Hacker Trung Quốc tạo ra mã độc ăn trộm tin nhắn SMS từ các nhà mạng viễn thông

Không chỉ ăn trộm tin nhắn SMS, nhóm hacker này còn quan tâm đến cơ sở dữ liệu về các cuộc gọi điện thoại được lưu trong nhà mạng viễn thông.

Một trong những nhóm hacker Trung Quốc đã phát triển một malware trên nền Linux để có thể ăn trộm các tin nhắn SMS từ các nhà mạng viễn thông.

Malware này được cài đặt vào trong các máy chủ SMSC (Trung tâm dịch vụ tin nhắn ngắn) – các máy chủ trong hệ thống mạng của các hãng viễn thông chịu trách nhiệm xử lý việc liên lạc bằng tin nhắn SMS.

Hacker Trung Quốc tạo ra mã độc ăn trộm tin nhắn SMS từ các nhà mạng viễn thông - Ảnh 1.

Mới đây hãng an ninh mạng FireEye cho biết họ đã phát hiện ra malware này – và đặt tên nó là MessageTap – trong hệ thống mạng của một hãng viễn thông vào đầu năm nay.

MessageTap hoạt động như thế nào

Các nhà phân tích FireEye cho rằng các hacker đã đột nhập được vào hệ thống của hãng viễn thông trên và cấy vào đó malware MessageTab lên các máy chủ SMSC của công ty. Từ đây hacker có thể lấy trộm các tin nhắn SMS gửi đến và áp dụng một bộ lọc để tìm kiếm các SMS mong muốn.

Bộ lọc này chứa các từ khóa đặc biệt bao gồm các mối quan tâm đối với tình báo Trung Quốc, cũng như tên của các yếu nhân hoặc các tổ chức mà Trung Quốc theo dõi.

Dựa trên bộ lọc này, malware MessageTap sẽ tìm kiếm và ăn trộm về các tin nhắn có chứa những từ khóa đó. Bên cạnh đó, MessageTap còn lựa chọn các tin nhắn nếu nó được gửi đến từ một số số điện thoại cụ thể, hoặc từ thiết bị cụ thể nào đó dựa trên mã số nhận dạng IMSI của nó. Cho đến nay, FireEye cho biết, malware đã theo dõi hàng nghìn số điện thoại và các mã IMSI.

Hacker Trung Quốc tạo ra mã độc ăn trộm tin nhắn SMS từ các nhà mạng viễn thông - Ảnh 2.

Cách thức tấn công của MessageTap.

Trong khi điều tra về malware này, hãng FireEye phát hiện ra rằng mã độc này có liên quan đến một nhóm hacker Trung Quốc tương đối mới có tên APT41. Nhóm này không chỉ thực hiện các cuộc tấn công mạng vì mục đích chính trị mà còn vì các mục đích tài chính, nhằm mang lại lợi ích cho riêng mình.

Bên cạnh việc xem trộm và theo dõi tin nhắn, FireEye phát hiện ra rằng APT41 còn thâm nhập và theo dõi cơ sở dữ liệu của nhà mạng về chi tiết các cuộc gọi (CDR: Call Detail Record) – một cơ sở dữ liệu chứa siêu dữ liệu metadata về các cuộc gọi điện thoại trong quá khứ.

Theo FireEye, malware này phản ánh việc thay đổi cách thức thực hiện trong các chiến dịch gián điệp mạng của Trung Quốc. Trong nhiều năm, các nhóm hacker Trung Quốc luôn nỗ lực ăn trộm càng nhiều dữ liệu càng tốt từ mục tiêu bị tấn công và sau đó mới phân tích. Nhưng malware của APT41 cho thấy việc lên kế hoạch và nhắm mục tiêu thận trọng hơn, cũng như chỉ tập trung vào một nhóm đối tượng hẹp hơn nhiều so với trước đây.

Tham khảo ZDNet