Proruská kybernetická kampaň cílí na Ukrajince s malwarem a antimobilizační propagandou
V rámci znepokojivého vývoje se sofistikovaná kybernetická kampaň zaměřuje na ukrajinské uživatele internetu a využívá populární kanály Telegram k šíření malwaru a podkopává úsilí o národní mobilizaci. Google tuto aktivitu připsal aktérovi hrozby označenému jako UNC5812, který používá legitimní kanály telegramu v ukrajinském jazyce k distribuci nebezpečného softwaru a antimobilizační propagandy.
Obsah
Použití telegramu UNC5812 k dosažení obětí
V posledních měsících UNC5812 zakoupil propagované příspěvky na legitimních kanálech telegramu v ukrajinském jazyce, aby se zaměřil na velké publikum, některé s až 80 000 odběrateli. Kampaň se točila zejména kolem webové stránky vydávající se za oficiální iniciativu „Civil Defense“, která láká uživatele příslibem softwaru, který jim pomůže zůstat anonymní a bezpečný online. Ve skutečnosti jsou tyto webové stránky a její propagované příspěvky součástí většího plánu infikování zařízení malwarem a provádění ovlivňovacích operací zaměřených na destabilizaci náborového úsilí Ukrajiny.
Škodlivý web “Civil Defense”.
Takzvané webové stránky „Civil Defense“, řízené UNC5812, tvrdí, že poskytují software pro různé operační systémy, včetně aplikace pro Android dostupné výhradně mimo Google Play. Toto omezení je prezentováno jako bezpečnostní prvek, což znamená, že je bezpečnější než nabídky Obchodu Play. Jedná se však o zástěrku pro šíření malwaru, který může kompromitovat zařízení uživatelů.
Aby byla instalace tohoto malwaru úspěšná, webová stránka uživatele instruuje, aby deaktivovali Google Play Protect – klíčovou bezpečnostní funkci, která chrání uživatele Androidu před potenciálně škodlivými aplikacemi – a ručně povolili plná oprávnění pro aplikaci. Tím, že UNC5812 vybízí uživatele k obcházení těchto základních ochran, zvyšuje pravděpodobnost infikování zařízení bez detekce a poskytuje malwaru široký přístup k datům a funkcím zařízení.
Ovlivňování aktivit a dezinformací
Kromě distribuce malwaru se UNC5812 zapojuje do vlivových operací zaměřených na nahlodání ukrajinské morálky a vojenské podpory. Kanál „Civil Defense“ Telegram aktivně vybízel uživatele, aby nahrávali videa, která by mohla zdiskreditovat ukrajinskou armádu, a zároveň propaguje příběhy proti mobilizačnímu úsilí. Zdá se, že tento kanál má ovlivnit veřejné mínění a podněcovat nedůvěru v ukrajinské vojenské operace.
Webová stránka spojená s UNC5812 je také naplněna obsahem v ukrajinském jazyce a snímky, které jsou výslovně proti mobilizaci. Sekce „zprávy“ upozorňuje na případy údajné nespravedlivé mobilizace a využívá jakékoli veřejné stížnosti související s tímto problémem. Tento mnohostranný přístup – kombinující malware s dezinformacemi – ukazuje na snahu nejen kompromitovat zařízení, ale také podkopat obranné úsilí Ukrajiny zevnitř.
Reakce společnosti Google a širší důsledky
Google v reakci na tuto kampaň rychle zasáhl, informoval ukrajinské úřady o aktivitách UNC5812 a zablokoval přístup na webovou stránku „Civil Defense“ na Ukrajině. Google navíc přidal domény a soubory spojené s touto kampaní do své funkce Bezpečné prohlížení, aby zabránil další infekci napříč službami Google.
Tato kybernetická kampaň se objevuje v době, kdy Ukrajina zavedla národní digitální vojenské ID, aby zefektivnila mobilizaci a řízení rekrutů. Podle zjištění společnosti Google tento posun vedl ke zvýšenému zacílení na potenciální vojenské rekruty, což je v souladu s širším dezinformačním úsilím pozorovaným EUvsDisinfo – projektem, který sleduje dezinformace z proruských zdrojů. Společně tato zjištění ilustrují koordinované úsilí o využití technologických zranitelností a sociálně-politického napětí, využívající malware i dezinformace k destabilizaci ukrajinské náborové infrastruktury.
Zůstaňte v bezpečí tváří v tvář cíleným kampaním
Kampaň UNC5812 demonstruje, jak mohou kybernetičtí aktéři kombinovat technické útoky s psychologickou manipulací, aby dosáhli strategických cílů. Pro uživatele, zejména na Ukrajině, je zvýšené povědomí o digitální bezpečnosti zásadní. Mezi základní opatření patří stahování aplikací výhradně z důvěryhodných zdrojů, jako je Google Play, vyhýbání se deaktivaci důležitých funkcí zabezpečení, jako je Google Play Protect, a zachování ostražitosti ohledně legitimity kanálů Telegramu propagujících kontroverzní obsah nebo nevyžádaný software.
Vzhledem k tomu, že kybernetické kampaně se neustále vyvíjejí ve své propracovanosti a dosahu, budou koordinované reakce společností jako Google a národních úřadů nadále zásadní pro zmírnění těchto hrozeb. Pro jednotlivce může pochopení rizik stahování neautorizovaných aplikací a práce s potenciálně škodlivým online obsahem znamenat významný rozdíl v ochraně před malwarem a vlivnými kampaněmi.