Googlen Threat Analysis Group (TAG) on julkaissut raportin, jossa kerrotaan sen ponnisteluista pohjoiskorealaisen uhkatekijän APT43 torjumiseksi, sen kohteet ja menetelmät sekä selvitetään ponnisteluja hakkerointiryhmää vastaan. TAG viittaa raportissa APT43:een SAARISTONA. Ryhmä on ollut aktiivinen vuodesta 2012 ja sen kohteena ovat henkilöt, joilla on asiantuntemusta Pohjois-Korean poliittisista kysymyksistä, kuten pakotteista, ihmisoikeuksista ja aseiden leviämisen estämisestä, raportin mukaan.
He voivat olla valtion virkamiehiä, armeijaa, erilaisten ajatushautojen jäseniä, poliitikkoja, tiedemiehiä ja tutkijoita. Suurin osa heistä on Etelä-Korean kansalaisuus, mutta tämä ei ole poikkeus.
ARCHIPELAGO hyökkää näiden ihmisten tilejä vastaan sekä Googlessa että muissa palveluissa. He käyttävät erilaisia taktiikoita varastaakseen käyttäjätietoja ja asentaakseen kiristysohjelmia, takaovia tai muita haittaohjelmia kohdistetuille päätepisteille.
Useimmiten he käyttävät tietojenkalastelua. Joskus kirjeenvaihto voi kestää päiviä, kun hyökkääjä teeskentelee olevansa tuttu henkilö tai organisaatio ja rakentaa luottamusta lähettääkseen haittaohjelman onnistuneesti sähköpostin liitteenä.
Google sanoi taistelevansa tätä lisäämällä äskettäin löydetyt haitalliset verkkosivustot ja verkkotunnukset Selaussuojaan, ilmoittamalla käyttäjille, että ne on kohdistettu, ja kutsumalla heitä rekisteröitymään Googlen lisäsuojausohjelmaan.
Hakkerit ovat myös yrittäneet sijoittaa Google Driveen suojattuja PDF-tiedostoja, joissa on linkkejä haittaohjelmiin, uskoen, että näin he voisivat välttää virustentorjuntaohjelmien havaitsemisen. He myös koodasivat haitallisia hyötykuormia Driveen sijoitettuihin tiedostonimiin, kun taas tiedostot itse olivat tyhjiä.
"Google on ryhtynyt toimiin estääkseen ARCHIPELAGO-tiedostonimien käytön Drivessa haittaohjelmien hyötykuormien ja komentojen koodaamiseen. Ryhmä on sittemmin lopettanut tämän tekniikan käytön Drivessa", Google sanoi.
Lopuksi hyökkääjät loivat haitallisia Chrome-laajennuksia, joiden avulla he voivat varastaa kirjautumistiedot ja selaimen evästeet. Tämä sai Googlen parantamaan Chromen laajennusekosysteemin turvallisuutta, minkä seurauksena hyökkääjien on nyt ensin murtauduttava päätepisteeseen ja sen jälkeen ylikirjoitettava Chromen asetukset ja suojausasetukset suorittaakseen haitallisia laajennuksia.
Mielenkiintoista myös: