Zdroj: Ars Technica, FireEye
Bezpečnostní výskumníci z divízie Mandiant firmy FireEye objavili nový zaujímavý malvér. Napáda Linux servery umiestnené u telekomunikačných operátorov, ktorých úlohou je smerovanie SMS správ v ich sieťach. Malvér má zoznam telefónnych čísel, IMSI čísel alebo kľúčových slov, ktoré ho zaujímajú. Ak také nájde, odloží ich pre neskoršie spracovanie.
Výskumníci dali malvéru meno MESSAGETAP a priradili ho ku skupine APT41. Táto skupina je jednou z mnohých sponzorovaných čínskou vládou. Zaujímajú sa o vysokopostavených vojenských predstaviteľov a tiež štátnych predstaviteľov. Táto skupina necieli jednotlivo a priamo na koncových používateľov, ale ide o stupeň vyššie a snaží sa získať dáta naraz a vo veľkom štýle od poskytovateľa služieb.
Malvér používa dva konfiguračné súbory. Parm.txt obsahuje telefónne a IMSI čísla a keyword_parm.txt obsahuje zoznam hľadaných slov. Po natiahnutí do pamäte ich malvér zmaže z disku. Nájdené SMS správy zodpovedajúce parametrom sa ukladajú do CSV súboru. Okrem SMS útočníkov zaujímajú aj CDR (call detail record) záznamy. Môžu vďaka nim zistiť kto komu volá, čas a dĺžku hovoru a volané čísla.
Od APT skupín sponzorovaných čínskou vládou sme v minulosti videli skôr veľké útoky a snahu stiahnuť toľko údajov koľko sa len dá. Tento útok bol dobre plánovaný a cielený, čo je rozdiel oproti minulosti. Je vidieť snahu útočiť na ciele ako sú telekomunikační operátori, kde sa koncentruje komunikácia ľudí. V tomto roku boli podobné útoky cielené minimálne na 4 ďalšie telekomunikačné firmy.
Ponaučenie z tohto útoku je, že útočníci sa snažia napádať miesta, kde sa koncentrujú nezašifrované údaje ako SMS a hlasové hovory. Ak potrebujete komunikovať bezpečne, nepoužívajte nezašifrované kanály. Používajte napríklad aplikáciu Signal s end-to-end šifrovaním.
Obrázok: „Leon, We’re Counting On You!“ by Chris Bloom, used under CC BY-SA 2.0
