Kínai kiberkémek a légi közlekedésben és az egészségügyben

A csoport leginkább „nulladik napi” típusú támadásokat folytat a Symantec által azonosított – és más csoportok által is használt – Elderwood rendszeren keresztül. A Black Vine olyan legitim weboldalakat fertőz meg támadásai során, amelyek érdekesek lehetnek a célszemélyek számára, illetve watering-hole (lesből vadászat) támadások formájában technológiai témájú adathalász e-mailek segítségével próbálják a feltört weboldalakra irányítani az internet-használókat. Sikeres támadás esetén a Black Vine egyedileg fejlesztett rosszindulatú programjai távolról hozzáférhetővé teszik a kiszemelt számítógépet. A Hurix és a Sakurel (mindkettő Trojan.Sakurel néven ismerhető fel), valamint a Mivast (Backdoor.Mivast) kártevők egy hátsó ajtó (backdoor) megnyitásával segítik az értékes adatok ellopását az áldozatok számítógépeiről. A programok ezenkívül fájlok létrehozását és parancsok végrehajtását, illetve a regisztrációs kulcsok törlését, módosítását és létrehozását is lehetővé teszik.

Az IP-címek elemzése közben a Symantec szakemberei számos országban azonosították a Black Vine-csoport áldozatait. Közülük is kiemelkedik az Egyesült Államok, amelyet Kína, Kanada és India követ. A csoport európai vállalatok ellen is intézett támadásokat, leginkább Olaszországban és Dániában.

A Black Vine által leginkább támadott iparágak:

• repülés
• egészségügy
• energiaipar (főként gáz- és villamosturbina-gyártók)
• katonai és védelmi ipar
• pénzügy
• mezőgazdaság
• technológia

A Black Vine félelmetes, tetemes anyagiakkal rendelkező csoport, amelynek minden felszerelés a rendelkezésére áll a kibertámadások, ipari kémkedések sikeres végrehajtásához. Egy blogbejegyzés szerint az amerikai egészségbiztosító elleni támadáshoz használt infrastruktúra nagy valószínűséggel kínai eredetű. A támadások és a szabadon hozzáférhető adatok elemzésekor a Symantec szakemberei kapcsolatot találtak a Black Vine és egy pekingi IT-biztonsági szervezet, a Topsec között. A gyanút erősíti, hogy a csoport kiberkémkedéssel összefüggésbe hozható más szereplővel is kapcsolatban áll, erős anyagi háttérrel rendelkezik, jól szervezett, és legalább néhány tagjának volt vagy jelenleg is van valamilyen kapcsolata a Topsec szervezettel.