أصدرت مجموعة تحليل التهديدات (TAG) التابعة لشركة Google تقريرًا يوضح بالتفصيل جهودها لمكافحة ممثل تهديد كوري شمالي يسمى APT43 ، وأهدافها وأساليبها ، وشرح الجهود التي بذلتها لمكافحة مجموعة القرصنة. تشير TAG إلى APT43 كـ ARCHIPELAGO في التقرير. وقال التقرير إن المجموعة نشطة منذ عام 2012 وتستهدف الأفراد ذوي الخبرة في قضايا السياسة الكورية الشمالية مثل العقوبات وحقوق الإنسان وعدم الانتشار.
يمكن أن يكون هؤلاء مسؤولين حكوميين وعسكريين وأعضاء في مختلف مراكز الفكر والسياسيين والعلماء والباحثين. معظمهم يحملون الجنسية الكورية الجنوبية ، لكن هذا ليس استثناءً.
يهاجم ARCHIPELAGO حسابات هؤلاء الأشخاص في كل من Google والخدمات الأخرى. يستخدمون تكتيكات مختلفة لسرقة بيانات اعتماد المستخدم وتثبيت برامج الفدية أو الأبواب الخلفية أو البرامج الضارة الأخرى على نقاط النهاية المستهدفة.
في الغالب يستخدمون التصيد الاحتيالي. في بعض الأحيان ، يمكن أن تستمر المراسلات لعدة أيام حيث يتظاهر المهاجم بأنه شخص أو مؤسسة مألوفة ويبني الثقة لتسليم البرامج الضارة بنجاح عبر مرفق بريد إلكتروني.
قالت Google إنها تكافح هذا من خلال إضافة مواقع ويب ونطاقات ضارة تم اكتشافها حديثًا إلى التصفح الآمن ، وإخطار المستخدمين باستهدافهم ودعوتهم للاشتراك في برنامج الحماية المتقدمة من Google.
حاول المتسللون أيضًا وضع ملفات PDF آمنة مع روابط لبرامج ضارة على Google Drive ، معتقدين أنهم بهذه الطريقة سيكونون قادرين على تجنب الكشف عن طريق برامج مكافحة الفيروسات. قاموا أيضًا بتشفير الحمولات الضارة في أسماء الملفات الموضوعة على Drive ، بينما كانت الملفات نفسها فارغة.
"اتخذت Google خطوات لإيقاف استخدام أسماء ملفات ARCHIPELAGO على Drive لتشفير حمولات وأوامر البرامج الضارة. وقالت جوجل "توقفت المجموعة منذ ذلك الحين عن استخدام هذه التقنية على درايف".
أخيرًا ، أنشأ المهاجمون ملحقات Chrome ضارة سمحت لهم بسرقة بيانات اعتماد تسجيل الدخول وملفات تعريف الارتباط للمتصفح. دفع هذا Google إلى تحسين الأمان في النظام البيئي لملحق Chrome ، مما أدى إلى اضطرار المهاجمين الآن إلى اختراق نقطة نهاية أولاً ثم الكتابة فوق إعدادات Chrome وإعدادات الأمان لتشغيل ملحقات ضارة.
مثير للاهتمام أيضًا: