BlackTech

BlackTech Beskrivelse

BlackTech er navnet gitt til en Advanced Persistent Threat (APT) gruppe av hackere. Den samme gruppen kan også påtreffes under navnet Palmerworm. Infosec-eksperter la først merke til aktivitetene til dette bestemte hackerkollektivet helt tilbake i 2013. Siden den gang har BlackTech gjennomført flere truende angrepskampanjer mot mål lokalisert i Øst-Asia. Den lange observasjonsperioden har gjort det mulig for sikkerhetsforskerne å lage et ganske detaljert bilde av BlackTechs angrepsmønstre, foretrukne skadevareverktøy og mest brukte prosedyrer. I kjernen er BlackTechs virksomhet konsentrert om spionasje, bedriftsdatautvinning og informasjonsutvinning. BlackTech er mest sannsynlig statsstøttet, med taiwanske tjenestemenn som uttaler at de tror at hackerne støttes av Kina offentlig.

BlackTech utvider rekkevidden

Den siste oppdagede kampanjen som kan tilskrives denne ATP-gruppen viser imidlertid at hackerne kanskje utvider spekteret av mål og begir seg ut i operasjoner utenfor de tidligere observerte regionene. Mens de fleste av målene fortsatt var lokalisert i den samme Øst-Asia-regionen, med tre selskaper - media, elektronikk og finans, fra Taiwan, et ingeniørfirma fra Japan og et byggefirma fra Kina, klarte BlackTech også å infiltrere et selskap i USA

Ifølge forskeren har hackerne fra BlackTech brukt mye tid på å luske i nettverkene til noen av ofrene deres – nettverket til medieselskapet ble kompromittert i ett år, mens bygge- og finansselskapene fikk sine nettverk infiltrert for flere måneder. Samtidig tilbrakte hackerne bare et par dager inne i nettverket til et japansk ingeniørfirma og bare flere uker inne i et elektronikkselskap. Det uidentifiserte amerikanske offeret hadde er nettverk kompromittert i seks måneder.

BlackTech er avhengig av tilpassede verktøy for skadelig programvare og programmer for dobbeltbruk

Som en del av den siste angrepskampanjen ble fire nylagde bakdørs malware-trusler ved navn Consock, Waship, Dalwit og Nomri oppdaget i bruk. Tidligere hadde BlackTech stolt på to andre tilpassede bakdører - Kivars og Pled . Denne pakken med verktøy kan være helt nye kreasjoner eller sterkt modifiserte varianter av den tidligere serien med verktøy.

For bedre å skjule deres truende aktivitet og hoppe over behovet for å lage sofistikert spesialbygd skadelig programvare, har BlackTech inkorporert en betydelig mengde verktøy for dobbeltbruk. I denne spesielle kampanjen ble det brukt fire programmer, hvorav ett er WinRAR, et mye brukt arkiveringsverktøy. De tre andre var Putty, som kan brukes til ekstern tilgang og dataeksfiltrering, SNScan som kan brukes til å skanne etter ytterligere potensielle mål innenfor organisasjonens nettverk, og PSExec, et legitimt Microsoft-verktøy.