Групата за анализ на заплахите (TAG) на Google публикува доклад, в който подробно описва усилията си за борба със севернокорейския заплашващ актьор, наречен APT43, неговите цели и методи и обяснява усилията, които е положила за борба с хакерската група. TAG се отнася до APT43 като АРХИПЕЛАГ в доклада. Групата е активна от 2012 г. и е насочена към лица с опит в политиката на Северна Корея като санкции, човешки права и неразпространение, се казва в доклада.
Това могат да бъдат държавни служители, военни, членове на различни мозъчни тръстове, политици, учени и изследователи. Повечето от тях имат южнокорейско гражданство, но това не е изключение.
АРХИПЕЛАГ атакува акаунтите на тези хора както в Google, така и в други услуги. Те използват различни тактики за кражба на потребителски идентификационни данни и инсталиране на рансъмуер, задни вратички или друг зловреден софтуер на целеви крайни точки.
Най-често използват фишинг. Понякога кореспонденцията може да продължи с дни, тъй като нападателят се представя за познат човек или организация и изгражда доверие, за да достави успешно зловредния софтуер чрез прикачен файл към имейл.
Google каза, че се бори с това, като добавя новооткрити злонамерени уебсайтове и домейни към Безопасно сърфиране, уведомява потребителите, че са били насочени, и ги кани да се регистрират в Програмата за разширена защита на Google.
Хакерите също се опитаха да поставят защитени PDF файлове с връзки към зловреден софтуер в Google Drive, вярвайки, че по този начин ще могат да избегнат откриването от антивирусни програми. Те също кодираха злонамерени полезни натоварвания в имена на файлове, поставени на Диск, докато самите файлове бяха празни.
„Google предприе стъпки, за да спре използването на файлови имена на ARCHIPELAGO в Диск за кодиране на злонамерен софтуер и команди. Оттогава групата е спряла да използва тази техника в Drive", каза Google.
И накрая, нападателите създадоха злонамерени разширения на Chrome, които им позволиха да откраднат идентификационни данни за вход и бисквитки на браузъра. Това накара Google да подобри сигурността в екосистемата за разширения на Chrome, в резултат на което нападателите трябва първо да компрометират крайна точка и след това да презапишат настройките на Chrome и настройките за сигурност, за да стартират злонамерени разширения.
Също интересно: