Googleova Grupa za analizu prijetnji (TAG) objavila je izvješće u kojem detaljno opisuje svoje napore u borbi protiv sjevernokorejskog aktera prijetnje zvanog APT43, njegove mete i metode te objašnjava napore koje je poduzela u borbi protiv hakerske skupine. TAG u izvješću naziva APT43 ARHIPELAGOM. Skupina je aktivna od 2012. godine i usmjerena je na pojedince sa ekspertizom u pitanjima politike Sjeverne Koreje kao što su sankcije, ljudska prava i neširenje oružja, stoji u izvješću.
To mogu biti državni službenici, vojska, članovi raznih think tankova, političari, znanstvenici i istraživači. Većina njih ima južnokorejsko državljanstvo, ali to nije iznimka.
ARHIPELAGO napada račune tih ljudi kako na Googleu tako i na drugim servisima. Koriste se raznim taktikama za krađu korisničkih vjerodajnica i instaliranje ransomwarea, backdoora ili drugog zlonamjernog softvera na ciljane krajnje točke.
Uglavnom koriste phishing. Ponekad dopisivanje može trajati danima jer se napadač pretvara da je poznata osoba ili organizacija i gradi povjerenje kako bi uspješno isporučio zlonamjerni softver putem privitka e-pošte.
Google je rekao da se protiv toga bori dodavanjem novootkrivenih zlonamjernih web stranica i domena u Sigurno pregledavanje, obavještavanjem korisnika da su ciljani i pozivanjem da se prijave za Googleov program napredne zaštite.
Hakeri su također pokušali staviti sigurne PDF datoteke s poveznicama na zlonamjerni softver na Google Drive, vjerujući da će na taj način izbjeći otkrivanje od strane antivirusnih programa. Također su kodirali zlonamjerne sadržaje u nazive datoteka postavljene na Drive, dok su same datoteke bile prazne.
“Google je poduzeo korake kako bi zaustavio upotrebu naziva datoteka ARCHIPELAGO na Disku za kodiranje sadržaja zlonamjernog softvera i naredbi. Grupa je od tada prestala koristiti ovu tehniku na Disku", rekao je Google.
Konačno, napadači su stvorili zlonamjerna proširenja za Chrome koja su im omogućila krađu vjerodajnica za prijavu i kolačića preglednika. To je potaknulo Google da poboljša sigurnost u ekosustavu proširenja Chromea, što je dovelo do toga da napadači sada prvo moraju kompromitirati krajnju točku, a zatim prebrisati Chromeove postavke i sigurnosne postavke za pokretanje zlonamjernih proširenja.
Također zanimljivo: