BlackTech

BlackTech Popis

BlackTech je název skupiny hackerů Advanced Persistent Threat (APT). Se stejnou skupinou se také můžeme setkat pod jménem Palmerworm. Experti společnosti Infosec si aktivity tohoto konkrétního hackerského kolektivu poprvé všimli již v roce 2013. Od té doby společnost BlackTech provedla několik výhružných útočných kampaní proti cílům ve východní Asii. Dlouhé období pozorování umožnilo výzkumným pracovníkům v oblasti bezpečnosti vytvořit poměrně podrobný obraz o útočných vzorcích BlackTech, preferovaných malwarových nástrojích a nejčastěji používaných postupech. Operace BlackTech se v jádru soustředí na špionáž, těžbu podnikových dat a exfiltraci informací. BlackTech je s největší pravděpodobností sponzorován státem, tchajwanští představitelé uvádějí, že věří, že hackeři jsou podporováni Čínou veřejně.

BlackTech rozšiřuje svůj dosah

Nejnovější detekovaná kampaň, kterou lze připsat této skupině ATP, však ukazuje, že hackeři možná rozšiřují svou škálu cílů a vydávají se na operace mimo dříve pozorované oblasti. Zatímco většina cílů se stále nacházela ve stejném regionu východní Asie se třemi společnostmi - médii, elektronikou a financemi, z Tchaj-wanu, strojírenskou společností z Japonska a stavební společností z Číny, společnosti BlackTech se také podařilo proniknout do společnosti v Spojené státy

Podle výzkumníka strávili hackeři z BlackTech značné množství času číháním v sítích některých svých obětí - síť mediální společnosti byla na rok kompromitována, zatímco do stavebních a finančních společností byly jejich sítě infiltrovány několik měsíců. Hackeři zároveň strávili jen pár dní v síti japonské strojírenské společnosti a jen několik týdnů v elektronické společnosti. Neidentifikovaná oběť z USA byla po dobu šesti měsíců napadena sítí.

BlackTech spoléhá na vlastní nástroje pro malware a programy dvojího použití

V rámci poslední útočné kampaně byly zjištěny čtyři nově vytvořené malwarové hrozby backdoor s názvem Consock, Waship, Dalwit a Nomri . BlackTech se dříve spoléhal na další dvě vlastní zadní vrátka - Kivars a Pled . Tato dávka nástrojů může být zcela nová tvorba nebo výrazně upravené varianty předchozí řady nástrojů.

Aby společnost BlackTech lépe skryla svou hrozivou aktivitu a zcela přeskočila nutnost vytvářet sofistikovaný účelový malware, začlenila značné množství nástrojů dvojího užití. V této konkrétní kampani byly použity čtyři programy, jedním z nich je WinRAR, široce používaný archivační nástroj. Dalšími třemi byly Putty, které lze použít pro vzdálený přístup a odfiltrování dat, SNScan, které lze použít ke skenování dalších potenciálních cílů v síti organizace, a PSExec, legitimní nástroj společnosti Microsoft.