Googles Threat Analysis Group (TAG) har udgivet en rapport, der beskriver dens indsats for at bekæmpe en nordkoreansk trusselsaktør kaldet APT43, dens mål og metoder og forklarer den indsats, den har gjort for at bekæmpe hackergruppen. TAG refererer til APT43 som ARCHIPELAGO i rapporten. Gruppen har været aktiv siden 2012 og retter sig mod personer med ekspertise i nordkoreanske politiske spørgsmål såsom sanktioner, menneskerettigheder og ikke-spredning, hedder det i rapporten.
Det kan være embedsmænd, militære, medlemmer af forskellige tænketanke, politikere, videnskabsmænd og forskere. De fleste af dem har sydkoreansk statsborgerskab, men dette er ikke en undtagelse.
ARCHIPELAGO angriber disse personers konti både i Google og i andre tjenester. De bruger forskellige taktikker til at stjæle brugeroplysninger og installere ransomware, bagdøre eller anden malware på målrettede slutpunkter.
For det meste bruger de phishing. Nogle gange kan korrespondancen vare i dagevis, da angriberen foregiver at være en kendt person eller organisation og opbygger tillid til at kunne levere malwaren via en vedhæftet fil i e-mail.
Google sagde, at det bekæmper dette ved at tilføje nyopdagede ondsindede websteder og domæner til Safe Browsing, underrette brugere om, at de er blevet målrettet, og invitere dem til at tilmelde sig Googles Avancerede Beskyttelsesprogram.
Hackere har også forsøgt at placere sikre PDF-filer med links til malware på Google Drev, idet de tror, at de på denne måde ville være i stand til at undgå opdagelse af antivirusprogrammer. De kodede også ondsindede nyttelast i filnavne placeret på Drev, mens selve filerne var tomme.
"Google har taget skridt til at stoppe brugen af ARCHIPELAGO-filnavne på Drev til at kode malware-nyttelaster og -kommandoer. Gruppen er siden holdt op med at bruge denne teknik på Drev," sagde Google.
Endelig skabte angribere ondsindede Chrome-udvidelser, der gjorde det muligt for dem at stjæle loginoplysninger og browsercookies. Dette fik Google til at forbedre sikkerheden i Chrome-udvidelsens økosystem, hvilket resulterede i, at hackere nu først skal kompromittere et slutpunkt og derefter overskrive Chromes indstillinger og sikkerhedsindstillinger for at køre ondsindede udvidelser.
Også interessant: