ブログ(脅威調査)

MESSAGETAP:あなたのSMSは密かに読まれている?

FireEye Mandiantは先ごろ、APT41(中国のAPTグループ)が使用する新しいマルウェア・ファミリーを発見しました。このマルウェアは、後で盗み出すために、特定の電話番号、IMSI番号、キーワードからSMSトラフィックを監視し、保存します。MESSAGETAPと命名されたこのツールは、中国のスパイ活動を支援するため、APT41によって通信ネットワーク・プロバイダーに仕込まれました。APT41のオペレーションには、国家支援のサイバーエスピオナージ活動というミッションや金銭的利益を目的とした侵入があり、2012年から現在まで続いています。APT41の概要については、2019年8月のブログの記事または公開済みのレポートをご覧ください。MESSAGETAPは、2019年8月にFireEye Threat Intelligenceのサブスクリプション・サービス購入者に最初に報告され、FireEye Cyber Defense Summit 2019でのAPT41のプレゼンテーションで、初めて公の場で説明されました。

MESSAGETAPの概要

APT41の最新のサイバーエスピオナージ・ツール「MESSAGETAP」は、2019年の通信ネットワーク・プロバイダーでの調査中、Linuxサーバーのクラスター内で発見されました。これらのLinuxサーバーは、具体的にはSMSセンター(SMSC:Short Message Service Center)サーバーとして運用されていました。モバイル・ネットワークでは、SMSCは、ショートメッセージサービス(SMS)メッセージを目的の受信者にルーティングしたり、受信者がオンラインになるまで保管したりします。背景情報とともに、このマルウェアについて詳しく見ていきましょう。

MESSAGETAPは、64ビットELFデータ・マイニング・ツールで、インストール・スクリプトによって最初にロードされます。インストールが完了すると、マルウェアは2つのファイル、keyword_parm.txtとparm.txtが存在するかどうかを確認し、30秒ごとに設定ファイルの読み取りを試みます。どちらかのファイルが存在する場合、内容が読み込まれ、次の文字列でXORデコードされます。

  • http://www.etsi.org/deliver/etsi_ts/123000_123099/123040/04.02.00_60/ts_123040v040200p.pdf
    • 興味深いことに、このXORキーは、European Telecommunications Standards Institute(ETSI)が所有するURLです。このドキュメントでは、GSMおよびUMTSネットワーク用のショートメッセージサービス(SMS)について解説しており、ここでは、SMSのアーキテクチャと、要件およびプロトコルについて説明しています。

これらの2つのファイル、keyword_parm.txtとparm.txtには、MESSAGETAPがSMSメッセージを標的にし、内容を保存するための指示が含まれています。

  • 最初のファイル(parm.txt)は次の2つのリストを含む
    • imsiMap:このリストには、International Mobile Subscriber Identity(IMSI)番号が含まれています。IMSI番号は、携帯電話ネットワークで加入者を識別する番号です。
    • phoneMap:phoneMapリストには電話番号が含まれます。
  • 2番目のファイル(keyword_parm.txt)は、keywordVecに読み込まれるキーワードのリスト

設定ファイルが読み込まれてメモリにロードされると、両方のファイルはディスクから削除されます。キーワードと電話番号データのファイルをロードした後、MESSAGETAPはサーバーとの間のすべてのネットワーク接続の監視を開始します。libpcapライブラリを使用して、すべてのトラフィックをリッスンし、EthernetおよびIP階層で始まるネットワーク・プロトコルを解析します。続いて、SCTP、SCCP、TCAPを含むプロトコル階層を解析します。最後に、マルウェアは、ネットワーク・トラフィックからSMSメッセージ・データを解析して抽出します。

  1. SMSメッセージの内容
  2. IMSI番号
  3. 発信元と送信先の電話番号

マルウェアは、keywordVecリストにあるキーワードをSMSメッセージの内容から検索し、IMSI番号とimsiMapリストの番号を比較して、抽出された電話番号をphoneMapリストの番号と照合します。


図1:MESSAGETAPの概要図

 

今後の展望

MESSAGETAPの使用と、機密のテキスト・メッセージと通話記録を大規模に標的にしていることは、FireEyeが監視している中国のサイバーエスピオナージ・キャンペーンの進化の特質を表しています。中国の国家レベルの攻撃者に帰属する、APT41などの多数の脅威グループは、2017年以降、上流のデータ関連企業を標的にすることが増えてきました。これらの組織は、エンドユーザーの上方にある複数の階層に位置し、多数のソースからのデータが単一または中央ノードに合流する、重要な情報の合流点を所有しています。通信サービス・プロバイダーなどのこのような組織に戦略的にアクセスすることにより、中国のインテリジェンス・サービスは、優先度の高いさまざまな領域のインテリジェンス要件に合わせて、機密データを大規模に入手できるようになります。

2019年、FireEyeは、APT41攻撃グループが標的とする4つの通信サービス組織を確認しました。さらに同年、中国の国家レベルとの関連が疑われる個別の脅威グループによって、他の4つの通信サービスが標的にされました。通信サービス組織以外にも、大手旅行サービスや医療機関など、特定の個人の関心に関連する機密記録を所有する他の業界も、APT41の標的となっていました。これは、上流のデータと標的の偵察の両方に注力した、中国の標的傾向の変化を反映しています。最近の中国のサイバーエスピオナージ活動の標的の傾向についての詳細な解析結果は、FireEye Threat Intelligenceポータルを参照してください。この内容は、FireEye Cyber Defense Summit 2019でも説明されました。

FireEyeは、今後もこの傾向が続くと考えています。したがって、ユーザーと組織の両方は、暗号化されていないデータが、携帯電話の通信ネットワークの上流にある複数層で盗まれるリスクを考慮する必要があります。これは、極めて機密性の高い情報を扱う、反体制派、ジャーナリスト、公務員など、非常に絞り込まれた標的である個人にとって特に重要です。エンドツーエンドの暗号化を実施する通信プログラムを使用するなど、適切に保護すれば、このリスクの程度を軽減することができます。そのほかにも、ユーザー教育の現場で、SMSを介して機密データを送信するリスクを伝える必要があります。さらに広い意味では、主要な地政学的な関心を直接的に支援するデータを入手するため、国家レベルの攻撃者に対する報奨金が出される限り、重要情報が合流する場所を運営する組織に対する脅威は増加すると考えられます。

本ブログは、米FireEyeが公開した「MESSAGETAP: Who’s Reading Your Text Messages?」の要約版です。技術詳細を含むブログ全文は、英文記事をご参照ください。

日本語版:Reviewed by Toru Tanimura