MessageTap: des serveurs de télécommunication compromis

Un groupe de pirate de chinois a utilisé un malware nommé “MessageTap” à des fins d’espionnage. Ils ont ciblé des entreprises de télécommunications pour pouvoir intercepter les SMS envoyés ou reçus par des individus ciblés.

MessageTap est un logiciel malveillant de type porte dérobée. Le malware a été découvert récemment sur un serveur SMSC (Short Message Service Center) appartenant à une entreprise qui a préféré resté anonyme.

Un SMSC permet de gérer le transfert de messages SMS (textes ou binaires) entre téléphones mobiles.

En particulier, quand un abonné envoie un SMS vers un autre, le téléphone transmet en réalité le SMS vers le SMSC. Le SMSC stocke le message puis le transmet au destinataire lorsque celui-ci est présent sur le réseau (mobile allumé) : Le SMSC fonctionne sur le mode Store and Forward (Mode différé en français).

Le SMSC prend en charge la facturation qui doit éventuellement avoir lieu. Il y a au moins un Short Message Service Centre (SMSC) par réseau GSM ou UMTS. En pratique il y en a très souvent plusieurs (SFR en a 2 par exemple).

Un SMSC joue également le rôle de « passerelle » entre le réseau IP et le réseau mobile. En particulier, un serveur peut y accéder par connexion Internet TCP afin d’envoyer des SMS vers des numéros MSISDN de destination.

On parle dans ce cas d’application OTA (Over-The-Air).

Un ensemble de protocoles existent pour communiquer entre serveurs et SMSC en TCP/IP : les plus utilisés sont SMPP (Short Message Peer to Peer) et CMG EMI (il y a aussi Nokia CIMD, Sema, CMPP).

Selon un rapport récent publié par la compagnie Mandiant, MessageTap a été créé et est utilisé par APT41, un groupe de pirate chinois qui effectue souvent des opérations d’espionnage pour leur gouvernement.

Dans un réseau de téléphone mobile, les serveurs SMSC agissent comme un intermédiaire responsable du traitement des SMS en routant les messages de l’émetteur vers le destinataire.

Comme les SMS ne sont pas conçus pour être chiffré, compromettre un serveur SMSC permet aux pirates de surveiller les connexions du réseau ainsi que les données transitant sur ce réseau.

Comment fonctionne le malware MessageTap?

MessageTap utilise la librairie “libcap” pour surveiller le trafic SMS et analyser le contenu de chaque message pour déterminer l’IMSI (International Mobile Subscriber Identity) et les numéros de téléphone de l’émetteur et du destinataire.

MessageTap

Selon les chercheurs, les pirates ont conçu MessageTap pour filtrer et sauvegarder les messages:

-envoyés ou reçus par des numéros spécifiques

-contenant certains mots clés

-ayant des numéros IMSI spécifiques

Pour cela, MessageTap se repose sur deux fichiers de configurations fournit par les pirates, keyword_parm.txt et parm.txt . Ces fichiers contiennent une liste de numéros de téléphone ciblés, de numéros IMSI et de mots clés liés à “des individus importants qui sont sur le radar des services secrets chinois.”

Les deux fichiers sont supprimés du disque une fois que les fichiers de configuration sont lus et chargés dans la mémoire. MessageTap surveille ensuite toutes les connexions entrantes et sortantes du serveur,” a déclaré le chercheur dans son rapport.

Si il trouve un SMS intéressant, le malware sauvegarde le contenu dans un fichier CSV qui sera ensuite récupéré par le pirate.

Le groupe APT41 a aussi subtilisé des détails d’appel (heure de l’appel, durée de l’appel, émetteur, destinataire).

Selon les chercheurs de FireEye, ce genre d’attaque est de plus en plus fréquent. Les organisations affectées devraient donc penser à chiffrer leurs communications pour éviter ce problème.

Plus généralement, le cyberespionnage occupe désormais une place centrale dans les services de renseignement étatiques et privés. Cette semaine, le malware nord-coréen Dtrack a infecté une centrale nucléaire indienne. L’Europe et l’Amérique du Nord pratiquent également le cyberespionnage, mais d’une manière qui semble plus efficace. Par nature, un bon service de renseignement est un service dont on n’entend pas parler. 

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de