Проруската киберкампания е насочена към украинците със зловреден софтуер и антимобилизационна пропаганда
При тревожно развитие, сложна кибер кампания е насочена към украинските интернет потребители, използвайки популярни канали в Telegram за разпространение на зловреден софтуер и подкопаване на усилията за национална мобилизация. Google приписва тази дейност на заплаха, идентифицирана като UNC5812, която използва легитимни канали на Telegram на украински език, за да разпространява опасен софтуер и пропаганда срещу мобилизацията.
Съдържание
UNC5812 използва Telegram за достигане до жертви
През последните месеци UNC5812 закупи популяризирани публикации в легитимни канали на Telegram на украински език, за да се насочи към широка аудитория, някои с до 80 000 абонати. Трябва да се отбележи, че кампанията се върти около уебсайт, представящ се за официална инициатива на „Гражданска отбрана“, примамващ потребителите с обещанието за софтуер, който да им помогне да останат анонимни и сигурни онлайн. В действителност този уебсайт и неговите популяризирани публикации са част от по-голяма схема за заразяване на устройства със зловреден софтуер и провеждане на операции за влияние, насочени към дестабилизиране на усилията на Украйна за набиране на персонал.
Злонамереният уебсайт “Гражданска защита”.
Уебсайтът на така наречената „Гражданска защита“, контролиран от UNC5812, твърди, че предоставя софтуер за различни операционни системи, включително приложение за Android, достъпно изключително извън Google Play. Това ограничение е представено като функция за сигурност, което означава, че е по-безопасно от предложенията в Play Store. Това обаче е прикритие за разпространение на зловреден софтуер, който може да компрометира устройствата на потребителите.
За да инсталирате успешно този зловреден софтуер, уебсайтът инструктира потребителите да деактивират Google Play Protect – ключова функция за сигурност, която защитава потребителите на Android от потенциално опасни приложения – и ръчно да активират пълните разрешения за приложението. Като насърчава потребителите да заобикалят тези основни защити, UNC5812 увеличава вероятността от заразяване на устройства без откриване, предоставяйки на зловреден софтуер широк достъп до данните и функционалността на устройството.
Дейности за влияние и дезинформация
В допълнение към разпространението на злонамерен софтуер, UNC5812 участва в операции за влияние, насочени към подкопаване на украинския морал и военна подкрепа. Каналът на Telegram „Гражданска защита“ активно насърчава потребителите да качват видеоклипове, които биха могли да дискредитират украинската армия, като същевременно популяризира разкази, противопоставящи се на усилията за мобилизация. Този канал изглежда предназначен да повлияе на общественото мнение и да подхрани недоверието към военните операции на Украйна.
Уебсайтът, свързан с UNC5812, също е пълен със съдържание на украински език и изображения, изрично противопоставящи се на мобилизацията. Раздел „новини“ подчертава случаи на предполагаема несправедлива мобилизация, като се възползва от всички обществени оплаквания, свързани с проблема. Този многостранен подход – комбиниране на зловреден софтуер с дезинформация – сочи към усилие не само за компрометиране на устройства, но и за подкопаване на отбранителните усилия на Украйна отвътре.
Отговорът на Google и по-широки последици
Google действа бързо, за да се противопостави на тази кампания, като уведоми украинските власти за дейностите на UNC5812 и блокира достъпа до уебсайта на „Гражданска защита“ в Украйна. Освен това Google добави домейните и файловете, свързани с тази кампания, към своята функция за безопасно сърфиране, с цел да предотврати по-нататъшно заразяване в услугите на Google.
Тази кибер кампания се появява в момент, когато Украйна въведе национална цифрова военна идентификация, за да рационализира мобилизацията и управлението на новобранците. Според констатациите на Google тази промяна е довела до засилено насочване към потенциални военни новобранци, в съответствие с по-широките усилия за дезинформация, наблюдавани от EUvsDisinfo – проект, който проследява дезинформация от проруски източници. Заедно тези открития илюстрират координирано усилие за използване на технологичните уязвимости и социално-политическото напрежение, като се използва както зловреден софтуер, така и дезинформация, за да се дестабилизира инфраструктурата за набиране на персонал в Украйна.
Да останем в безопасност пред лицето на насочени кампании
Кампанията UNC5812 демонстрира как кибер участниците могат да съчетават технически атаки с психологическа манипулация, за да постигнат стратегически цели. За потребителите, особено в Украйна, повишената осведоменост за цифровата сигурност е от решаващо значение. Основните предпазни мерки включват изтегляне на приложения изключително от доверени източници като Google Play, избягване на деактивирането на критични функции за сигурност като Google Play Protect и запазване на бдителност относно легитимността на каналите на Telegram, популяризиращи спорно съдържание или нежелан софтуер.
Тъй като киберкампаниите продължават да се развиват в своята сложност и обхват, координираните отговори от компании като Google и националните органи ще останат от съществено значение за смекчаване на тези заплахи. За хората, разбирането на рисковете от изтегляне на неоторизирани приложения и ангажиране с потенциално злонамерено онлайн съдържание може да направи значителна разлика в запазването на безопасност както от злонамерен софтуер, така и от кампании за влияние.