Η Ομάδα Ανάλυσης Απειλών (TAG) της Google κυκλοφόρησε μια έκθεση που περιγράφει λεπτομερώς τις προσπάθειές της για την καταπολέμηση ενός βορειοκορεατικού παράγοντα απειλής που ονομάζεται APT43, τους στόχους και τις μεθόδους του και εξηγεί τις προσπάθειες που έχει κάνει για την καταπολέμηση της ομάδας χάκερ. Το TAG αναφέρεται στο APT43 ως ΑΡΧΙΠΕΛΑΓΟΣ στην αναφορά. Η ομάδα δραστηριοποιείται από το 2012 και στοχεύει άτομα με εξειδίκευση σε θέματα βορειοκορεατικής πολιτικής, όπως κυρώσεις, ανθρώπινα δικαιώματα και μη διάδοση, ανέφερε η έκθεση.
Αυτοί μπορεί να είναι κυβερνητικοί αξιωματούχοι, στρατιωτικοί, μέλη διαφόρων δεξαμενών σκέψης, πολιτικοί, επιστήμονες και ερευνητές. Οι περισσότεροι από αυτούς έχουν νοτιοκορεατική υπηκοότητα, αλλά αυτό δεν αποτελεί εξαίρεση.
Το ΑΡΧΙΠΕΛΑΓΟ επιτίθεται στους λογαριασμούς αυτών των ατόμων τόσο στο Google όσο και σε άλλες υπηρεσίες. Χρησιμοποιούν διάφορες τακτικές για να κλέψουν διαπιστευτήρια χρηστών και να εγκαταστήσουν ransomware, backdoors ή άλλο κακόβουλο λογισμικό σε στοχευμένα τελικά σημεία.
Κυρίως χρησιμοποιούν phishing. Μερικές φορές η αλληλογραφία μπορεί να διαρκέσει για μέρες καθώς ο εισβολέας προσποιείται ότι είναι οικείο άτομο ή οργανισμός και οικοδομεί εμπιστοσύνη για την επιτυχή παράδοση του κακόβουλου λογισμικού μέσω ενός συνημμένου ηλεκτρονικού ταχυδρομείου.
Η Google είπε ότι το καταπολεμά αυτό προσθέτοντας κακόβουλους ιστότοπους και τομείς που ανακαλύφθηκαν πρόσφατα στην Ασφαλή περιήγηση, ειδοποιώντας τους χρήστες ότι έχουν στοχοποιηθεί και προσκαλώντας τους να εγγραφούν στο Πρόγραμμα Προηγμένης Προστασίας της Google.
Οι χάκερ προσπάθησαν επίσης να τοποθετήσουν ασφαλή αρχεία PDF με συνδέσμους σε κακόβουλο λογισμικό στο Google Drive, πιστεύοντας ότι με αυτόν τον τρόπο θα μπορούσαν να αποφύγουν τον εντοπισμό από προγράμματα προστασίας από ιούς. Κωδικοποίησαν επίσης κακόβουλα ωφέλιμα φορτία σε ονόματα αρχείων που τοποθετήθηκαν στο Drive, ενώ τα ίδια τα αρχεία ήταν άδεια.
«Η Google έχει λάβει μέτρα για να σταματήσει τη χρήση ονομάτων αρχείων ARCHIPELAGO στο Drive για την κωδικοποίηση ωφέλιμων φορτίων και εντολών κακόβουλου λογισμικού. Η ομάδα έκτοτε σταμάτησε να χρησιμοποιεί αυτήν την τεχνική στο Drive», είπε η Google.
Τέλος, οι εισβολείς δημιούργησαν κακόβουλες επεκτάσεις του Chrome που τους επέτρεψαν να κλέψουν τα διαπιστευτήρια σύνδεσης και τα cookies του προγράμματος περιήγησης. Αυτό ώθησε την Google να βελτιώσει την ασφάλεια στο οικοσύστημα επεκτάσεων του Chrome, με αποτέλεσμα οι εισβολείς να πρέπει τώρα να παραβιάσουν πρώτα ένα τελικό σημείο και στη συνέχεια να αντικαταστήσουν τις ρυθμίσεις και τις ρυθμίσεις ασφαλείας του Chrome για να εκτελέσουν κακόβουλες επεκτάσεις.
Επίσης ενδιαφέρον: