BlackTech

BlackTech Beskrivelse

BlackTech er navnet på en gruppe hackere med Advanced Persistent Threat (APT). Den samme gruppe kan også findes under navnet Palmerworm. Infosec-eksperter bemærkede først aktiviteterne i denne særlige hacker-kollektive vej tilbage i 2013. Siden da har BlackTech gennemført adskillige truende angrebskampagner mod mål i Østasien. Den lange observationsperiode har gjort det muligt for sikkerhedsforskerne at skabe et ret detaljeret billede af BlackTechs angrebsmønstre, foretrukne malware-værktøjer og mest almindeligt anvendte procedurer. I sin kerne er BlackTechs aktiviteter koncentreret om spionage, corporate data mining og informationsefiltrering. BlackTech er sandsynligvis statsstøttet, med taiwanske embedsmænd, der siger, at de mener, at hackerne er bakket op af Kina offentligt.

BlackTech udvider sin rækkevidde

Den seneste opdagede kampagne, der kan tilskrives denne ATP-gruppe, viser imidlertid, at hackerne muligvis udvider deres rækkevidde af mål og begiver sig ud i operationer ud over de tidligere observerede regioner. Mens de fleste af målene stadig var placeret i den samme østasiatiske region med tre virksomheder - medier, elektronik og finansiering fra Taiwan, et ingeniørfirma fra Japan og et byggefirma fra Kina, formåede BlackTech også at infiltrere et firma i USA

Ifølge forskeren har hackerne fra BlackTech brugt betydelig tid på at lure i nogle af deres ofres netværk - medievirksomhedens netværk var kompromitteret i et år, mens byggeriet og finansieringsselskaberne fik deres netværk infiltreret for flere måneder. På samme tid tilbragte hackerne kun et par dage inde i et japansk ingeniørfirmas netværk og kun flere uger inde i et elektronikfirma. Det uidentificerede amerikanske offer havde kompromitteret netværket i seks måneder.

BlackTech er afhængig af brugerdefinerede malware-værktøjer og programmer til dobbelt brug

Som en del af den seneste angrebskampagne blev fire nyligt udformede malware-trusler om bagdøren ved navn Consock, Waship, Dalwit og Nomri set for at være i brug. Tidligere havde BlackTech påberåbt sig to andre brugerdefinerede bagdøre - Kivars og Pled . Denne gruppe værktøjer kan være helt nye kreationer eller stærkt modificerede varianter af den tidligere række værktøjer.

For bedre at skjule deres truende aktivitet og springe over behovet for at oprette sofistikeret specialbygget malware helt, har BlackTech inkorporeret en betydelig mængde værktøjer til dobbeltbrug. I denne særlige kampagne blev der anvendt fire programmer, hvoraf den ene er WinRAR, et meget brugt arkiveringsværktøj. De andre tre var Putty, som kan bruges til fjernadgang og dataeksfiltrering, SNScan, der kan bruges til at scanne efter yderligere potentielle mål inden for organisationens netværk, og PSExec, et legitimt Microsoft-værktøj.