Η εταιρεία Symantec ανέφερε ότι οι επιθέσεις εναντίον οργανισμών στις ΗΠΑ, την Ιαπωνία, την Ταϊβάν και την Κίνα πραγματοποιούνται με σκοπό την κλοπή πληροφοριών και έχουν συνδεθεί με μια ομάδα κατασκοπείας γνωστή ως Palmerworm – γνωστή και ως BlackTech – η οποία έχει ξεκινήσει από το 2013.
Σε ορισμένες περιπτώσεις, η ομάδα Palmerworm διατήρησε την παρουσία της σε παραβιασμένα δίκτυα για ένα χρόνο ή περισσότερο, συχνά με τη βοήθεια τακτικών που εκμεταλλεύονται νόμιμο λογισμικό και εργαλεία, ώστε να μην δημιουργούν υποψίες ότι κάτι μπορεί να πηγαίνει στραβά – και δημιουργώντας έτσι λιγότερα στοιχεία που μπορούν να χρησιμοποιηθούν για τον εντοπισμό της προέλευσης της επίθεσης.
Οι ερευνητές δεν μπόρεσαν να καθορίσουν πώς οι hackers αποκτούν πρόσβαση στο δίκτυο σε αυτόν τον τελευταίο γύρο επιθέσεων της Palmerworm, αλλά οι προηγούμενες εκστρατείες είχαν χρησιμοποιήσει την τακτική του phear-phishing για να θέσουν σε κίνδυνο τα θύματα.
Ωστόσο, είναι γνωστό ότι η ανάπτυξη του malware χρησιμοποιεί προσαρμοσμένους loaders και εργαλεία αναγνώρισης δικτύου παρόμοια με προηγούμενες καμπάνιες της Palmerworm, με τους ερευνητές να είναι «αρκετά σίγουροι» ότι είναι η ίδια ομάδα πίσω από αυτές τις επιθέσεις.
Το malware της Palmerworm χρησιμοποιεί επίσης κλεμμένα πιστοποιητικά υπογραφής κώδικα στα payloads για να τα κάνει να φαίνονται πιο νόμιμα. Αυτή η τακτική είναι επίσης γνωστό ότι είχε προηγουμένως αναπτυχθεί από την ομάδα.
Το malware παρέχει στους εισβολείς ένα μυστικό backdoor στο δίκτυο και η πρόσβαση διατηρείται με τη χρήση πολλών νόμιμων εργαλείων, συμπεριλαμβανομένων των PSExec και SNScan, τα οποία εκμεταλλεύονται για να μετακινηθούν σε όλο το δίκτυο χωρίς να εντοπιστούν. Εν τω μεταξύ, το WinRar χρησιμοποιείται για τη συμπίεση αρχείων, διευκολύνοντας την εξαγωγή από το δίκτυο των εισβολέων.
Η Symantec δεν έχει αποδώσει την Palmerworm κάπου συγκεκριμένα, αλλά αξιωματούχοι της Ταϊβάν ισχυρίστηκαν προηγουμένως ότι οι επιθέσεις μπορούν να συνδεθούν με την Κίνα. Εάν συμβαίνει αυτό, υποδηλώνει ότι οι Κινέζοι hackers έχουν στοχεύσει μια κινεζική εταιρεία στο πλαίσιο της εκστρατείας.
Ωστόσο, αυτό που είναι σίγουρο είναι ότι η ομάδα Palmerworm είναι απίθανο να σταματήσει να λειτουργεί και θα παραμείνει απειλή για πολλά χρόνια ακόμα.
Ενώ η φύση των προηγμένων καμπανιών hacking σημαίνει ότι μπορεί να είναι δύσκολο να εντοπιστούν, οι οργανισμοί μπορούν να προστατέψουν τον εαυτό τους, έχοντας μια σαφή εικόνα του δικτύου τους και τη γνώση της συνήθους και ασυνήθιστης δραστηριότητας – και τον αποκλεισμό ύποπτης δραστηριότητας αν είναι απαραίτητο.
