Googles Threat Analysis Group (TAG) har gitt ut en rapport som beskriver deres innsats for å bekjempe en nordkoreansk trusselaktør kalt APT43, dens mål og metoder, og forklarer innsatsen den har gjort for å bekjempe hackergruppen. TAG refererer til APT43 som ARCHIPELAGO i rapporten. Gruppen har vært aktiv siden 2012 og retter seg mot personer med ekspertise i nordkoreanske politiske spørsmål som sanksjoner, menneskerettigheter og ikke-spredning, heter det i rapporten.
Dette kan være myndighetspersoner, militære, medlemmer av ulike tenketanker, politikere, vitenskapsmenn og forskere. De fleste av dem har sørkoreansk statsborgerskap, men dette er ikke et unntak.
ARCHIPELAGO angriper kontoene til disse personene både i Google og i andre tjenester. De bruker ulike taktikker for å stjele brukerlegitimasjon og installere løsepengeprogramvare, bakdører eller annen skadelig programvare på målrettede endepunkter.
Stort sett bruker de phishing. Noen ganger kan korrespondansen vare i flere dager ettersom angriperen utgir seg for å være en kjent person eller organisasjon og bygger tillit til å levere skadevare via et e-postvedlegg.
Google sa at de bekjemper dette ved å legge til nyoppdagede ondsinnede nettsteder og domener til Safe Browsing, varsle brukere om at de har blitt målrettet, og invitere dem til å registrere seg for Google Advanced Protection Program.
Hackere har også forsøkt å plassere sikre PDF-filer med lenker til skadelig programvare på Google Drive, i troen på at de på denne måten ville kunne unngå oppdagelse av antivirusprogrammer. De kodet også ondsinnede nyttelaster i filnavn plassert på Disk, mens selve filene var tomme.
«Google har tatt skritt for å stoppe bruken av ARCHIPELAGO-filnavn på Disk for å kode nyttelaster og kommandoer for skadelig programvare. Gruppen har siden sluttet å bruke denne teknikken på Disk," sa Google.
Til slutt opprettet angripere ondsinnede Chrome-utvidelser som tillot dem å stjele påloggingsinformasjon og nettleserinformasjonskapsler. Dette fikk Google til å forbedre sikkerheten i Chrome-utvidelsens økosystem, noe som resulterte i at angripere nå først må kompromittere et endepunkt og deretter overskrive Chromes innstillinger og sikkerhetsinnstillinger for å kjøre skadelige utvidelser.
Også interessant: