BlackTech

BlackTech Description

BlackTech és el nom donat a un grup de pirates informàtics d'amenaça persistent avançada (APT). El mateix grup també es pot trobar amb el nom de Palmerworm. Els experts d'Infosec van notar per primera vegada les activitats d'aquest col·lectiu de pirates informàtics l'any 2013. Des d'aleshores, BlackTech ha dut a terme diverses campanyes d'atac amenaçadores contra objectius situats a l'Àsia oriental. El llarg període d'observació ha permès als investigadors de seguretat crear una imatge força detallada dels patrons d'atac de BlackTech, les eines preferides de programari maliciós i els procediments més utilitzats. En el seu nucli, les operacions de BlackTech es concentren en l'espionatge, la mineria de dades corporatives i l'exfiltració d'informació. El més probable és que BlackTech estigui patrocinat per l'estat, i els funcionaris taiwanesos diuen que creuen que els pirates informàtics tenen el suport públic de la Xina.

BlackTech amplia el seu abast

Tanmateix, l'última campanya detectada que es pot atribuir a aquest grup ATP mostra que els pirates informàtics podrien estar ampliant la seva gamma d'objectius i aventurant-se en operacions més enllà de les regions observades anteriorment. Tot i que la majoria dels objectius encara es trobaven a la mateixa regió d'Àsia oriental, amb tres empreses: mitjans de comunicació, electrònica i finances, de Taiwan, una empresa d'enginyeria del Japó i una empresa de construcció de la Xina, BlackTech també va aconseguir infiltrar-se en una empresa a Els EUA

Segons l'investigador, els pirates informàtics de BlackTech han passat una quantitat considerable de temps a l'aguait a les xarxes d'algunes de les seves víctimes: la xarxa de l'empresa de mitjans va estar compromesa durant un any, mentre que les empreses constructores i financeres tenien les seves xarxes infiltrades durant un any. diversos mesos. Al mateix temps, els pirates informàtics van passar només un parell de dies dins de la xarxa d'una empresa d'enginyeria japonesa i només unes quantes setmanes dins d'una empresa d'electrònica. La víctima nord-americana no identificada va tenir una xarxa compromesa durant sis mesos.

BlackTech es basa en eines personalitzades de programari maliciós i programes d'ús dual

Com a part de la darrera campanya d'atac, es van detectar quatre amenaces de programari maliciós de porta posterior de nova creació anomenades Consock, Waship, Dalwit i Nomri que estaven en ús. Anteriorment, BlackTech havia confiat en altres dues portes posteriors personalitzades: Kivars i Pled . Aquest lot d'eines pot ser creacions completament noves o variants molt modificades de la sèrie anterior d'eines.

Per amagar millor la seva activitat amenaçadora i saltar-se la necessitat de crear un programari maliciós sofisticat dissenyat per a objectiu, BlackTech ha incorporat una quantitat considerable d'eines de doble ús. En aquesta campanya concreta, s'han utilitzat quatre programes, un dels quals és WinRAR, una eina d'arxiu molt utilitzada. Els altres tres eren Putty, que es pot utilitzar per a l'accés remot i l'exfiltració de dades, SNScan que es pot utilitzar per buscar objectius potencials addicionals a la xarxa de l'organització i PSExec, una eina legítima de Microsoft.