最新调查发现,与政府有牵连的中国骇客利用恶意软件窃取外国手机用户发送的短信和通话记录,政府高官也无法幸免,而且受害者往往不知情。
美国网络安全公司火眼(FireEye)10月31日在博客上公布的调查显示,中国被称为“高级持续性威胁41(Advanced Persistent Threat 41,简称APT41)”的骇客组织通过在海外通讯供应商服务器中植入的MESSAGETAP的恶意软件,利用事先输入的手机号码和国际移动用户识别码(IMSI),窃取成千上万海外手机用户发送的短信,包括部分政府军政要员的手机通讯。火眼公司不愿透露受到影响的个人和通讯供应商的姓名和地点,仅表示这些通讯供应商所在的国家通常都是中国的战略竞争对手,但已知的受害人不包括美国政府官员。
恶意软件
火眼公司表示, APT41骇客组织2012年就开始执行受国家支持的网络间谍使命和对金融机构的入侵,但火眼公司只是今年才发觉该组织使用了MESSAGETAP恶意软件,后者使骇客行为激增。公司先进活动监督主任斯通(Steve Stone)说,这个恶意软件“允许中国能够从一个地点从众多来源中有效窃取数据”,“与间谍有关的窃取和入侵行为已经存在很长时间了,但由于使用这个新的工具(MESSAGETAP恶意软件),使得此类行为规模扩大,这是新的情况”。
关键词
斯通主任说,MESSAGETAP恶意软件是通过关键词来扑捉手机短信通讯的。他说,“在这次入侵中,成千上万的手机号码成为监控的目标,包括中国可能感兴趣的一些高级外国人员”,“任何短信(SMS)如果具有事先列出清单中所含的关键词,比如政治领袖姓名,军事机构和情报机构的名称,以及与中国政府作对的政治运动的名称等,都被窃取。”
通话记录
中国骇客感兴趣的另一个重要内容就是外国用户的手机通话记录,手段就是在海外通讯公司的服务器上植入恶意软件。火眼公司说,香港今年夏天爆发抗议活动后,APT41组织开始使用MESSAGETAP恶意软件,对多家海外通讯公司实施网络入侵,窃取了目标用户的通话记录,包括拨打的电话号码、通话时间和次数等,而且受害者并不知情。斯通解释说,“如果你是这些目标中的一个,你就不会知道你的短信通讯正在被人从你的手机上拿走,因为你的手机并没有被(病毒)感染”。
加密防范
火眼公司特别指出,即使发现了MESSAGETAP恶意软件,也难以确定有效的防范措施。公司说,“事实上,一个用户无法采取任何行动来保护他们手机发送的短信,或者了解此类活动正在发生”。
公司因此建议,“用户个人与团体必须考虑,未加密的通讯数据在他们手机通讯链上游的几个层级有可能被拦截。这对异议人士、记者和处理高度敏感信息的官员等被高度关注的目标人士来说尤其重要。采用终端对终端加密通讯程序等适当的防范措施能够在一定程度上减轻这种威胁。此外,用户教育必须讲授手机短信发送敏感信息的危险”。