קבוצת ניתוח האיומים של גוגל (TAG) פרסמה דו"ח המפרט את מאמציה להילחם בשחקן איומים צפון קוריאני בשם APT43, המטרות והשיטות שלה, ומסביר את המאמצים שעשתה כדי להילחם בקבוצת הפריצה. TAG מתייחס ל-APT43 כ-ARCHIPELAGO בדוח. הקבוצה פעילה מאז 2012 ומכוונת לאנשים עם מומחיות בנושאי מדיניות צפון קוריאה כמו סנקציות, זכויות אדם ואי-הפצה, נכתב בדו"ח.
אלה יכולים להיות פקידי ממשל, צבא, חברי צוותי חשיבה שונים, פוליטיקאים, מדענים וחוקרים. לרובם יש אזרחות דרום קוריאנית, אבל זה לא יוצא דופן.
ARCHIPELAGO תוקפת את החשבונות של האנשים האלה הן בגוגל והן בשירותים אחרים. הם משתמשים בטקטיקות שונות כדי לגנוב אישורי משתמש ולהתקין תוכנות כופר, דלתות אחוריות או תוכנות זדוניות אחרות בנקודות קצה ממוקדות.
לרוב הם משתמשים בהתחזות. לפעמים ההתכתבות יכולה להימשך ימים שלמים כאשר התוקף מעמיד פנים שהוא אדם או ארגון מוכר ובונה אמון כדי להעביר בהצלחה את התוכנה הזדונית באמצעות קובץ מצורף בדוא"ל.
גוגל מסרה כי היא נלחמת בכך על ידי הוספת אתרים ודומיינים זדוניים שהתגלו לאחרונה לגלישה בטוחה, הודעה למשתמשים על כך שהם ממוקדים, והזמנתם להירשם לתוכנית ההגנה המתקדמת של Google.
האקרים גם ניסו למקם קבצי PDF מאובטחים עם קישורים לתוכנות זדוניות ב-Google Drive, מתוך אמונה שכך הם יוכלו להימנע מזיהוי על ידי תוכניות אנטי-וירוס. הם גם קידודו מטענים זדוניים בשמות קבצים שהוצבו ב-Drive, בזמן שהקבצים עצמם היו ריקים.
"גוגל נקטה צעדים כדי להפסיק את השימוש בשמות קבצים של ARCHIPELAGO ב-Drive כדי לקודד מטענים ופקודות של תוכנות זדוניות. מאז, הקבוצה הפסיקה להשתמש בטכניקה הזו ב-Drive", אמרה גוגל.
לבסוף, התוקפים יצרו הרחבות זדוניות של Chrome שאפשרו להם לגנוב אישורי כניסה וקובצי Cookie של הדפדפן. זה גרם לגוגל לשפר את האבטחה במערכת האקולוגית של תוסף Chrome, וכתוצאה מכך התוקפים צריכים כעת קודם להתפשר על נקודת קצה ולאחר מכן להחליף את ההגדרות והגדרות האבטחה של Chrome כדי להפעיל תוספים זדוניים.
מעניין גם: