Google’ın Tehdit Analizi Grubu (TAG), APT43 adlı Kuzey Koreli bir tehdit aktörüyle mücadele çabalarını, hedeflerini ve tekniklerini ve ayrıca bu bilgisayar korsanlığı kolektifini çökertmek için gösterdiği çabaları açıklayan bir rapor yayınladı.
Raporda TAG, APT43’ten ARCHIPELAGO olarak bahsediyor. Grubun 2012’den beri aktif olduğu ve yaptırımlar, insan hakları ve nükleer silahların yayılmasının önlenmesi gibi Kuzey Kore politikası konularında uzman kişileri hedef aldığı söylendi.
Bu kişiler hükümet ve askeri personel, çeşitli düşünce kuruluşlarının üyeleri, politika yapıcılar, akademisyenler ve araştırmacılar olabilir. Çoğu zaman Güney Kore uyrukludurlar, ancak bu ayrıcalıklı değildir.
Mağdurları bilgilendirmek
ARCHIPELAGO, bu kişilerin hem Google hesaplarını hem de Google dışı hesaplarını hedefler. Hepsi kullanıcı kimlik bilgilerini çalmak ve hedef uç noktalara bilgi hırsızları, arka kapılar veya diğer kötü amaçlı yazılımları yüklemek amacıyla farklı taktikler uygularlar.
Çoğu zaman kimlik avını denerlerdi. Bazen, tehdit aktörü kimliğine büründüğü için e-posta alışverişi günlerce devam edebilir. (yeni sekmede açılır) tanıdık bir kişi veya kuruluş ve e-posta ekleri yoluyla kötü amaçlı yazılımları başarılı bir şekilde iletebilmek için yeterli güveni oluşturur.
Google, yeni keşfedilen kötü amaçlı web sitelerini ve etki alanlarını Güvenli Tarama’ya ekleyerek, insanlara hedeflendiklerini bildirmek için uyarılar göndererek ve onları Google’ın Gelişmiş Koruma Programına kaydolmaya davet ederek bununla mücadele ettiğini söyledi.
Bilgisayar korsanları ayrıca, virüsten koruma programlarının tespitinden bu şekilde kurtulabileceklerini düşünerek kötü amaçlı yazılım bağlantıları içeren zararsız PDF dosyalarını Google Drive’da barındırmaya çalışır. Ayrıca, dosyaların kendisi boşken, Drive’da barındırılan dosyaların dosya adlarındaki kötü amaçlı yükleri de kodlarlardı.
“Google, ARCHIPELAGO’nun kötü amaçlı yazılım yüklerini ve komutlarını kodlamak için Drive dosya adlarını kullanmasını engellemek için harekete geçti. Google, o zamandan beri bu tekniği Drive’da kullanmayı bıraktı” dedi.
Son olarak, oturum açma kimlik bilgilerini ve tarayıcı çerezlerini çalmalarına izin veren kötü amaçlı Chrome uzantıları oluşturuyorlardı. Bu, Google’ın Chrome uzantı ekosistemindeki güvenliği iyileştirmesine neden oldu ve bu da tehdit aktörlerinin artık önce uç noktayı tehlikeye atması ve kötü amaçlı uzantıların çalışmasını sağlamak için Chrome Tercihleri ile Güvenli Tercihlerin üzerine yazması gerekmesine neden oldu.