضارة Messagetap في مجموعة من خوادم Linux التي تستخدم كخوادم مركز خدمة الرسائل القصيرة (SMSC). في شبكة الاتصالات السلكية واللاسلكية ، تعمل الرسائل القصيرة SMS لتخزين وإعادة توجيه وتحويل وتقديم خدمة الرسائل القصيرة.
- Messagetap البرامج الضارةبمجرد تثبيت هذه البرامج الضارة في SMSCs لنظام Linux ، فإنها تحقق من وجود ملفين باسم word_parm.txt و parm.txt . تحتوي هذه الملفات على البرامج الضارة Messagetap.
- parm.txt - يحتوي الملف على أرقام IMSI وأرقام الهواتف المستهدفة.
- password_parm.txt - يحتوي على قائمة الكلمات الرئيسية التي يتم قراءتها في passwordVec
- توفر ملفات التكوين هدفًا للبرامج الضارة ، وتحتوي الكلمات الرئيسية على الكلمات الرئيسية ذات الأهمية الجيوسياسية ويحتوي parm.txt على قائمتين phoneMap (أرقام الهواتف) و imsiMap (أرقام IMSI).
Messagetap تدفق الرسم البياني الموافقة المسبقة عن علم: FireEyeيحاول البرنامج النصي لتثبيت البرامج الضارة قراءة ملفات التكوين لكل 30 ثانية في حالة وجود ملفات التكوين يتم تحميلها في الذاكرة وسيتم حذف الملفات.
"تبدأ Messagetap في مراقبة جميع اتصالات الشبكة من وإلى الخادم. يستخدم مكتبة libpcap للاستماع إلى جميع بروتوكولات شبكة المرور وتوزيع البيانات التي تبدأ بطبقات Ethernet و IP. فإنه لا يزال تحليل بروتوكول الطبقات بما في ذلك SCTP، SCCP، وإدارة تنمية البرامج الميدانية "، يقرأ FireEye التقرير .
تستخرج البرامج الضارة البيانات التالية من الشبكة
محتويات رسالة SMS
رقم IMSI
أرقام هواتف المصدر والوجهة
" يبحث البرنامج الضار في محتويات الرسائل النصية القصيرة عن الكلمات الرئيسية من قائمة الكلمات الرئيسية ، ويقارن رقم IMSI بالأرقام من قائمة imsiMap ، ويتحقق من أرقام الهواتف المستخرجة بالأرقام الموجودة في قائمة phoneMap."
إذا كانت رسالة SMS تتطابق مع رقم الهاتف أو رقم IMSI أو الكلمات الرئيسية التي يتم حفظها في ملف CSV من قبل الممثل التهديد.
بالإضافة إلى سرقة الرسائل النصية القصيرة من Messagetap ، حدد FireEye أيضًا الفاعل التهديد الذي يتفاعل مع قواعد بيانات سجل تفاصيل المكالمات (CDR) للاستعلام عن السجلات وحفظها وسرقةها أثناء نفس الاقتحام.
تواصل مجموعة الجهات الفاعلة التهديد استهداف المنظمات الأخرى مثل خدمات السفر ومقدمي الرعاية الصحية خارج الاتصالات السلكية واللاسلكية لسرقة تفاصيل حساسة لأفراد معينين.
اكتشف الباحثون مؤخرًا هجومًا جديدًا يطلق عليه Simjacker ، ويمكن استغلاله عن طريق إرسال رسالة نصية قصيرة تحتوي على نوع معين من رمز برامج التجسس.