BlackTech
BlackTech es el nombre que se le da a un grupo de hackers de amenazas persistentes avanzadas (APT). El mismo grupo también se puede encontrar bajo el nombre Palmerworm. Los expertos de Infosec notaron por primera vez las actividades de este colectivo de hackers en particular en 2013. Desde entonces, BlackTech ha llevado a cabo varias campañas de ataques amenazantes contra objetivos ubicados en el este de Asia. El largo período de observación ha permitido a los investigadores de seguridad crear una imagen bastante detallada de los patrones de ataque de BlackTech, las herramientas de malware preferidas y los procedimientos más utilizados. En esencia, las operaciones de BlackTech se concentran en el espionaje, la extracción de datos corporativos y la exfiltración de información. Lo más probable es que BlackTech esté patrocinado por el estado, y los funcionarios taiwaneses afirman que creen que los piratas informáticos cuentan con el respaldo público de China.
BlackTech amplía su alcance
Sin embargo, la última campaña detectada que se puede atribuir a este grupo de ATP muestra que los piratas informáticos podrían estar expandiendo su rango de objetivos y aventurándose en operaciones más allá de las regiones previamente observadas. Si bien la mayoría de los objetivos todavía estaban ubicados en la misma región de Asia Oriental, con tres empresas: medios, electrónica y finanzas, de Taiwán, una empresa de ingeniería de Japón y una empresa de construcción de China, BlackTech también logró infiltrarse en una empresa en los Estados Unidos
Según el investigador, los piratas informáticos de BlackTech han pasado una cantidad considerable de tiempo al acecho en las redes de algunas de sus víctimas: la red de la empresa de medios estuvo comprometida durante un año, mientras que las empresas constructoras y financieras tenían sus redes infiltradas por varios meses. Al mismo tiempo, los piratas informáticos pasaron solo un par de días dentro de la red de una empresa de ingeniería japonesa y solo varias semanas dentro de una empresa de electrónica. La víctima estadounidense no identificada tuvo su red comprometida durante seis meses.
BlackTech se basa en herramientas de malware personalizadas y programas de doble uso
Como parte de la última campaña de ataque, se detectaron en uso cuatro amenazas de malware de puerta trasera recientemente creadas llamadas Consock, Waship, Dalwit y Nomri . Anteriormente, BlackTech se había basado en otras dos puertas traseras personalizadas: Kivars y Pled . Este lote de herramientas puede ser creaciones completamente nuevas o variantes muy modificadas de la gama de herramientas anterior.
Para ocultar mejor su actividad amenazante y evitar por completo la necesidad de crear software malicioso sofisticado especialmente diseñado, BlackTech ha incorporado una cantidad considerable de herramientas de doble uso. En esta campaña en particular, se emplearon cuatro programas, uno de los cuales es WinRAR, una herramienta de archivo ampliamente utilizada. Los otros tres fueron Putty, que se puede usar para acceso remoto y exfiltración de datos, SNScan que se puede usar para buscar objetivos potenciales adicionales dentro de la red de la organización, y PSExec, una herramienta legítima de Microsoft.
