BlackTech

BlackTech Opis

BlackTech je naziv koji je dodijeljen grupi hakera Advanced Persistent Threat (APT). Ista grupa se također može susresti pod imenom Palmerworm. Stručnjaci Infoseca prvi su put primijetili aktivnosti ovog konkretnog hakerskog kolektiva još 2013. Od tada je BlackTech izveo nekoliko prijetećih kampanja napada na ciljeve smještene u istočnoj Aziji. Dugo razdoblje promatranja omogućilo je istraživačima sigurnosti da stvore prilično detaljnu sliku o napadima BlackTecha, poželjnim alatima zlonamjernog softvera i najčešće korištenim postupcima. U svojoj osnovi, operacije BlackTecha koncentrirane su na špijunažu, korporativno rudarenje podataka i eksfiltraciju informacija. BlackTech najvjerojatnije sponzorira država, a tajvanski dužnosnici navode kako vjeruju da Kina iza hakera stoji javno.

BlackTech proširuje svoj doseg

Međutim, najnovija otkrivena kampanja koja se može pripisati ovoj ATP grupi pokazuje da hakeri možda šire svoj spektar ciljeva i upuštaju se u operacije izvan prethodno promatranih regija. Iako se većina ciljeva još uvijek nalazila u istoj regiji Istočne Azije, s tri tvrtke - mediji, elektronika i financije, s Tajvana, inženjerska tvrtka iz Japana i građevinska tvrtka iz Kine, BlackTech se također uspio infiltrirati u tvrtku u sad

Prema istraživaču, hakeri iz BlackTecha proveli su poprilično vremena vrebajući u mrežama nekih svojih žrtava - mreža medijske tvrtke bila je kompromitirana godinu dana, dok su građevinske i financijske tvrtke infiltrirale svoje mreže zbog nekoliko mjeseci. Istodobno, hakeri su proveli samo nekoliko dana unutar mreže japanske inženjerske tvrtke i samo nekoliko tjedana unutar elektroničke tvrtke. Neidentificirana američka žrtva imala je mrežu ugroženu šest mjeseci.

BlackTech se oslanja na prilagođene alate za zlonamjerni softver i programe dvostruke namjene

Kao dio najnovije kampanje napada , uočene su da su u upotrebi četiri novoizrađene prijetnje zlonamjernim softverom koji se nazivaju Consock, Waship, Dalwit i Nomri . Prije se BlackTech oslanjao na još dvije prilagođene pozadine - Kivars i Pled. Ova serija alata može biti potpuno nova kreacija ili jako modificirane inačice prethodnog niza alata.

Kako bi bolje sakrio svoje prijeteće aktivnosti i preskočio potrebu za stvaranjem sofisticiranog namjenskog malvera u potpunosti, BlackTech je uključio značajnu količinu alata dvostruke namjene. U ovoj određenoj kampanji korištena su četiri programa, od kojih je jedan WinRAR, široko korišteni alat za arhiviranje. Preostala tri bila su Putty, koji se može koristiti za daljinski pristup i eksfiltraciju podataka, SNScan koji se može koristiti za traženje dodatnih potencijalnih ciljeva u mreži organizacije i PSExec, legitimni Microsoftov alat.