Grupi i Analizës së Kërcënimeve të Google (TAG) ka publikuar një raport duke detajuar përpjekjet e tij për të luftuar një aktor të kërcënimit të Koresë së Veriut të quajtur APT43, objektivat dhe metodat e tij, dhe duke shpjeguar përpjekjet që ka bërë për të luftuar grupin e hakerëve. TAG i referohet APT43 si ARKIPELAGO në raport. Grupi ka qenë aktiv që nga viti 2012 dhe synon individë me ekspertizë në çështjet e politikës së Koresë së Veriut si sanksionet, të drejtat e njeriut dhe mospërhapja, thuhet në raport.
Këta mund të jenë zyrtarë qeveritarë, ushtarakë, anëtarë të grupeve të ndryshme të mendimit, politikanë, shkencëtarë dhe studiues. Shumica e tyre kanë nënshtetësi të Koresë së Jugut, por ky nuk është përjashtim.
ARCHIPELAGO sulmon llogaritë e këtyre njerëzve si në Google ashtu edhe në shërbime të tjera. Ata përdorin taktika të ndryshme për të vjedhur kredencialet e përdoruesve dhe për të instaluar ransomware, backdoors ose malware të tjerë në pikat fundore të synuara.
Kryesisht ata përdorin phishing. Ndonjëherë korrespondenca mund të zgjasë me ditë pasi sulmuesi pretendon të jetë një person ose organizatë e njohur dhe ndërton besimin për të shpërndarë me sukses malware-in përmes një bashkëngjitjeje emaili.
Google tha se po e lufton këtë duke shtuar uebsajte dhe domene me qëllim të keq të zbuluar rishtazi në Shfletimin e Sigurt, duke njoftuar përdoruesit se janë synuar dhe duke i ftuar ata të regjistrohen në Programin e Mbrojtjes së Avancuar të Google.
Hakerët janë përpjekur gjithashtu të vendosin skedarë të sigurt PDF me lidhje me malware në Google Drive, duke besuar se në këtë mënyrë ata do të ishin në gjendje të shmangnin zbulimin nga programet antivirus. Ata gjithashtu koduan ngarkesa me qëllim të keq në emrat e skedarëve të vendosur në Drive, ndërsa vetë skedarët ishin bosh.
“Google ka ndërmarrë hapa për të ndaluar përdorimin e emrave të skedarëve ARCHIPELAGO në Drive për të koduar ngarkesat dhe komandat e malware. Që atëherë, grupi ka ndaluar përdorimin e kësaj teknike në Drive, "tha Google.
Më në fund, sulmuesit krijuan shtesa me qëllim të keq të Chrome që i lejuan ata të vidhnin kredencialet e hyrjes dhe kukitë e shfletuesit. Kjo e shtyu Google të përmirësonte sigurinë në ekosistemin shtesë të Chrome, duke rezultuar që sulmuesit tani duhet të komprometojnë fillimisht një pikë fundore dhe më pas të mbishkruajnë cilësimet dhe cilësimet e sigurisë së Chrome për të ekzekutuar shtesa me qëllim të keq.
Gjithashtu interesante: