Skupina pro analýzu hrozeb (TAG) společnosti Google vydala zprávu, která podrobně popisuje své úsilí v boji proti severokorejskému aktérovi hrozeb zvanému APT43, jeho cíle a metody a vysvětluje úsilí, které vynaložila v boji proti hackerské skupině. TAG ve zprávě označuje APT43 jako ARCHIPELAGO. Tato skupina je aktivní od roku 2012 a zaměřuje se na jednotlivce se zkušenostmi v otázkách severokorejské politiky, jako jsou sankce, lidská práva a nešíření zbraní, uvádí zpráva.
Mohou to být vládní úředníci, vojáci, členové různých think-tanků, politici, vědci a výzkumníci. Většina z nich má jihokorejské občanství, ale není to výjimkou.
ARCHIPELAGO útočí na účty těchto lidí jak v Googlu, tak v jiných službách. Používají různé taktiky ke krádeži uživatelských přihlašovacích údajů a instalaci ransomwaru, zadních vrátek nebo jiného malwaru na cílené koncové body.
Většinou používají phishing. Někdy může korespondence trvat několik dní, protože útočník předstírá, že je známou osobou nebo organizací, a vybuduje si důvěru k úspěšnému doručení malwaru prostřednictvím přílohy e-mailu.
Google uvedl, že proti tomu bojuje přidáním nově objevených škodlivých webů a domén do Bezpečného prohlížení, upozorněním uživatelů, že byli cíleni, a pozváním k registraci do programu pokročilé ochrany Google.
Hackeři se také pokusili umístit zabezpečené soubory PDF s odkazy na malware na Disk Google, protože věřili, že se tak budou moci vyhnout detekci antivirovými programy. Do názvů souborů umístěných na Disku také zakódovali škodlivé datové části, zatímco samotné soubory byly prázdné.
„Google podnikl kroky k zastavení používání názvů souborů ARCHIPELAGO na Disku ke kódování dat a příkazů malwaru. Skupina od té doby přestala tuto techniku na Disku používat,“ uvedl Google.
Nakonec útočníci vytvořili škodlivá rozšíření Chrome, která jim umožnila ukrást přihlašovací údaje a soubory cookie prohlížeče. To přimělo Google ke zlepšení zabezpečení v ekosystému rozšíření Chrome, což vedlo k tomu, že útočníci nyní musí nejprve ohrozit koncový bod a poté přepsat nastavení a nastavení zabezpečení Chromu, aby mohli spustit škodlivá rozšíření.
Zajímavé také: