گروه تحلیل تهدیدات گوگل (TAG) گزارشی را منتشر کرده است که در آن جزئیات تلاش های خود برای مبارزه با یک عامل تهدید کره شمالی به نام APT43، اهداف و روش های آن، و توضیح تلاش هایی که برای مبارزه با این گروه هکر انجام داده است، منتشر کرده است. TAG در این گزارش به APT43 به عنوان ARCHIPELAGO اشاره می کند. در این گزارش آمده است که این گروه از سال 2012 فعال بوده است و افراد متخصص در مسائل سیاست کره شمالی مانند تحریم ها، حقوق بشر و عدم اشاعه را هدف قرار می دهد.
این افراد می توانند مقامات دولتی، نظامیان، اعضای اندیشکده های مختلف، سیاستمداران، دانشمندان و محققان باشند. اکثر آنها تابعیت کره جنوبی دارند، اما این یک استثنا نیست.
ARCHIPELAGO به حساب های این افراد هم در گوگل و هم در سرویس های دیگر حمله می کند. آنها از تاکتیکهای مختلفی برای سرقت اطلاعات کاربری و نصب باجافزار، دربهای پشتی یا سایر بدافزارها در نقاط پایانی مورد نظر استفاده میکنند.
بیشتر آنها از فیشینگ استفاده می کنند. گاهی اوقات مکاتبات ممکن است برای روزها طول بکشد زیرا مهاجم وانمود می کند که یک شخص یا سازمان آشنا است و اعتماد ایجاد می کند تا بدافزار را با موفقیت از طریق یک پیوست ایمیل تحویل دهد.
گوگل اعلام کرد که با افزودن وبسایتها و دامنههای مخرب تازه کشفشده به «مرور ایمن»، آگاه کردن کاربران از هدف قرار گرفتن آنها و دعوت از آنها برای ثبتنام در «برنامه حفاظت پیشرفته Google» با این موضوع مبارزه میکند.
هکرها همچنین سعی کردهاند فایلهای PDF امن را با پیوندهایی به بدافزار در گوگل درایو قرار دهند و معتقدند که از این طریق میتوانند از شناسایی توسط برنامههای ضد ویروس جلوگیری کنند. آنها همچنین بارهای مخرب را در نام فایل های قرار داده شده در Drive رمزگذاری کردند، در حالی که خود فایل ها خالی بودند.
«گوگل اقداماتی را برای توقف استفاده از نام فایلهای ARCHIPELAGO در Drive برای رمزگذاری محمولهها و دستورات بدافزار انجام داده است. گوگل از آن زمان استفاده از این تکنیک را در Drive متوقف کرده است.
در نهایت، مهاجمان پسوندهای مخرب کروم را ایجاد کردند که به آنها اجازه می داد اعتبار ورود و کوکی های مرورگر را به سرقت ببرند. این امر باعث شد تا گوگل امنیت اکوسیستم افزونه کروم را بهبود بخشد، در نتیجه مهاجمان اکنون مجبورند ابتدا یک نقطه پایانی را به خطر بیاندازند و سپس تنظیمات و تنظیمات امنیتی Chrome را برای اجرای برنامههای افزودنی مخرب بازنویسی کنند.
همچنین جالب: