Googlova skupina za analizo groženj (TAG) je izdala poročilo, v katerem podrobno opisuje svoja prizadevanja za boj proti severnokorejskemu akterju grožnje, imenovanemu APT43, njegove cilje in metode ter pojasnjuje prizadevanja, ki jih je vložila v boj proti hekerski skupini. TAG v poročilu APT43 označuje kot ARCHIPELAGO. Skupina je dejavna od leta 2012 in cilja na posameznike s strokovnim znanjem o vprašanjih severnokorejske politike, kot so sankcije, človekove pravice in neširjenje orožja, piše v poročilu.
To so lahko državni uradniki, vojska, člani različnih think tankov, politiki, znanstveniki in raziskovalci. Večina jih ima južnokorejsko državljanstvo, vendar to ni izjema.
ARCHIPELAGO napade račune teh ljudi tako v Googlu kot v drugih storitvah. Uporabljajo različne taktike za krajo uporabniških poverilnic in nameščanje izsiljevalske programske opreme, stranskih vrat ali druge zlonamerne programske opreme na ciljne končne točke.
Večinoma uporabljajo lažno predstavljanje. Včasih lahko dopisovanje traja več dni, saj se napadalec pretvarja, da je znana oseba ali organizacija, in gradi zaupanje, da uspešno dostavi zlonamerno programsko opremo prek e-poštne priloge.
Google je dejal, da se proti temu bori z dodajanjem na novo odkritih zlonamernih spletnih mest in domen v Varno brskanje, obveščanjem uporabnikov, da so bili ciljni, in povabilom, da se prijavijo v Googlov program napredne zaščite.
Hekerji so tudi poskušali namestiti varne datoteke PDF s povezavami do zlonamerne programske opreme na Google Drive, saj so verjeli, da se bodo tako lahko izognili odkrivanju protivirusnih programov. Prav tako so zakodirali zlonamerno koristno vsebino v imena datotek, ki so bile postavljene na Drive, medtem ko so bile same datoteke prazne.
»Google je sprejel ukrepe za ustavitev uporabe imen datotek ARCHIPELAGO v storitvi Drive za kodiranje tovora zlonamerne programske opreme in ukazov. Skupina je od takrat prenehala uporabljati to tehniko v storitvi Drive,« je dejal Google.
Nazadnje so napadalci ustvarili zlonamerne razširitve za Chrome, ki so jim omogočile krajo poverilnic za prijavo in piškotkov brskalnika. To je Google spodbudilo k izboljšanju varnosti v ekosistemu razširitev za Chrome, zaradi česar morajo napadalci zdaj najprej ogroziti končno točko in nato prepisati Chromove nastavitve in varnostne nastavitve za zagon zlonamernih razširitev.
Zanimivo tudi: