BlackTech

BlackTech ir Advanced Persistent Threat (APT) hakeru grupas nosaukums. To pašu grupu var sastapt arī ar nosaukumu Palmerworm. Infosec eksperti pirmo reizi pamanīja šī hakeru kolektīva aktivitātes 2013. gadā. Kopš tā laika BlackTech ir veicis vairākas draudošas uzbrukuma kampaņas Austrumāzijā esošajiem mērķiem. Ilgais novērošanas periods ir ļāvis drošības pētniekiem izveidot diezgan detalizētu priekšstatu par BlackTech uzbrukumu modeļiem, vēlamajiem ļaunprātīgas programmatūras rīkiem un visbiežāk izmantotajām procedūrām. BlackTech darbības pamatā ir spiegošana, korporatīvā datu ieguve un informācijas izspiešana. BlackTech, visticamāk, ir valsts finansēts, un Taivānas amatpersonas paziņojušas, ka uzskata, ka hakerus publiski atbalsta Ķīna.

BlackTech paplašina savu sasniedzamību

Tomēr pēdējā atklātā kampaņa, ko var attiecināt uz šo ATP grupu, liecina, ka hakeri, iespējams, paplašina savu mērķu loku un iesaistās operācijās ārpus iepriekš novērotajiem reģioniem. Lai gan lielākā daļa mērķu joprojām atradās tajā pašā Austrumāzijas reģionā, kur bija trīs uzņēmumi - mediji, elektronika un finanses, no Taivānas, mašīnbūves uzņēmums no Japānas un būvniecības uzņēmums no Ķīnas, BlackTech izdevās iefiltrēties arī kādā uzņēmumā ASV

Pēc pētnieka teiktā, BlackTech hakeri ir pavadījuši ievērojamu laiku, slēpdamies dažu savu upuru tīklos - mediju kompānijas tīkls uz gadu tika kompromitēts, savukārt būvniecības un finanšu kompāniju tīklos iefiltrējās. vairākus mēnešus. Tajā pašā laikā hakeri pavadīja tikai dažas dienas Japānas inženieru uzņēmuma tīklā un tikai dažas nedēļas elektronikas uzņēmumā. Neidentificētā ASV upura tīkls tika apdraudēts sešus mēnešus.

BlackTech paļaujas uz pielāgotiem ļaunprātīgas programmatūras rīkiem un divējāda lietojuma programmām

Jaunākās uzbrukuma kampaņas ietvaros tika konstatēti četri jaunizveidoti aizmugures ļaunprātīgas programmatūras draudi Consock, Waship, Dalwit un Nomri . Iepriekš BlackTech bija atsaukusies uz diviem citiem pasūtījuma lūkas - Kivars un PLED . Šī rīku sērija var būt pilnīgi jauni darbi vai stipri pārveidoti iepriekšējā rīku klāsta varianti.

Lai labāk slēptu viņu draudošās darbības un pilnībā izlaistu vajadzību izveidot izsmalcinātu mērķtiecīgu ļaunprātīgu programmatūru, BlackTech ir iekļāvis ievērojamu skaitu divējāda lietojuma rīku. Šajā konkrētajā kampaņā tika izmantotas četras programmas, no kurām viena ir plaši izmantots arhivēšanas rīks WinRAR. Pārējie trīs bija Putty, ko var izmantot attālinātai piekļuvei un datu eksfiltrācijai, SNScan, ko var izmantot, lai meklētu papildu potenciālos mērķus organizācijas tīklā, un PSExec, likumīgs Microsoft rīks.