Le groupe d’analyse des menaces (TAG) de Google a publié un rapport détaillant ses efforts pour lutter contre un acteur menaçant nord-coréen appelé APT43, ses cibles et ses techniques, ainsi que les efforts qu’il a déployés pour réprimer ce collectif de piratage.
Dans le rapport, TAG fait référence à APT43 comme ARCHIPEL. Le groupe est actif depuis 2012, ciblant des personnes ayant une expertise dans les questions de politique nord-coréenne telles que les sanctions, les droits de l’homme et les questions de non-prolifération, a-t-on précisé.
Ces personnes pourraient être du personnel gouvernemental et militaire, des membres de divers groupes de réflexion, des décideurs, des universitaires et des chercheurs. La plupart du temps, ils sont de nationalité sud-coréenne, mais ce n’est pas exclusif.
Informer les victimes
ARCHIPELAGO ciblerait les comptes Google et non Google de ces personnes. Ils déploient différentes tactiques, toutes dans le but de voler les informations d’identification des utilisateurs et d’installer des voleurs d’informations, des portes dérobées ou d’autres logiciels malveillants sur les terminaux cibles.
La plupart du temps, ils essayaient le phishing. Parfois, le va-et-vient des e-mails peut durer des jours, car l’auteur de la menace se fait passer pour (s’ouvre dans un nouvel onglet) une personne ou une organisation familière et établit une confiance suffisante pour être en mesure de diffuser avec succès des logiciels malveillants via des pièces jointes à des e-mails.
Google a déclaré qu’il combattait cela en ajoutant des sites Web et des domaines malveillants récemment découverts à la navigation sécurisée, en envoyant des alertes aux personnes pour leur faire savoir qu’elles étaient ciblées et en les invitant à s’inscrire au programme de protection avancée de Google.
Les pirates essaieraient également d’héberger des fichiers PDF bénins avec des liens vers des logiciels malveillants sur Google Drive, pensant que de cette façon ils pourraient échapper à la détection par les programmes antivirus. Ils encoderaient également des charges utiles malveillantes dans les noms de fichiers hébergés sur Drive, alors que les fichiers eux-mêmes étaient vides.
« Google a pris des mesures pour perturber l’utilisation par ARCHIPELAGO des noms de fichiers Drive pour encoder les charges utiles et les commandes des logiciels malveillants. Le groupe a depuis cessé d’utiliser cette technique sur Drive », a déclaré Google.
Enfin, ils construisaient des extensions Chrome malveillantes qui leur permettaient de voler les identifiants de connexion et les cookies du navigateur. Cela a incité Google à améliorer la sécurité dans l’écosystème d’extensions Chrome, ce qui a obligé les acteurs de la menace à d’abord compromettre le point de terminaison, puis à écraser les préférences Chrome et la préférence sécurisée pour que les extensions malveillantes s’exécutent.