BlackTech

BlackTech Kirjeldus

BlackTech on nimi häkkerite Advanced Persistent Threat (APT) rühmale. Sama rühma võib kohata ka nime all Palmerworm. Infoseci eksperdid märkasid selle konkreetse häkkerite kollektiivse tegevuse esmakordselt 2013. aastal. Sellest ajast peale on BlackTech korraldanud mitu ähvardavat rünnakukampaaniat Ida-Aasias asuvate sihtmärkide vastu. Pikk vaatlusperiood on võimaldanud turvauurijatel luua üsna üksikasjaliku pildi BlackTechi rünnakumustritest, eelistatud pahavaratööriistadest ja kõige sagedamini kasutatavatest protseduuridest. Põhimõtteliselt on BlackTechi tegevus keskendunud spionaažile, ettevõtte andmete kaevandamisele ja teabe väljafiltrimisele. BlackTech on suure tõenäosusega riiklikult toetatud, Taiwani ametnikud kinnitavad, et nende arvates toetab Hiina häkkerit avalikult.

BlackTech laiendab oma ulatust

Viimane tuvastatud kampaania, mille võib omistada sellele ATP rühmale, näitab, et häkkerid võivad laiendada oma sihtmärkide ringi ja hakata tegutsema väljaspool varem täheldatud piirkondi. Kui enamik sihtmärke asus endiselt samas Ida-Aasia piirkonnas, kus oli kolm ettevõtet - meedia, elektroonika ja rahandus - Taiwanist, Jaapani insenerifirma ja ehitusettevõte Hiinast, õnnestus BlackTechil imbuda ka ettevõttesse aastal. USAs

Teadlase sõnul on BlackTechi häkkerid veetnud märkimisväärse hulga aega varitsedes mõne oma ohvri võrgus - meediaettevõtte võrk oli aastaks ohustatud, samas kui ehitus- ja finantsettevõtete võrgud olid imbunud mitu kuud. Samal ajal veetsid häkkerid Jaapani insenerifirma võrgus vaid paar päeva ja elektroonikaettevõttes vaid mitu nädalat. USA tuvastamata ohvril on võrk kuus kuud ohustatud.

BlackTech tugineb kohandatud pahavaratööriistadele ja kahesuguse kasutusega programmidele

Viimase rünnakukampaania raames märgati, et kasutusel on neli äsja loodud tagauksega pahavara Consocki, Washipi, Dalwiti ja Nomrit . Varem BlackTech tugines kaks kohandatud tagauksed - Kivars ja anusid . See tööriistapartii võib olla täiesti uus looming või eelmise tööriistade massiivi tugevalt muudetud variant.

Nende ähvardava tegevuse paremaks varjamiseks ja vajaduse loomiseks keeruka otstarbeks loodud pahavara loomiseks on BlackTech lisanud märkimisväärse hulga kahesuguse kasutusega tööriistu. Selles konkreetses kampaanias kasutati nelja programmi, millest üks on laialdaselt kasutatav arhiveerimisvahend WinRAR. Kolm ülejäänud olid Putty, mida saab kasutada kaugjuurdepääsu ja andmete väljafiltrimiseks, SNScan, mida saab kasutada täiendavate potentsiaalsete sihtmärkide otsimiseks organisatsiooni võrgus, ja PSExec, Microsofti seaduslik tööriist.