A Google Fenyegetéselemző Csoportja (TAG) kiadott egy jelentést, amely részletezi az APT43 nevű észak-koreai fenyegetettség elleni küzdelemre irányuló erőfeszítéseit, célpontjait és módszereit, valamint ismerteti a hackercsoport leküzdésére tett erőfeszítéseit. A TAG a jelentésben az APT43-ra ARCHIPELAGO néven hivatkozik. A jelentés szerint a csoport 2012 óta működik, és olyan személyeket céloz meg, akik szakértelemmel rendelkeznek olyan észak-koreai politikai kérdésekben, mint a szankciók, az emberi jogok és a non-proliferáció.
Ezek lehetnek kormányzati tisztviselők, katonaság, különböző agytrösztök tagjai, politikusok, tudósok és kutatók. Legtöbbjük dél-koreai állampolgárságú, de ez sem kivétel.
Az ARCHIPELAGO megtámadja ezeknek az embereknek a fiókját mind a Google-ban, mind más szolgáltatásokban. Különféle taktikákat alkalmaznak a felhasználói hitelesítő adatok ellopására, és zsarolóprogramokat, hátsó ajtókat vagy más rosszindulatú programokat telepítenek a megcélzott végpontokra.
Leginkább adathalászatot használnak. A levelezés néha napokig is eltarthat, mivel a támadó ismerős személynek vagy szervezetnek adja ki magát, és bizalmat épít a rosszindulatú program sikeres kézbesítéséhez e-mail mellékleten keresztül.
A Google azt mondta, hogy ez ellen úgy küzd, hogy újonnan felfedezett rosszindulatú webhelyeket és domaineket vesz fel a Biztonságos Böngészés funkcióba, értesíti a felhasználókat, hogy megcélozták őket, és felkéri őket, hogy regisztráljanak a Google Speciális Védelem Programba.
A hackerek megpróbáltak biztonságos PDF-fájlokat is elhelyezni a Google Drive-on rosszindulatú programokra mutató hivatkozásokkal, és úgy gondolják, hogy így elkerülhetik a víruskeresők általi észlelést. A Drive-on elhelyezett fájlnevekben rosszindulatú tartalmakat is kódoltak, miközben maguk a fájlok üresek voltak.
„A Google lépéseket tett annak érdekében, hogy leállítsa az ARCHIPELAGO fájlnevek használatát a Drive-on a rosszindulatú programok és parancsok kódolására. A csoport azóta már nem használja ezt a technikát a Drive-on” – mondta a Google.
Végül a támadók rosszindulatú Chrome-bővítményeket hoztak létre, amelyek lehetővé tették számukra a bejelentkezési adatok és a böngésző cookie-jainak ellopását. Ez arra késztette a Google-t, hogy javítsa a biztonságot a Chrome-bővítmények ökoszisztémájában, ami azt eredményezte, hogy a támadóknak először egy végpontot kell feltörniük, majd felül kell írniuk a Chrome beállításait és biztonsági beállításait, hogy rosszindulatú bővítményeket futtathassanak.
Szintén érdekes: