BlackTech

Το BlackTech είναι το όνομα που δίνεται σε μια ομάδα hackers Advanced Persistent Threat (APT). Η ίδια ομάδα μπορεί επίσης να συναντηθεί με το όνομα Palmerworm. Οι ειδικοί της Infosec παρατήρησαν για πρώτη φορά τις δραστηριότητες αυτής της συγκεκριμένης ομάδας χάκερ το 2013. Έκτοτε, η BlackTech έχει πραγματοποιήσει αρκετές απειλητικές εκστρατείες επίθεσης εναντίον στόχων που βρίσκονται στην Ανατολική Ασία. Η μακρά περίοδος παρατήρησης επέτρεψε στους ερευνητές ασφαλείας να δημιουργήσουν μια μάλλον λεπτομερή εικόνα των μοτίβων επίθεσης της BlackTech, των προτιμώμενων εργαλείων κακόβουλου λογισμικού και των διαδικασιών που χρησιμοποιούνται πιο συχνά. Στον πυρήνα της, οι δραστηριότητες της BlackTech επικεντρώνονται στην κατασκοπεία, την εξόρυξη εταιρικών δεδομένων και την εξαγωγή πληροφοριών. Το BlackTech πιθανότατα χρηματοδοτείται από το κράτος, με τους Ταϊβανέζους αξιωματούχους να δηλώνουν ότι πιστεύουν ότι οι χάκερ υποστηρίζονται δημόσια από την Κίνα.

Η BlackTech επεκτείνει την εμβέλειά της

Ωστόσο, η πιο πρόσφατη καμπάνια που εντοπίστηκε και μπορεί να αποδοθεί σε αυτήν την ομάδα ATP δείχνει ότι οι χάκερ μπορεί να επεκτείνουν το εύρος των στόχων τους και να τολμήσουν σε επιχειρήσεις πέρα από τις περιοχές που είχαν παρατηρηθεί προηγουμένως. Ενώ οι περισσότεροι από τους στόχους εξακολουθούσαν να βρίσκονται στην ίδια περιοχή της Ανατολικής Ασίας, με τρεις εταιρείες - μέσα ενημέρωσης, ηλεκτρονικά και χρηματοοικονομικά, από την Ταϊβάν, μια εταιρεία μηχανικών από την Ιαπωνία και μια κατασκευαστική εταιρεία από την Κίνα, η BlackTech κατάφερε επίσης να διεισδύσει σε μια εταιρεία στην οι ΗΠΑ

Σύμφωνα με τον ερευνητή, οι χάκερ της BlackTech πέρασαν αρκετό χρόνο κρυμμένοι στα δίκτυα ορισμένων από τα θύματά τους - το δίκτυο της εταιρείας πολυμέσων είχε παραβιαστεί για ένα χρόνο, ενώ οι κατασκευαστικές και χρηματοοικονομικές εταιρείες είχαν διεισδύσει στα δίκτυά τους για αρκετοί μήνες. Την ίδια στιγμή, οι χάκερ πέρασαν μόνο μερικές μέρες μέσα στο δίκτυο μιας ιαπωνικής εταιρείας μηχανικών και μόλις αρκετές εβδομάδες μέσα σε μια εταιρεία ηλεκτρονικών. Το άγνωστο θύμα των ΗΠΑ είχε παραβιαστεί το δίκτυο για έξι μήνες.

Η BlackTech βασίζεται σε προσαρμοσμένα εργαλεία κακόβουλου λογισμικού και προγράμματα διπλής χρήσης

Ως μέρος της τελευταίας εκστρατείας επίθεσης, τέσσερις νέες απειλές κακόβουλου λογισμικού backdoor που δημιουργήθηκαν με την ονομασία Consock, Waship, Dalwit και Nomri εντοπίστηκαν να χρησιμοποιούνται. Προηγουμένως, η BlackTech βασιζόταν σε δύο άλλες προσαρμοσμένες πόρτες - το Kivars και το Pled . Αυτή η παρτίδα εργαλείων μπορεί να είναι εντελώς νέες δημιουργίες ή πολύ τροποποιημένες παραλλαγές της προηγούμενης σειράς εργαλείων.

Για να αποκρύψει καλύτερα την απειλητική δραστηριότητά τους και να παρακάμψει την ανάγκη δημιουργίας εξ ολοκλήρου εξελιγμένου κακόβουλου λογισμικού, η BlackTech έχει ενσωματώσει έναν σημαντικό αριθμό εργαλείων διπλής χρήσης. Στη συγκεκριμένη καμπάνια χρησιμοποιήθηκαν τέσσερα προγράμματα, ένα εκ των οποίων είναι το WinRAR, ένα ευρέως χρησιμοποιούμενο εργαλείο αρχειοθέτησης. Τα άλλα τρία ήταν το Putty, το οποίο μπορεί να χρησιμοποιηθεί για απομακρυσμένη πρόσβαση και εξαγωγή δεδομένων, το SNScan που μπορεί να χρησιμοποιηθεί για σάρωση για πρόσθετους πιθανούς στόχους εντός του δικτύου του οργανισμού και το PSExec, ένα νόμιμο εργαλείο της Microsoft.