El software malicioso relacionado con los piratas informáticos chinos ha infectado las redes de telecomunicaciones para robar mensajes SMS de miles de números de teléfono.

El espionaje proviene de un grupo de piratería patrocinado por el estado chino llamado APT 41, según la compañía de ciberseguridad de FireEye. El jueves, la compañía lanzó un informe sobre una variedad de grupos basados ​​en malware diseñados para infectar servidores basados ​​en Linux y utilizados por operadores de telecomunicaciones para enrutar mensajes SMS.

Un poco este año, FireEye descubrió el código informático malicioso en un clúster de servidores que pertenece a un proveedor de red de telecomunicaciones no identificado. "Durante esta intrusión, miles de números telefónicos fueron atacados, incluidas varias personalidades extranjeras de alto rango que probablemente interesen a China", dijo la compañía a PCMag.

Curiosamente, el malware selecciona los mensajes SMS para probar. Los piratas informáticos APT 41 lo tienen preprogramado con la ayuda de dos listas. La primera búsqueda en el objetivo, basada en el número de teléfono de la persona y el número de Identidad de suscriptor móvil internacional (IMSI). La segunda lista contiene algunas palabras clave que el malware buscará en los mensajes SMS. Si se encuentra una de las palabras clave en un mensaje SMS, el malware la guarda en un archivo .CSV, que el hacker puede recuperar más tarde.

"La lista de palabras clave contiene elementos de interés geopolítico para la recopilación de inteligencia en China". Los ejemplos de remediación incluyen nombres de líderes políticos, organizaciones militares y de inteligencia y movimientos políticos en desacuerdo con el gobierno chino ", dijeron los investigadores de FireEye en su informe.

Los presuntos hackers chinos detrás del programa malicioso también sabían a quién estaban apuntando porque tenían acceso a los números de teléfono de las víctimas y los números IMSI, lo cual es más difícil de encontrar. En algunos teléfonos Android, puede acceder al número IMSI en la función de configuración. Pero la información es utilizada principalmente por los operadores de telecomunicaciones para identificar de manera única a cada suscriptor en una red celular, lo que sugiere que los piratas informáticos tenían capacidades serias de recopilación de datos.

En la misma intrusión, también se descubrió que los piratas informáticos interactuaban con bases de datos que contenían información de grabación de llamadas de voz, incluido el momento de la llamada, la duración y los números de teléfono involucrados.

"En 2019, FireEye observó cuatro organizaciones de telecomunicaciones dirigidas por jugadores APT41", agregó la compañía en su informe publicado hoy, que se abstuvo de nombrar a las organizaciones afectadas. "Además, otras cuatro entidades de telecomunicaciones fueron atacadas en 2019 por grupos de presuntas amenazas separadas de asociaciones chinas patrocinadas por el estado. "

Otros investigadores de seguridad también han notado la sospecha de ciberpies chinos que se infiltran en las redes celulares. En junio, la firma de seguridad Cybereason descubrió evidencia de que piratas informáticos chinos irrumpieron en compañías de telecomunicaciones para robar datos de registro de llamadas y localización de personas de "alto valor" en todo el mundo. .

Los ataques resaltan el riesgo de enviar información sin cifrar a través de redes celulares; cualquier persona que controle el servidor de enrutamiento de SMS puede leer el contenido. Para mensajes particularmente sensibles, se recomienda utilizar una aplicación de mensajería móvil, como WhatsApp o Signal, que proporciona cifrado de extremo a extremo.