BlackTech

BlackTech תיאור

BlackTech הוא השם שניתן לקבוצת האקרים מתמשכת מתקדמת (APT). ניתן להיתקל באותה קבוצה גם תחת השם Palmerworm. מומחי Infosec הבחינו לראשונה בפעילות של קולקטיבי האקרים המסוים הזה כבר בשנת 2013. מאז, BlackTech ביצעה מספר מסעות תקיפה מאיימים נגד מטרות הממוקמות במזרח אסיה. תקופת התצפית הארוכה אפשרה לחוקרי האבטחה ליצור תמונה מפורטת למדי של דפוסי ההתקפה של BlackTech, כלי תוכנה זדוניות מועדפים והנהלים הנפוצים ביותר. בבסיסה, פעילותה של BlackTech מתרכזת בריגול, כריית מידע ארגוני וחילוץ מידע. BlackTech היא ככל הנראה בחסות המדינה, כאשר גורמים טייוואנים מצהירים כי הם מאמינים שההאקרים מגובים על ידי סין בפומבי.

BlackTech מרחיבה את טווח ההגעה שלה

עם זאת, הקמפיין האחרון שזוהה שניתן לייחס לקבוצת ATP זו מראה שההאקרים עשויים להרחיב את מגוון המטרות שלהם ולצאת לפעילות מעבר לאזורים שנצפו בעבר. בעוד שרוב היעדים עדיין היו ממוקמים באותו אזור מזרח אסיה, עם שלוש חברות - מדיה, אלקטרוניקה ופיננסים, מטייוואן, חברת הנדסה מיפן וחברת בנייה מסין, BlackTech הצליחה לחדור גם לחברה ב ארצות הברית

לדברי החוקר, ההאקרים מ-BlackTech בילו זמן לא מבוטל באורבים ברשתות של חלק מקורבנותיהם - הרשת של חברת המדיה נפגעה במשך שנה, בעוד שלחברות הבנייה והפיננסים חדרו לרשתות שלהם מספר חודשים. במקביל, ההאקרים בילו רק כמה ימים ברשת של חברת הנדסה יפנית ורק כמה שבועות בתוך חברת אלקטרוניקה. הקורבן הבלתי מזוהה בארה"ב נמצא בסיכון לרשת למשך שישה חודשים.

BlackTech מסתמכת על כלי תוכנה זדונית מותאמים אישית ותוכניות דו-שימוש

במסגרת קמפיין ההתקפה האחרונה, ארבעה איומי תוכנות זדוניות אחוריות חדש בעל מבנה בשם Consock, Waship, Dalwit, ו Nomri נראו להיות בשימוש. בעבר, BlackTech הסתמכה על שתי דלתות אחוריות מותאמות אישית אחרות - Kivars ו- Pled . אצווה זו של כלים עשויה להיות יצירות חדשות לחלוטין או גרסאות ששונו מאוד של מערך הכלים הקודם.

כדי להסתיר טוב יותר את הפעילות המאיימת שלהם ולדלג על הצורך ליצור תוכנות זדוניות מתוחכמות תכליתיות לחלוטין, BlackTech שילבה כמות ניכרת של כלים דו-שימושיים. בקמפיין הספציפי הזה הופעלו ארבע תוכניות, אחת מהן היא WinRAR, כלי ארכיון בשימוש נרחב. השלושה האחרים היו Putty, שניתן להשתמש בו לגישה מרחוק וחילוץ נתונים, SNScan שניתן להשתמש בו כדי לסרוק יעדים פוטנציאליים נוספים ברשת הארגון, ו-PSExec, כלי לגיטימי של מיקרוסופט.