中国黑客开发了恶意软件从电信网络中窃取短信

中国的一个国家赞助的黑客组织已经开发出一种特定的 Linux 恶意软件，可以从移动运营商的网络中窃取SMS消息。

该恶意软件旨在安装在短信服务中心（SMSC）服务器上，这是移动运营商网络中处理短信通信的服务器。

美国网络安全公司 FireEye 表示，今年早些时候在移动运营商的网络上发现了该恶意软件。

MessageTap 是如何工作的？

FireEye 分析师表示，黑客闯入了一家电信公司（未指名）并将这个名为 MessageTap 的恶意软件植入了该公司的 SMSC 服务器上，该恶意软件将在其中侦听传入的所有SMS消息，并应用一组过滤器。

首先，如果SMS消息的正文中包含特殊的关键字 [也就是黑名单上的关键字]，则 MessageTap 会将该SMS消息挑出来。

FireEye 说：“该关键字列表包含了中国情报收集在地缘政治方面的兴趣”；““其例子中包括政治领导人、军事和情报组织、以及中国政府不喜欢的政治运动的名字等。”

其次，如果短信是发送给特定电话号码的，或从具有特定IMSI唯一标识符的设备上发送的，那么 MessageTap 也会将它挑出来。

FireEye 说，该恶意软件一次跟踪数千个设备的电话号码和IMSI代码。

该公司的分析师将该恶意软件与一个名为 APT41 的相对较新的中国黑客组织联系了起来 [PDF报告]。

FireEye 在上一份报告中表示，APT41 与其他中国组织不同，因为除了进行出于政治动机的网络间谍活动外，该组织的成员还进行了出于经济目的的黑客攻击，很可能是出于个人利益。

此外，FireEye还从被黑的电信网络中发现证据，表明 APT41 与移动运营商的呼叫详细记录（CDR）数据库进行了交互，该数据库存储了大量通话历史记录元数据。

FireEye 表示，APT41 查询了“与中国情报部门感兴趣的外国高阶人士相关的呼叫详细记录”。

中国黑客的行动正在发生变化

从整体上看，在中国网络间谍活动的宏伟计划中，这一运动的发现意义重大。

在过去的几年中，中国的黑客组织以其打砸抢的方法而闻名，他们强行入侵目标并窃取尽可能多的数据，以便日后进行分析。

而 APT41 的作案手法显示了一种针对少数目标的精心策划且目标明确的监视行动。

这与中国黑客组织过去的做法不同，但如今看来已成为常态。

总的来说，中国的黑客组织现在在针对性攻击方面变得非常擅长，这与人们通常从美国或俄罗斯的攻击中所看到的情况基本相当。

顺便说，FireEye 的报告还确认了2019年6月的 Cybereason 报告，后者发现中国政府黑客已入侵了至少十家外国移动运营商的网络。⚪️