BlackTech

BlackTech este numele dat unui grup de hackeri Advanced Persistent Threat (APT). Același grup poate fi întâlnit și sub numele Palmerworm. Experții Infosec au observat pentru prima dată activitățile acestui colectiv de hackeri în 2013. De atunci, BlackTech a desfășurat mai multe campanii de atac amenințătoare împotriva țintelor situate în Asia de Est. Perioada lungă de observare a permis cercetătorilor de securitate să creeze o imagine destul de detaliată a tiparelor de atac ale BlackTech, a instrumentelor malware preferate și a procedurilor cele mai frecvent utilizate. În esență, operațiunile BlackTech sunt concentrate pe spionaj, extragerea datelor corporative și exfiltrarea de informații. BlackTech este cel mai probabil sponsorizat de stat, oficialii taiwanezi declarând că cred că hackerii sunt susținuți public de China.

BlackTech își extinde acoperirea

Cu toate acestea, cea mai recentă campanie detectată care poate fi atribuită acestui grup ATP arată că hackerii ar putea să-și extindă gama de ținte și să se aventureze în operațiuni dincolo de regiunile observate anterior. În timp ce majoritatea țintelor erau încă situate în aceeași regiune a Asiei de Est, cu trei companii - media, electronice și finanțe, din Taiwan, o companie de inginerie din Japonia și o companie de construcții din China, BlackTech a reușit să se infiltreze și într-o companie în SUA

Potrivit cercetătorului, hackerii de la BlackTech au petrecut o perioadă considerabilă de timp pândind în rețelele unora dintre victimele lor - rețeaua companiei media a fost compromisă timp de un an, în timp ce companiile de construcții și finanțare au avut rețelele infiltrate pentru cateva luni. În același timp, hackerii au petrecut doar câteva zile în rețeaua unei companii de inginerie japoneză și doar câteva săptămâni în interiorul unei companii de electronice. Victima neidentificată din SUA a avut rețeaua compromisă timp de șase luni.

BlackTech se bazează pe instrumente malware personalizate și programe cu dublă utilizare

Ca parte a celei mai recente campanii de atac, au fost identificate patru amenințări malware de tip backdoor nou create, numite Consock, Waship, Dalwit și Nomri . Anterior, BlackTech se bazase pe alte două uși din spate personalizate - Kivars și Pled . Acest lot de instrumente poate fi creații complet noi sau variante puternic modificate ale gamei anterioare de instrumente.

Pentru a ascunde mai bine activitatea lor amenințătoare și pentru a omite în întregime necesitatea de a crea malware sofisticat special creat, BlackTech a încorporat o cantitate considerabilă de instrumente cu dublă utilizare. În această campanie specială, au fost utilizate patru programe, dintre care unul este WinRAR, un instrument de arhivare utilizat pe scară largă. Celelalte trei au fost Putty, care poate fi folosit pentru acces la distanță și exfiltrare a datelor, SNScan care poate fi folosit pentru a scana ținte potențiale suplimentare în rețeaua organizației și PSExec, un instrument Microsoft legitim.