BlackTech

BlackTech Popis

BlackTech je názov pre skupinu hackerov s názvom Advanced Persistent Threat (APT). S rovnakou skupinou sa možno stretnúť aj pod názvom Palmerworm. Experti Infosec si prvýkrát všimli aktivity tohto konkrétneho hackerského kolektívu už v roku 2013. Odvtedy BlackTech uskutočnil niekoľko výhražných útočných kampaní proti cieľom vo východnej Ázii. Dlhé pozorovacie obdobie umožnilo bezpečnostným výskumníkom vytvoriť pomerne podrobný obraz o vzorcoch útokov BlackTech, preferovaných malvérových nástrojoch a najčastejšie používaných postupoch. Vo svojom jadre sa operácie BlackTech sústreďujú na špionáž, dolovanie podnikových dát a exfiltráciu informácií. BlackTech je s najväčšou pravdepodobnosťou podporovaný štátom, pričom taiwanskí predstavitelia uviedli, že veria, že hackeri sú verejne podporovaní Čínou.

BlackTech rozširuje svoj dosah

Najnovšia zistená kampaň, ktorú možno pripísať tejto skupine ATP, však ukazuje, že hackeri možno rozširujú rozsah svojich cieľov a púšťajú sa do operácií mimo predtým pozorovaných oblastí. Zatiaľ čo väčšina cieľov sa stále nachádzala v rovnakom regióne východnej Ázie, s tromi spoločnosťami – médiami, elektronikou a financiami z Taiwanu, strojárskou spoločnosťou z Japonska a stavebnou spoločnosťou z Číny, BlackTechu sa podarilo infiltrovať aj spoločnosť v Spojené štáty

Podľa výskumníka strávili hackeri z BlackTech značné množstvo času číhaním v sieťach niektorých svojich obetí – sieť mediálnej spoločnosti bola kompromitovaná rok, zatiaľ čo stavebné a finančné spoločnosti mali svoje siete infiltrované niekoľko mesiacov. Hackeri zároveň strávili len pár dní v sieti japonskej strojárskej spoločnosti a len niekoľko týždňov v elektronickej spoločnosti. Neidentifikovaná obeť z USA mala šesť mesiacov kompromitovanú sieť.

BlackTech sa spolieha na vlastné malvérové nástroje a programy na dvojaké použitie

Ako súčasť najnovšej útočnej kampane sa zistilo, že sa používajú štyri novo vytvorené backdoor malvérové hrozby s názvom Consock, Waship, Dalwit a Nomri . Predtým sa BlackTech spoliehal na dve ďalšie vlastné zadné vrátka - Kivars a Pled . Táto séria nástrojov môže byť úplne novými výtvormi alebo výrazne upravenými variantmi predchádzajúceho radu nástrojov.

Aby BlackTech lepšie skryl svoju ohrozujúcu aktivitu a preskočil potrebu úplne vytvárať sofistikovaný účelový malvér, začlenil značné množstvo nástrojov na dvojaké použitie. V tejto konkrétnej kampani boli použité štyri programy, jedným z nich je WinRAR, široko používaný archivačný nástroj. Ďalšími tromi boli Putty, ktorý možno použiť na vzdialený prístup a exfiltráciu údajov, SNScan, ktorý možno použiť na skenovanie ďalších potenciálnych cieľov v rámci siete organizácie, a PSExec, legitímny nástroj spoločnosti Microsoft.