BlackTech

BlackTech Opis

BlackTech je ime, dano skupini hekerjev Advanced Persistent Threat (APT). Isto skupino lahko srečamo tudi pod imenom Palmerworm. Strokovnjaki Infosec so prvič opazili dejavnosti tega posebnega hekerskega kolektiva že leta 2013. Od takrat je BlackTech izvedel več grozečih napadov na tarče v vzhodni Aziji. Dolgo obdobje opazovanja je raziskovalcem varnosti omogočilo, da ustvarijo precej podrobno sliko vzorcev napadov BlackTecha, prednostnih orodij za zlonamerno programsko opremo in najpogosteje uporabljenih postopkov. V svojem bistvu so operacije BlackTecha osredotočene na vohunjenje, korporativno rudarjenje podatkov in ekstrakcijo informacij. BlackTech najverjetneje sponzorira država, pri čemer tajvanski uradniki trdijo, da verjamejo, da hekerje javno podpira Kitajska.

BlackTech razširi svoj doseg

Vendar pa najnovejša odkrita kampanja, ki jo je mogoče pripisati tej skupini ATP, kaže, da hekerji morda širijo obseg svojih ciljev in se podajajo v operacije izven prej opazovanih regij. Medtem ko je bila večina tarč še vedno v isti regiji Vzhodne Azije s tremi podjetji - mediji, elektronika in finance, s Tajvana, inženirsko podjetje iz Japonske in gradbeno podjetje iz Kitajske, se je BlackTechu uspelo infiltrirati tudi v podjetje v ZDA

Po besedah raziskovalca so hekerji iz BlackTecha precej časa preživeli v omrežjih nekaterih svojih žrtev - omrežje medijske hiše je bilo leto dni ogroženo, medtem ko so gradbena in finančna podjetja imela svoja omrežja infiltrirana za več mesecev. Hkrati so hekerji preživeli le nekaj dni v omrežju japonskega inženirskega podjetja in le nekaj tednov v podjetju za elektroniko. Neidentificirana žrtev ZDA je imela šest mesecev ogroženo omrežje.

BlackTech se zanaša na orodja za zlonamerno programsko opremo po meri in programe z dvojno rabo

Kot del najnovejše napadalne kampanje so opazili, da so v uporabi štiri na novo izdelane grožnje z zlonamerno programsko opremo v zakulisju z imenom Consock, Waship, Dalwit in Nomri. Pred tem se je BlackTech zanašal na dva druga zaledna vrata po meri - Kivars in Pled . Ta serija orodij je lahko povsem nove stvaritve ali močno spremenjene različice prejšnjega niza orodij.

Da bi bolje skril njihovo ogrožajočo dejavnost in preskočil potrebo po v celoti ustvariti sofisticirano namensko izdelano zlonamerno programsko opremo, je BlackTech vključil precejšnjo količino orodij z dvojno rabo. V tej akciji so bili uporabljeni štirje programi, eden od njih je WinRAR, široko uporabljeno orodje za arhiviranje. Ostali trije so bili Putty, ki se lahko uporablja za oddaljeni dostop in ekstrakcijo podatkov, SNScan, ki se lahko uporablja za skeniranje dodatnih potencialnih ciljev v omrežju organizacije, in PSExec, zakonito Microsoftovo orodje.