BlackTech
BlackTech ist der Name einer Advanced Persistent Threat (APT) Gruppe von Hackern. Dieselbe Gruppe kann auch unter dem Namen Palmerworm angetroffen werden. Infosec-Experten haben die Aktivitäten dieses speziellen Hacker-Kollektivs bereits 2013 bemerkt. Seitdem hat BlackTech mehrere drohende Angriffskampagnen gegen Ziele in Ostasien durchgeführt. Der lange Beobachtungszeitraum hat es den Sicherheitsforschern ermöglicht, ein ziemlich detailliertes Bild der Angriffsmuster von BlackTech, der bevorzugten Malware-Tools und der am häufigsten verwendeten Verfahren zu erstellen. Im Kern konzentriert sich die Geschäftstätigkeit von BlackTech auf Spionage, Corporate Data Mining und Informationsexfiltration. BlackTech wird höchstwahrscheinlich vom Staat gesponsert, wobei taiwanesische Beamte erklären, dass sie glauben, dass die Hacker öffentlich von China unterstützt werden.
BlackTech erweitert seine Reichweite
Die letzte erkannte Kampagne, die dieser ATP-Gruppe zugeordnet werden kann, zeigt jedoch, dass die Hacker möglicherweise ihre Zielbereiche erweitern und sich in Operationen außerhalb der zuvor beobachteten Regionen wagen. Während sich die meisten Ziele noch in derselben ostasiatischen Region befanden, mit drei Unternehmen - Medien, Elektronik und Finanzen - aus Taiwan, einem Ingenieurbüro aus Japan und einem Bauunternehmen aus China, gelang es BlackTech auch, ein Unternehmen in den USA in zu infiltrieren.
Laut dem Forscher haben die Hacker von BlackTech viel Zeit damit verbracht, in den Netzwerken einiger ihrer Opfer zu lauern - das Netzwerk des Medienunternehmens wurde ein Jahr lang kompromittiert, während die Netzwerke der Bau- und Finanzunternehmen wurden mehrere Monate infiltriert. Gleichzeitig verbrachten die Hacker nur ein paar Tage im Netzwerk eines japanischen Ingenieurbüros und nur einige Wochen in einem Elektronikunternehmen. Das nicht identifizierte US-Opfer ist seit sechs Monaten im Netzwerk kompromittiert.
BlackTech setzt auf benutzerdefinierte Malware-Tools und Dual-Use-Programme
Im Rahmen der letzten Angriffskampagne wurden vier neu gestaltete Backdoor-Malware-Bedrohungen namens Consock, Waship, Dalwit und Nomri entdeckt. Zuvor hatte sich BlackTech auf zwei andere benutzerdefinierte Hintertüren verlassen - Kivars und Pled. Bei diesem Werkzeugstapel kann es sich um völlig neue Kreationen oder stark modifizierte Varianten des vorherigen Werkzeugarrays handeln.
Um ihre bedrohlichen Aktivitäten besser zu verbergen und die Notwendigkeit zu vermeiden, hochentwickelte, speziell entwickelte Malware vollständig zu erstellen, hat BlackTech eine beträchtliche Anzahl von Tools mit doppeltem Verwendungszweck integriert. In dieser speziellen Kampagne wurden vier Programme eingesetzt, von denen eines WinRAR ist, ein weit verbreitetes Archivierungswerkzeug. Die anderen drei waren Putty, das für den Remotezugriff und die Datenexfiltration verwendet werden kann, SNScan, mit dem nach zusätzlichen potenziellen Zielen im Netzwerk des Unternehmens gesucht werden kann, und PSExec, ein legitimes Microsoft-Tool.
