中国黑客入侵电信服务器以监听短信

被称为“MessageTap“后门恶意软件是一个64位ELF数据挖掘程序，最近发现它安装在一家未具名电信公司的基于Linux的短信服务中心（SMSC）服务器上。

根据FireEye的Mandiant公司最近发布的一份报告，MessageTap由APT41，这是一个多产的中国黑客组织，从事国家资助的间谍活动，也被发现参与了出于经济动机的攻击。

在移动电话网络中，SMSC服务器充当中间人服务，负责通过在发送方和接收方之间路由消息来处理SMS操作。

由于SMSE在传输和电信服务器上都不是加密的，因此破坏SMSC系统可以让攻击者监控与服务器之间的所有网络连接以及其中的数据。

MessageTap恶意软件是如何工作的？

MessageTap使用libpcap库监控所有短信流量，然后解析每条短信的内容，以确定发送方和接收方的IMSI和电话号码。


据研究人员称，黑客设计了MessageTap恶意软件来过滤并只保存信息：

• 通过特定电话号码发送或接收，
• 包含某些关键字，或
• 使用特定的IMSI编号。

为此，MessageTap依赖于攻击者提供的两个配置文件—；关键字_parm。txt和parm。txt—；其中包含目标电话号码、IMSI号码和与“中国情报机构感兴趣的高级个人”相关的关键字列表

研究人员在今天发布的报告中说：“一旦配置文件被读取并加载到内存中，这两个文件就会从磁盘上删除。在加载关键字和电话数据文件后，MESSAGETAP开始监控与服务器之间的所有网络连接。”。

“关键字_parm.txt中的数据包含中国情报收集的地缘政治利益。”

如果发现感兴趣的短信文本，恶意软件会对其内容进行异或操作，并将其保存到CSV文件中，以供威胁行为人日后窃取。

根据研究人员的说法，“未加密数据在其蜂窝通信链的上游几层被截获的风险”对于“针对性很强的个人，如异见人士、记者和处理高度敏感信息的官员来说”尤为关键

除此之外，APT41黑客组织还被发现在同一次入侵中盗取与高级外国个人对应的通话详细记录（CDR），暴露通话元数据，包括通话时间、通话持续时间以及来源和目的地电话号码。

针对电信公司的中国黑客并不新鲜。今年，APT41黑客组织袭击了至少四家电信实体，另有中国疑似国家资助的团体也发现袭击了另外四家电信组织。

根据FireEye的研究人员，这种趋势将继续，不久将发现更多这样的活动，因此，为了减轻一定程度的风险，目标组织应该考虑部署一个适当的通信程序，强制执行端到端加密。