Chiến dịch này có sự tham gia của nhóm tin tặc được gọi là APT41, nhằm triển khai cài cắm mã độc trên các máy chủ nhắn tin SMS của các công ty xử lý tin nhắn văn bản. Khi đã được cài vào, phần mềm độc hại này sẽ quét qua các máy chủ để tìm kiếm tin nhắn được kết nối với các số điện thoại cụ thể và số IMSI (dãy số nhận dạng thuê bao di động quốc tế) để định danh người dùng mạng.
Theo các nhà nghiên cứu, họ thấy rằng các số điện thoại và số IMSI bị đưa vào tầm ngắm của hacker lần này thuộc về các cá nhân cấp cao ở các nước ngoài lãnh thổ Trung Quốc nhưng đang quan tâm đến chính phủ nước này.
Khi phần mềm độc hại phát hiện một tin nhắn đến hoặc gửi đi từ một trong những mục tiêu đã được đặt ra, nó sẽ bí mật sao chép thêm một bản và gửi cho các tin tặc. Ngoài ra, phần mềm độc hại cũng chứa một danh sách từ khóa bao gồm các vấn đề về lợi ích địa chính trị nhằm phục vụ cho tình báo Trung Quốc, bao gồm tên các nhà lãnh đạo chính trị, các tổ chức quân sự và tình báo cũng như các phong trào đối lập (bất đồng chính trị) với chính quyền Bắc Kinh.
Đại diện của FireEye chia sẻ với Sky News, các tin tặc có thể thu thập, cắt dán các thông tin ra khỏi nội dung văn bản của tin nhắn ở cấp độ của quản trị nhà mạng. Điều này có nghĩa là các nạn nhân (cá nhân) sẽ hoàn toàn không biết gì về vụ việc diễn ra và cũng không có khả năng ngăn chặn chúng. Bởi điện thoại di động của bạn không bị xâm phạm, mà việc đánh cắp dữ liệu xảy ra ở tầng thượng nguồn - nhà mạng.
FireEye cho rằng, xu hướng này sẽ còn tiếp tục diễn ra trong tương lai và người dùng cũng như các tổ chức phải xem xét về nguy cơ mất cắp dữ liệu không mã hóa trong chuỗi thông tin liên lạc của họ. Điều này đặc biệt quan trọng đối với các cá nhân thuộc diện mục tiêu cao như các nhà bất đồng chính kiến, nhà báo và quan chức xử lý các thông tin nhạy cảm.
Ngoài hành vi trộm cắp SMS, tin tặc cũng bị phát hiện tương tác với cơ sở dữ liệu ghi lại chi tiết cuộc gọi (CDR) để theo dõi các cá nhân cụ thể trong cùng một vụ xâm nhập.
Bình luận (0)