Lors d’une conférence tenue par le fournisseur de sécurité FireEye la semaine dernière, une nouvelle famille de malware utilisée par le groupe chinois APT41 a été révélée.
L’architecte en chef de la sécurité chez FireEye, Christopher Glyer (@cglyer) a publié sur Twitter que la nouvelle famille de malware nommée MESSAGETAP
a été installée sur un système Linux chez un fournisseur de télécommunication. Cette famille de malware permettrait à APT41 de surveiller des conversations téléphoniques ainsi que les messages SMS en fonction de numéros IMSI (International Mobile Subscriber Identity) ou de mots-clés spécifiques.
MESSAGETAP
analyse les paquets transmis à travers les protocoles SCTP, SCCP et TCAP. Le malware recherche différentes informations d’intérêt comme des positions géographiques, des projets de voyage, des informations de connexions, des contacts personnels et professionnels, etc. Il charge en mémoire deux fichiers de configuration sous le format .txt puis les supprime du disque :
parm.txt
: contenant une liste de numéros de téléphone et de numéro unique IMSI appartenant à des abonnés ;keyword_param.txt
: contenant une liste de mots-clés d’intérêt pour l’attaquant.
Un processus appelé Dataminer
écoute le trafic et analyse les paquets. Si le contenu d’un paquet correspond aux données recherchées par les pirates, celui-ci est extrait et compilé dans un fichier CSV. Ce fichier est alors transmis au serveur de contrôle de l’attaquant par l’intermédiaire d’une communication chiffrée initiée par une porte dérobée passive.
Référence
Recently found new APT41 malware family on a Linux system at a telecom we’ve named MESSAGETAP