Accueil Cyberespionnage Les chinois piratent les SMS de responsables gouvernementaux avec Messagetap.

Les chinois piratent les SMS de responsables gouvernementaux avec Messagetap.

Smartphone
Smartphone

FireEye publie un nouveau rapport, concernant les dernières activités du groupe chinois cybercriminel APT41. L’entreprise révèle avoir identifié un malware unique, MESSAGETAP qui infecte les serveurs SMS des opérateurs de télécommunication pour faciliter les intrusions de cyber espionnage, ciblant des responsables militaires et gouvernementaux.   

Après l’écoute par la NSA des téléphones de chefs d’état dont Angela Merkel, révélée en 2015, c’est au tour des Chinois d’être pris la main dans le sac, mais cette fois par le piratage des SMS. L’auteur : APT4, un groupe qui s’aligne sur les efforts d’espionnage chinois. FireEye indique que « Jusqu’à présent, les victimes observées sont de hauts responsables militaires et gouvernementaux qui intéressent traditionnellement le gouvernement chinois. Leurs communications volées couvrent un large éventail de sujets, notamment des sujets militaires, les activités de renseignement, les mouvements politiques en désaccord avec la Chine et les hauts dirigeants chinois. »

Aucune parade connue à ce jour

MESSAGETAP recherche dans les données d’une télécommunication et extrait les messages texte d’une liste prédéfinie de numéros de téléphone basée sur une seconde liste prédéfinie de mots clés.

Selon FireEy, « Il n’y a pratiquement aucune mesure qu’un utilisateur peut prendre pour protéger ces messages sur ses appareils ou même pour se sensibiliser à cette activité. Toute l’activité de MESSAGETAP se déroule au niveau du prestataire de services. L’outil reflète le changement de ciblage de la Chine vers des sources de données ” en amont ” comme les télécommunications, les communications par satellite et les fournisseurs de services. MESSAGETAP permet à l’APT41, et par extension à la Chine, d’obtenir des données hautement sensibles à l’échelle pour un large éventail de cibles prioritaires avec peu de chance d’être détectées. »

Lire le rapport complet: https://www.fireeye.com/blog/threat-research/2019/10/messagetap-who-is-reading-your-text-messages.html

Comment ça marche ?

Sebastien Gest, Tech Evangelist chez Vadesecure, spécialiste de la protection de la messagerie, nous explique : « Le sms utilise le “Mobile Internet’s Wireless Transport Layer Security (WTLS)” avec un équivalent de couche SSL via échange de clé privé / public. ‘Sniffer’ le réseau est pénible et “cpu-consuming”, et il est donc plus simple d’avoir accès directement au serveur de l’opérateur. Cependant un serveur SMS, c’est théoriquement comme du pop3, les SMS sont hébergés sur les téléphones et non sur le serveur. Le serveur n’est qu’une gateway. À mon avis le malware doit ‘sniffer’ le SMS au moment ou le serveur SMS est utilisé comme une gateway qui va le réceptionner puis le délivrer. A noter, concernant l’avenir du protocole SMS, que Google ‘pousse’ le protocole RCS (rich communication service) qui permet de pousser du message enrichi (vidéo / audio) à la place du SMS : l’équivalent de imessage mais sur android. Avec le RCS, les messages ne vont plus passer par la bande GSM mais par le réseau IP directement. Adieu le business rentable du SMS pour les opérateurs. »