BlackTech
BlackTech to nazwa nadana grupie hakerów Advanced Persistent Threat (APT). Tę samą grupę można spotkać również pod nazwą Palmerworm. Eksperci Infosec po raz pierwszy zauważyli działalność tego konkretnego kolektywu hakerskiego w 2013 roku. Od tego czasu BlackTech przeprowadził kilka groźnych kampanii ataków na cele zlokalizowane w Azji Wschodniej. Długi okres obserwacji pozwolił badaczom bezpieczeństwa stworzyć dość szczegółowy obraz wzorców ataków BlackTech, preferowanych narzędzi złośliwego oprogramowania i najczęściej używanych procedur. W swojej istocie działalność BlackTech koncentruje się na szpiegostwie, eksploracji danych korporacyjnych i eksfiltracji informacji. BlackTech jest najprawdopodobniej sponsorowany przez państwo, a tajwańscy urzędnicy twierdzą, że uważają, że hakerzy są publicznie wspierani przez Chiny.
BlackTech rozszerza swój zasięg
Jednak ostatnia wykryta kampania, którą można przypisać tej grupie ATP, pokazuje, że hakerzy mogą rozszerzać zakres swoich celów i podejmować działania poza wcześniej obserwowanymi regionami. Podczas gdy większość celów nadal znajdowała się w tym samym regionie Azji Wschodniej, z trzema firmami - mediami, elektroniką i finansami, z Tajwanu, firmą inżynieryjną z Japonii i firmą budowlaną z Chin, BlackTech również udało się zinfiltrować firmę w Stany Zjednoczone
Według badacza hakerzy z BlackTech spędzili sporo czasu czając się w sieciach niektórych swoich ofiar - sieć firmy medialnej była atakowana przez rok, podczas gdy firmy budowlane i finansowe infiltrowały swoje sieci kilka miesięcy. W tym samym czasie hakerzy spędzili tylko kilka dni w sieci japońskiej firmy inżynieryjnej i zaledwie kilka tygodni w firmie elektronicznej. Niezidentyfikowana ofiara ze Stanów Zjednoczonych jest zagrożona przez sześć miesięcy.
BlackTech polega na niestandardowych narzędziach do złośliwego oprogramowania i programach podwójnego zastosowania
W ramach najnowszej kampanii ataków wykryto cztery nowo utworzone złośliwe oprogramowanie typu backdoor o nazwach Consock, Waship, Dalwit i Nomri . Wcześniej BlackTech polegał na dwóch innych niestandardowych backdoorach - Kivars i Pled . Ta partia narzędzi może być całkowicie nową kreacją lub mocno zmodyfikowaną wersją poprzedniego zestawu narzędzi.
Aby lepiej ukryć ich groźną działalność i całkowicie pominąć potrzebę tworzenia wyrafinowanego, specjalnie zbudowanego złośliwego oprogramowania, firma BlackTech wprowadziła znaczną liczbę narzędzi podwójnego zastosowania. W tej kampanii zastosowano cztery programy, z których jednym jest WinRAR, powszechnie używane narzędzie do archiwizacji. Pozostałe trzy to Putty, którego można używać do zdalnego dostępu i eksfiltracji danych, SNScan, którego można używać do skanowania w poszukiwaniu dodatkowych potencjalnych celów w sieci organizacji, oraz PSExec, legalne narzędzie firmy Microsoft.
