MESSAGETAP : une nouvelle famille de malware révélée par FireEye

L’architecte en chef de la sécurité chez FireEye, Christopher Glyer (@cglyer) a publié sur Twitter que la nouvelle famille de malware nommée MESSAGETAP a été installée sur un système Linux chez un fournisseur de télécommunication. Cette famille de malware permettrait à APT41 de surveiller des conversations téléphoniques ainsi que les messages SMS en fonction de numéros IMSI (International Mobile Subscriber Identity) ou de mots-clés spécifiques.

MESSAGETAP analyse les paquets transmis à travers les protocoles SCTP, SCCP et TCAP. Le malware recherche différentes informations d’intérêt comme des positions géographiques, des projets de voyage, des informations de connexions, des contacts personnels et professionnels, etc. Il charge en mémoire deux fichiers de configuration sous le format .txt puis les supprime du disque :

• parm.txt: contenant une liste de numéros de téléphone et de numéro unique IMSI appartenant à des abonnés ;
• keyword_param.txt: contenant une liste de mots-clés d’intérêt pour l’attaquant.

Un processus appelé Dataminer écoute le trafic et analyse les paquets. Si le contenu d’un paquet correspond aux données recherchées par les pirates, celui-ci est extrait et compilé dans un fichier CSV. Ce fichier est alors transmis au serveur de contrôle de l’attaquant par l’intermédiaire d’une communication chiffrée initiée par une porte dérobée passive.