Google-ova grupa za analizu prijetnji (TAG) objavila je izvještaj u kojem se detaljno opisuju njeni napori u borbi protiv sjevernokorejskog aktera prijetnje zvanog APT43, njegove mete i metode, te objašnjava napore koje je uložio u borbu protiv hakerske grupe. TAG se u izvještaju odnosi na APT43 kao ARHIPELAGO. Grupa je aktivna od 2012. godine i cilja na pojedince sa ekspertizom u pitanjima politike Sjeverne Koreje kao što su sankcije, ljudska prava i neproliferacija, navodi se u izvještaju.
To mogu biti državni službenici, vojska, članovi različitih think tankova, političari, naučnici i istraživači. Većina njih ima južnokorejsko državljanstvo, ali to nije izuzetak.
ARCHIPELAGO napada naloge ovih ljudi kako na Google-u tako i na drugim servisima. Koriste različite taktike da ukradu korisničke vjerodajnice i instaliraju ransomware, backdoor ili drugi zlonamjerni softver na ciljane krajnje točke.
Uglavnom koriste phishing. Ponekad prepiska može trajati danima jer se napadač pretvara da je poznata osoba ili organizacija i gradi povjerenje kako bi uspješno isporučio zlonamjerni softver putem priloga e-pošte.
Google je rekao da se bori protiv toga tako što dodaje novootkrivene zlonamjerne web stranice i domene u Sigurno pregledavanje, obavještava korisnike da su ciljani i poziva ih da se prijave za Googleov program napredne zaštite.
Hakeri su također pokušali postaviti sigurne PDF datoteke sa linkovima do malvera na Google Drive, vjerujući da će na taj način izbjeći otkrivanje od strane antivirusnih programa. Oni su također kodirali zlonamjerne sadržaje u nazivima datoteka postavljenim na Drive, dok su sami fajlovi bili prazni.
“Google je poduzeo korake da zaustavi upotrebu naziva datoteka ARCHIPELAGO na Disku za kodiranje korisnih sadržaja i komandi zlonamjernog softvera. Grupa je od tada prestala da koristi ovu tehniku na Drive-u", rekao je Google.
Konačno, napadači su kreirali zlonamjerne Chrome ekstenzije koje su im omogućile da ukradu vjerodajnice za prijavu i kolačiće pretraživača. Ovo je navelo Google da poboljša sigurnost u ekosistemu Chrome ekstenzija, što je rezultiralo time da napadači sada moraju prvo kompromitovati krajnju tačku, a zatim prepisati Chromeove postavke i sigurnosne postavke kako bi pokrenuli zlonamjerne ekstenzije.
Također zanimljivo: