BlackTech

BlackTech Descrizione

BlackTech è il nome dato a un gruppo di hacker APT (Advanced Persistent Threat). Lo stesso gruppo può essere incontrato anche sotto il nome di Palmerworm. Gli esperti di Infosec hanno notato per la prima volta le attività di questo particolare collettivo di hacker nel 2013. Da allora, BlackTech ha condotto diverse minacciose campagne di attacco contro obiettivi situati nell'Asia orientale. Il lungo periodo di osservazione ha consentito ai ricercatori della sicurezza di creare un quadro piuttosto dettagliato dei modelli di attacco di BlackTech, degli strumenti malware preferiti e delle procedure più comunemente utilizzate. Al centro, le operazioni di BlackTech sono concentrate su spionaggio, data mining aziendale ed esfiltrazione di informazioni. BlackTech è molto probabilmente sponsorizzato dallo stato, con funzionari taiwanesi che affermano di ritenere che gli hacker siano pubblicamente sostenuti dalla Cina.

BlackTech amplia la sua portata

Tuttavia, l'ultima campagna rilevata che può essere attribuita a questo gruppo ATP mostra che gli hacker potrebbero espandere la loro gamma di obiettivi e avventurarsi in operazioni oltre le regioni precedentemente osservate. Sebbene la maggior parte degli obiettivi fosse ancora situata nella stessa regione dell'Asia orientale, con tre società - media, elettronica e finanza, da Taiwan, una società di ingegneria dal Giappone e una società di costruzioni dalla Cina, BlackTech è anche riuscita a infiltrarsi in una società in gli Stati Uniti

Secondo il ricercatore, gli hacker di BlackTech hanno trascorso una notevole quantità di tempo in agguato nelle reti di alcune delle loro vittime: la rete della società di media è stata compromessa per un anno, mentre le società di costruzione e finanziarie si sono infiltrate nelle loro reti per diversi mesi. Allo stesso tempo, gli hacker hanno trascorso solo un paio di giorni all'interno della rete di una società di ingegneria giapponese e solo alcune settimane all'interno di una società di elettronica. La vittima statunitense non identificata è stata compromessa dalla rete per sei mesi.

BlackTech si affida a strumenti malware personalizzati e programmi a duplice uso

Nell'ambito dell'ultima campagna di attacco, sono state individuate quattro minacce malware backdoor di nuova creazione denominate Consock, Waship, Dalwit e Nomri . In precedenza, BlackTech aveva fatto affidamento su altri due backdoor personalizzati: Kivars e Pled . Questo gruppo di strumenti può essere creazioni completamente nuove o varianti pesantemente modificate della precedente serie di strumenti.

Per nascondere meglio la loro attività minacciosa e saltare la necessità di creare del tutto sofisticati malware costruiti appositamente, BlackTech ha incorporato una notevole quantità di strumenti a duplice uso. In questa particolare campagna sono stati impiegati quattro programmi, uno dei quali è WinRAR, uno strumento di archiviazione ampiamente utilizzato. Gli altri tre erano Putty, che può essere utilizzato per l'accesso remoto e l'esfiltrazione dei dati, SNScan che può essere utilizzato per eseguire la scansione di potenziali bersagli aggiuntivi all'interno della rete dell'organizzazione e PSExec, uno strumento Microsoft legittimo.