BlackTech

BlackTech Description

BlackTech ialah nama yang diberikan kepada kumpulan penggodam Advanced Persistent Threat (APT). Kumpulan yang sama juga boleh ditemui di bawah nama Palmerworm. Pakar Infosec mula menyedari aktiviti kolektif penggodam tertentu ini pada tahun 2013. Sejak itu, BlackTech telah menjalankan beberapa kempen serangan mengancam terhadap sasaran yang terletak di Asia Timur. Tempoh pemerhatian yang panjang telah membolehkan penyelidik keselamatan mencipta gambaran yang agak terperinci tentang corak serangan BlackTech, alat perisian hasad pilihan dan prosedur yang paling biasa digunakan. Pada terasnya, operasi BlackTech tertumpu pada pengintipan, perlombongan data korporat dan penyingkiran maklumat. BlackTech kemungkinan besar ditaja oleh kerajaan, dengan pegawai Taiwan menyatakan bahawa mereka percaya bahawa penggodam disokong oleh China secara terbuka.

BlackTech Meluaskan Jangkauannya

Walau bagaimanapun, kempen terbaharu yang dikesan yang boleh dikaitkan dengan kumpulan ATP ini menunjukkan bahawa penggodam mungkin mengembangkan julat sasaran mereka dan menerokai operasi di luar kawasan yang diperhatikan sebelum ini. Walaupun kebanyakan sasaran masih terletak di rantau Asia Timur yang sama, dengan tiga syarikat - media, elektronik, dan kewangan, dari Taiwan, sebuah syarikat kejuruteraan dari Jepun, dan sebuah syarikat pembinaan dari China, BlackTech juga berjaya menyusup masuk ke sebuah syarikat di Amerika Syarikat

Menurut penyelidik, penggodam dari BlackTech telah menghabiskan banyak masa untuk mengintai dalam rangkaian beberapa mangsa mereka - rangkaian syarikat media telah terjejas selama setahun, manakala syarikat pembinaan dan kewangan telah menyusup rangkaian mereka selama beberapa bulan. Pada masa yang sama, penggodam hanya menghabiskan beberapa hari di dalam rangkaian syarikat kejuruteraan Jepun dan hanya beberapa minggu di dalam syarikat elektronik. Mangsa AS yang tidak dikenali itu mempunyai rangkaian terjejas selama enam bulan.

BlackTech Bergantung pada Alat Perisian Hasad Tersuai dan Program Dwi Guna

Sebagai sebahagian daripada kempen serangan terbaharu, empat ancaman perisian hasad pintu belakang yang baru dibuat bernama Consock, Waship, Dalwit dan Nomri dikesan sedang digunakan. Sebelum ini, BlackTech telah bergantung pada dua pintu belakang tersuai lain - Kivars dan Pled . Kumpulan alatan ini mungkin ciptaan baharu sepenuhnya atau varian yang banyak diubah suai daripada tatasusunan alatan sebelumnya.

Untuk menyembunyikan aktiviti mengancam mereka dengan lebih baik dan melangkau keperluan untuk mencipta perisian hasad canggih yang direka khas sepenuhnya, BlackTech telah menggabungkan sejumlah besar alat dwi-guna. Dalam kempen khusus ini, empat program telah digunakan, salah satunya ialah WinRAR, alat pengarkiban yang digunakan secara meluas. Tiga yang lain ialah Putty, yang boleh digunakan untuk akses jauh dan exfiltration data, SNScan yang boleh digunakan untuk mengimbas sasaran berpotensi tambahan dalam rangkaian organisasi, dan PSExec, alat Microsoft yang sah.