Google draudu analīzes grupa (TAG) ir publicējusi ziņojumu, kurā sīki aprakstīti tās centieni apkarot Ziemeļkorejas draudu dalībnieku APT43, tā mērķi un metodes, kā arī izskaidroti centieni, kas veikti, lai apkarotu hakeru grupu. TAG ziņojumā atsaucas uz APT43 kā ARCHIPELAGO. Grupa darbojas kopš 2012.gada un ir vērsta uz personām, kurām ir pieredze Ziemeļkorejas politikas jautājumos, piemēram, sankcijās, cilvēktiesībās un ieroču neizplatīšanā, teikts ziņojumā.
Tie var būt valsts amatpersonas, militārpersonas, dažādu ideju laboratoriju dalībnieki, politiķi, zinātnieki un pētnieki. Lielākajai daļai no viņiem ir Dienvidkorejas pilsonība, taču tas nav izņēmums.
ARCHIPELAGO uzbrūk šo cilvēku kontiem gan Google, gan citos pakalpojumos. Viņi izmanto dažādas taktikas, lai nozagtu lietotāju akreditācijas datus un mērķa galapunktos instalētu izspiedējvīrusu, aizmugures durvis vai citu ļaunprātīgu programmatūru.
Lielākoties viņi izmanto pikšķerēšanu. Dažreiz sarakste var ilgt vairākas dienas, jo uzbrucējs izliekas par pazīstamu personu vai organizāciju un veido uzticību, lai veiksmīgi piegādātu ļaunprātīgu programmatūru, izmantojot e-pasta pielikumu.
Google paziņoja, ka cīnās ar to, pievienojot Drošai pārlūkošanai jaunatklātas ļaunprātīgas vietnes un domēnus, paziņojot lietotājiem, ka tie ir mērķēti, un aicinot reģistrēties Google papildu aizsardzības programmai.
Hakeri ir arī mēģinājuši Google diskā ievietot drošus PDF failus ar saitēm uz ļaunprātīgu programmatūru, uzskatot, ka tādā veidā viņi varēs izvairīties no pretvīrusu programmu atklāšanas. Viņi arī kodēja ļaunprātīgas slodzes failu nosaukumos, kas ievietoti Diskā, kamēr paši faili bija tukši.
"Google ir veicis pasākumus, lai apturētu ARCHIPELAGO failu nosaukumu izmantošanu Diskā, lai kodētu ļaunprātīgas programmatūras slodzes un komandas. Kopš tā laika grupa ir pārtraukusi izmantot šo paņēmienu pakalpojumā Disks, ”sacīja Google.
Visbeidzot, uzbrucēji izveidoja ļaunprātīgus Chrome paplašinājumus, kas ļāva viņiem nozagt pieteikšanās akreditācijas datus un pārlūkprogrammas sīkfailus. Tas mudināja Google uzlabot drošību Chrome paplašinājumu ekosistēmā, kā rezultātā uzbrucējiem tagad vispirms ir jākompromitē galapunkts un pēc tam jāpārraksta Chrome iestatījumi un drošības iestatījumi, lai palaistu ļaunprātīgus paplašinājumus.
Interesanti arī: