BlackTech

Description de BlackTech

BlackTech est le nom donné à un groupe de pirates informatiques Advanced Persistent Threat (APT). Le même groupe peut également être rencontré sous le nom de Palmerworm. Les experts d'Infosec ont remarqué les activités de ce collectif de hackers pour la première fois en 2013. Depuis lors, BlackTech a mené plusieurs campagnes d'attaque menaçantes contre des cibles situées en Asie de l'Est. La longue période d'observation a permis aux chercheurs en sécurité de créer une image assez détaillée des schémas d'attaque de BlackTech, des outils malveillants préférés et des procédures les plus couramment utilisées. À la base, les opérations de BlackTech sont concentrées sur l'espionnage, l'exploration de données d'entreprise et l'exfiltration d'informations. BlackTech est très probablement parrainé par l'État, les responsables taïwanais déclarant qu'ils pensent que les pirates sont soutenus publiquement par la Chine.

BlackTech étend sa portée

Cependant, la dernière campagne détectée qui peut être attribuée à ce groupe ATP montre que les pirates pourraient étendre leur gamme de cibles et s'aventurer dans des opérations au-delà des régions précédemment observées. Alors que la plupart des cibles étaient toujours situées dans la même région d'Asie de l'Est, avec trois sociétés - médias, électronique et finance, de Taïwan, une société d'ingénierie du Japon et une société de construction de Chine, BlackTech a également réussi à infiltrer une société en les Etats Unis

Selon le chercheur, les pirates de BlackTech ont passé un temps considérable à se cacher dans les réseaux de certaines de leurs victimes - le réseau de la société de médias a été compromis pendant un an, tandis que les sociétés de construction et de financement avaient leurs réseaux infiltrés pendant plusieurs mois. Dans le même temps, les hackers n'ont passé que quelques jours dans le réseau d'une société d'ingénierie japonaise et quelques semaines dans une société d'électronique. La victime américaine non identifiée avait un réseau compromis pendant six mois.

BlackTech s'appuie sur des logiciels malveillants personnalisés et des programmes à double usage

Dans le cadre de la dernière campagne d'attaque, quatre menaces de logiciels malveillants de porte dérobée nouvellement conçues, nommées Consock, Waship, Dalwit et Nomri, ont été identifiées comme étant en cours d'utilisation. Auparavant, BlackTech s'appuyait sur deux autres portes dérobées personnalisées - Kivars et Pled . Ce lot d'outils peut être des créations entièrement nouvelles ou des variantes fortement modifiées de la gamme d'outils précédente.

Pour mieux masquer leur activité menaçante et éviter de créer entièrement des logiciels malveillants sophistiqués spécialement conçus, BlackTech a incorporé une quantité considérable d'outils à double usage. Dans cette campagne, quatre programmes ont été utilisés, dont WinRAR, un outil d'archivage largement utilisé. Les trois autres étaient Putty, qui peut être utilisé pour l'accès à distance et l'exfiltration de données, SNScan qui peut être utilisé pour rechercher des cibles potentielles supplémentaires au sein du réseau de l'organisation, et PSExec, un outil Microsoft légitime.