FireEye：駭客集團大量解析電信網路的簡訊流量

資安業者FireEye本周指出，他們發現了由中國政府贊助的駭客集團APT41，企圖藉由滲透電信業者的簡訊服務中心伺服器，來攔截目標對象的簡訊流量，此外，電信組織似乎成為中國駭客集團的頭號目標，今年APT41就相準了4家電信組織，還有4家電信組織被另一個疑似同樣由中國贊助的駭客集團鎖定。

FireEye把APT41所使用的攻擊工具命名為MESSAGETAP，它是個間諜程式，主要被部署在簡訊服務中心（Short Message Service Center，SMSC）所使用的Linux伺服器上，SMSC負責將簡訊傳送到接收端，或是存放簡訊直至接收端上線，而MESSAGETAP即是個數據挖掘工具。

當APT41在SMSC伺服器上安裝了MESSAGETAP之後，它就會檢查伺服器是否含有keyword_parm.txt 與parm.txt這兩個檔案，前者含有該電信用戶的IMSI裝置識別碼列表與電話號碼，後者則是一個關鍵字列表，MESSAGETAP會載入這兩個檔案，並開始監控進出該伺服器的網路連線，以分析它們的簡訊內容、IMSI及電話號碼，以蒐集並儲存所需的資訊。

APT41所蒐集的資訊包括目標對象傳送或接收的簡訊，以及各種與中國政府理念背道而馳的簡訊內容及相關資訊。

FireEye指出，從2017年以來，由中國政府支持的駭客集團就日益鎖定上游業者發動攻擊，諸如電信業者，讓中國情報組織能夠大規模地獲取機密資訊。

光是在今年，FireEye便發現APT41鎖定4家電信組織發動攻擊，還有另外4家電信組織，也被疑似由中國支持的駭客集團所攻擊，且相信此一趨勢未來仍將持續，不管是業者或使用者，都應該考量到這些未加密的訊息可能被攔截的風險，特別是那些握有機密資訊的記者或官員，也呼籲不管是業者或使用者都應該採取適當的保護措施。