BlackTech

BlackTech Aprašymas

BlackTech yra Advanced Persistent Threat (APT) įsilaužėlių grupės pavadinimas. Tą pačią grupę taip pat galima rasti pavadinimu Palmerworm. Infosec ekspertai pirmą kartą pastebėjo šio įsilaužėlių kolektyvo veiklą dar 2013 m. Nuo tada BlackTech vykdė keletą grėsmingų atakų kampanijų prieš Rytų Azijoje esančius taikinius. Ilgas stebėjimo laikotarpis leido saugumo tyrinėtojams sukurti gana išsamų BlackTech atakų modelių, pageidaujamų kenkėjiškų programų įrankių ir dažniausiai naudojamų procedūrų vaizdą. Iš esmės „BlackTech“ veikla yra sutelkta į šnipinėjimą, įmonių duomenų gavybą ir informacijos išfiltravimą. „BlackTech“ greičiausiai remia valstybė, o Taivano pareigūnai teigia manantys, kad įsilaužėlius viešai remia Kinija.

„BlackTech“ išplėtė savo pasiekiamumą

Tačiau naujausia aptikta kampanija, kurią galima priskirti šiai ATP grupei, rodo, kad įsilaužėliai gali išplėsti savo taikinių spektrą ir ryžtis operacijoms už anksčiau stebėtų regionų ribų. Nors dauguma objektų vis dar buvo tame pačiame Rytų Azijos regione, o trys įmonės – žiniasklaidos, elektronikos ir finansų – iš Taivano, inžinerijos įmonė iš Japonijos ir statybos įmonė iš Kinijos, „BlackTech“ taip pat sugebėjo įsiskverbti į įmonę Jungtinės Amerikos Valstijos

Tyrėjo teigimu, įsilaužėliai iš BlackTech nemažai laiko praleido slapstydami kai kurių savo aukų tinklus – žiniasklaidos bendrovės tinklas buvo pažeistas metus, o statybų ir finansų bendrovės buvo įsiskverbusios į tinklus. Keli mėnesiai. Tuo pačiu metu įsilaužėliai Japonijos inžinerijos įmonės tinkle praleido vos kelias dienas, o elektronikos įmonėje – vos kelias savaites. Neatpažintos JAV aukos tinklas buvo pažeistas šešiems mėnesiams.

„BlackTech“ remiasi tinkintais kenkėjiškų programų įrankiais ir dvejopo naudojimo programomis

Vykdant naujausią atakų kampaniją, buvo pastebėtos keturios naujai sukurtos užpakalinių kenkėjiškų programų grėsmės, pavadintos Consock, Waship, Dalwit ir Nomri. Anksčiau „BlackTech“ rėmėsi dviem kitomis pasirinktinomis užpakalinėmis durimis – „Kivars“ ir „ Pled“ . Ši įrankių partija gali būti visiškai nauji kūriniai arba stipriai modifikuoti ankstesnio įrankių rinkinio variantai.

Kad geriau paslėptų grėsmingą veiklą ir visiškai nereikėtų kurti sudėtingų specialiai sukurtų kenkėjiškų programų, „BlackTech“ įtraukė daug dvejopo naudojimo įrankių. Šioje kampanijoje buvo naudojamos keturios programos, viena iš kurių yra WinRAR, plačiai naudojamas archyvavimo įrankis. Kiti trys buvo „ Putty“, kuris gali būti naudojamas nuotolinei prieigai ir duomenų išfiltravimui, „SNScan“, kurį galima naudoti norint nuskaityti papildomus galimus objektus organizacijos tinkle, ir „PSExec“, teisėtas „Microsoft“ įrankis.