messagetap

MessageTap: des serveurs de télécommunication compromis

Un groupe de pirate de chinois a utilisé un malware nommé “MessageTap” à des fins d’espionnage. Ils ont ciblé des entreprises de télécommunications pour pouvoir intercepter les SMS envoyés ou reçus par des individus ciblés.

MessageTap est un logiciel malveillant de type porte dérobée. Le malware a été découvert récemment sur un serveur SMSC (Short Message Service Center) appartenant à une entreprise qui a préféré resté anonyme.

Selon un rapport récent publié par la compagnie Mandiant, MessageTap a été créé et est utilisé par APT41, un groupe de pirate chinois qui effectue souvent des opérations d’espionnage pour leur gouvernement.

Dans un réseau de téléphone mobile, les serveurs SMSC agissent comme un intermédiaire responsable du traitement des SMS en routant les messages de l’émetteur vers le destinataire.

Comme les SMS ne sont pas conçus pour être chiffré, compromettre un serveur SMSC permet aux pirates de surveiller les connexions du réseau ainsi que les données transitant sur ce réseau.

Comment fonctionne le malware MessageTap?

MessageTap utilise la librairie “libcap” pour surveiller le trafic SMS et analyser le contenu de chaque message pour déterminer l’IMSI (International Mobile Subscriber Identity) et les numéros de téléphone de l’émetteur et du destinataire.

MessageTap

Selon les chercheurs, les pirates ont conçu MessageTap pour filtrer et sauvegarder les messages:

-envoyés ou reçus par des numéros spécifiques

-contenant certains mots clés

-ayant des numéros IMSI spécifiques

Pour cela, MessageTap se repose sur deux fichiers de configurations fournit par les pirates, keyword_parm.txt et parm.txt . Ces fichiers contiennent une liste de numéros de téléphone ciblés, de numéros IMSI et de mots clés liés à “des individus importants qui sont sur le radar des services secrets chinois.”

Les deux fichiers sont supprimés du disque une fois que les fichiers de configuration sont lus et chargés dans la mémoire. MessageTap surveille ensuite toutes les connexions entrantes et sortantes du serveur,” a déclaré le chercheur dans son rapport.

Si il trouve un SMS intéressant, le malware sauvegarde le contenu dans un fichier CSV qui sera ensuite récupéré par le pirate.

Le groupe APT41 a aussi subtilisé des détails d’appel (heure de l’appel, durée de l’appel, émetteur, destinataire).

Selon les chercheurs de FireEye, ce genre d’attaque est de plus en plus fréquent. Les organisations affectées devraient donc penser à chiffrer leurs communications pour éviter ce problème.

Si cet article vous a plu, jetez un œil à notre précédent article.