BlackTech

BlackTech është emri që i është dhënë një grupi hakerësh të Kërcënimeve të Përparuara (APT). I njëjti grup mund të ndeshet edhe me emrin Palmerworm. Ekspertët e Infosec vunë re për herë të parë aktivitetet e këtij grupi të veçantë hakerësh në vitin 2013. Që atëherë, BlackTech ka kryer disa fushata sulmi kërcënuese kundër objektivave të vendosura në Azinë Lindore. Periudha e gjatë e vëzhgimit i ka lejuar studiuesit e sigurisë të krijojnë një pamje mjaft të detajuar të modeleve të sulmit të BlackTech, mjeteve të preferuara të malware dhe procedurave më të përdorura. Në thelbin e tij, operacionet e BlackTech janë të përqendruara në spiunazhin, nxjerrjen e të dhënave të korporatave dhe nxjerrjen e informacionit. BlackTech ka shumë të ngjarë të sponsorizohet nga shteti, me zyrtarë tajvanezë që deklarojnë se ata besojnë se hakerët mbështeten nga Kina publikisht.

BlackTech zgjeron shtrirjen e saj

Megjithatë, fushata e fundit e zbuluar që mund t'i atribuohet këtij grupi ATP tregon se hakerët mund të zgjerojnë gamën e tyre të objektivave dhe të ndërmarrin operacione përtej rajoneve të vëzhguara më parë. Ndërsa shumica e objektivave ishin ende të vendosura në të njëjtin rajon të Azisë Lindore, me tre kompani - media, elektronikë dhe financa, nga Tajvani, një kompani inxhinierike nga Japonia dhe një kompani ndërtimi nga Kina, BlackTech gjithashtu arriti të depërtojë në një kompani në Shtetet e Bashkuara

Sipas studiuesit, hakerët nga BlackTech kanë shpenzuar një kohë të konsiderueshme duke u fshehur në rrjetet e disa prej viktimave të tyre - rrjeti i kompanisë mediatike ishte komprometuar për një vit, ndërsa kompanitë e ndërtimit dhe financave kishin infiltruar rrjetet e tyre për disa muaj. Në të njëjtën kohë, hakerët kaluan vetëm disa ditë brenda rrjetit të një kompanie inxhinierike japoneze dhe vetëm disa javë brenda një kompanie elektronike. Viktima e paidentifikuar amerikane kishte qenë e komprometuar në rrjet për gjashtë muaj.

BlackTech mbështetet në mjete të personalizuara malware dhe programe me përdorim të dyfishtë

Si pjesë e fushatës së fundit të sulmit, katër kërcënime malware të krijuara rishtazi të quajtura Consock, Waship, Dalwit dhe Nomri u vunë re se ishin në përdorim. Më parë, BlackTech ishte mbështetur në dy dyer të tjera me porosi - Kivars dhe Pled . Kjo grumbull mjetesh mund të jetë krijime krejtësisht të reja ose variante të modifikuara shumë të grupit të mëparshëm të mjeteve.

Për të fshehur më mirë aktivitetin e tyre kërcënues dhe për të kapërcyer nevojën për të krijuar tërësisht malware të sofistikuar të krijuar për qëllime, BlackTech ka inkorporuar një sasi të konsiderueshme mjetesh me përdorim të dyfishtë. Në këtë fushatë të veçantë, u përdorën katër programe, njëri prej të cilëve është WinRAR, një mjet arkivimi i përdorur gjerësisht. Tre të tjerët ishin Putty, i cili mund të përdoret për akses në distancë dhe ekfiltrim të të dhënave, SNScan që mund të përdoret për të skanuar për objektiva shtesë të mundshëm brenda rrjetit të organizatës dhe PSExec, një mjet legjitim i Microsoft.