BlackTech

BlackTech Описание

BlackTech е името, дадено на група хакери за напреднали постоянни заплахи (APT). Същата група може да се срещне и под името Palmerworm. Експертите на Infosec за първи път забелязаха дейността на този конкретен хакерски колектив още през 2013 г. Оттогава BlackTech проведе няколко заплашителни атаки срещу цели, разположени в Източна Азия. Дългият период на наблюдение позволи на изследователите по сигурността да създадат доста подробна картина на моделите на атака на BlackTech, предпочитаните инструменти за злонамерен софтуер и най-често използваните процедури. В основата си операциите на BlackTech са концентрирани върху шпионаж, корпоративно извличане на данни и ексфилтрация на информация. BlackTech най-вероятно е спонсориран от държавата, като тайвански служители заявяват, че вярват, че хакерите са публично подкрепени от Китай.

BlackTech разширява обхвата си

Въпреки това, последната открита кампания, която може да бъде приписана на тази ATP група, показва, че хакерите може да разширяват обхвата си от цели и да се впускат в операции извън наблюдаваните по-рано региони. Докато повечето от целите все още се намират в същия регион на Източна Азия, с три компании – медии, електроника и финанси, от Тайван, инженерингова компания от Япония и строителна компания от Китай, BlackTech също успява да проникне в компания в Съединените Щати

Според изследователя хакерите от BlackTech са прекарали доста време, дебнейки в мрежите на някои от жертвите си - мрежата на медийната компания е била компрометирана в продължение на една година, докато строителните и финансовите компании са проникнали в мрежите си за няколко месеца. В същото време хакерите прекараха само няколко дни в мрежата на японска инженерна компания и само няколко седмици в компания за електроника. Неидентифицираната американска жертва е компрометирана мрежа за шест месеца.

BlackTech разчита на персонализирани инструменти за злонамерен софтуер и програми с двойна употреба

Като част от най-новата кампания за атака бяха забелязани да се използват четири новосъздадени заплахи за зловреден софтуер, наречени Consock, Waship, Dalwit и Nomri. Преди това BlackTech разчиташе на два други персонализирани бекдори - Kivars и Pled . Тази партида инструменти може да бъде изцяло нови творения или силно модифицирани варианти на предишния набор от инструменти.

За да скрие по-добре своята заплашителна дейност и да пропусне необходимостта от създаване изцяло на сложен специално създаден злонамерен софтуер, BlackTech е включил значително количество инструменти с двойна употреба. В тази конкретна кампания бяха използвани четири програми, една от които е WinRAR, широко използван инструмент за архивиране. Другите три бяха Putty, който може да се използва за отдалечен достъп и ексфилтрация на данни, SNScan, който може да се използва за сканиране за допълнителни потенциални цели в мрежата на организацията, и PSExec, легитимен инструмент на Microsoft.