BlackTech

BlackTech Kuvaus

BlackTech on nimi Advanced Persistent Threat (APT) -hakkeriryhmälle. Sama ryhmä voidaan kohdata myös nimellä Palmerworm. Infosecin asiantuntijat huomasivat tämän hakkerikollektiivisen toiminnan ensimmäisen kerran vuonna 2013. Sen jälkeen BlackTech on toteuttanut useita uhkaavia hyökkäyksiä Itä-Aasiassa sijaitseviin kohteisiin. Pitkä tarkkailujakso on antanut turvallisuustutkijoiden luoda melko yksityiskohtaisen kuvan BlackTechin hyökkäysmalleista, ensisijaisista haittaohjelmatyökaluista ja yleisimmin käytetyistä menettelyistä. Ytimessä BlackTechin toiminta on keskittynyt vakoiluun, yritystiedon louhintaan ja tiedon suodattamiseen. BlackTech on todennäköisesti valtion tukema, taiwanilaisten virkamiesten mukaan uskovansa, että Kiina tukee hakkereita julkisesti.

BlackTech laajentaa kattavuuttaan

Viimeisin havaittu kampanja, joka voidaan liittää tähän ATP-ryhmään, osoittaa, että hakkerit saattavat kuitenkin laajentaa kohteidensa määrää ja ryhtyä toimiin aiemmin havaittujen alueiden ulkopuolella. Vaikka suurin osa kohteista sijaitsi edelleen samalla Itä-Aasian alueella, jossa oli kolme yritystä - media, elektroniikka ja rahoitus - Taiwanista, japanilainen insinööritoimisto ja rakennusliike Kiinasta, BlackTech onnistui myös tunkeutumaan yritykseen Yhdysvallat

Tutkijan mukaan BlackTechin hakkerit ovat viettäneet huomattavan paljon aikaa väijyessään joidenkin uhriensa verkoissa - mediayhtiön verkko vaarantui vuodeksi, kun taas rakennus- ja rahoitusyhtiöiden verkot olivat tunkeutuneet useita kuukausia. Samaan aikaan hakkerit viettivät vain pari päivää japanilaisen insinööritoiminnan verkon sisällä ja vain useita viikkoja elektroniikkayritys. Yhdysvaltalaisten tunnistamattoman uhrin verkko on vaarantunut kuuden kuukauden ajaksi.

BlackTech luottaa mukautettuihin haittaohjelmatyökaluihin ja kaksikäyttöohjelmiin

Osana viimeisintä hyökkäyskampanjaa havaittiin olevan käytössä neljä äskettäin luotua takaoven haittaohjelman uhkaa nimeltä Consock, Waship, Dalwit ja Nomri . Aikaisemmin BlackTech oli vedonnut kahteen muuhun mukautettuun takaoveen - Kivars ja Pled . Tämä työkaluerä voi olla täysin uusia luomuksia tai edellisen työkaluryhmän voimakkaasti muunneltuja muunnelmia.

BlackTech on sisällyttänyt huomattavan määrän kaksikäyttötuotteita piilottaakseen heidän uhkaavan toimintansa ja ohittaakseen tarpeen kehittää kehittyneitä tarkoitukseen tarkoitettuja haittaohjelmia kokonaan. Tässä kampanjassa käytettiin neljä ohjelmaa, joista yksi on WinRAR, joka on laajalti käytetty arkistointityökalu. Kolme muuta olivat Putty, jota voidaan käyttää etäkäyttöön ja tietojen suodattamiseen, SNScan, jolla voidaan etsiä uusia mahdollisia kohteita organisaation verkosta, ja PSExec, laillinen Microsoft-työkalu.