Venäjä-mielinen kyberkampanja kohdistuu ukrainalaisiin haittaohjelmien ja mobilisaatioiden vastaisen propagandan avulla
Huolestuttavassa kehityksessä kehittynyt kyberkampanja on kohdistettu ukrainalaisiin internetin käyttäjiin, ja se hyödyntää suosittuja Telegram-kanavia haittaohjelmien levittämiseen ja kansallisten mobilisointiponnistelujen heikentämiseen. Google on katsonut tämän toiminnan syyksi UNC5812:ksi tunnistetun uhkatekijän, joka on käyttänyt laillisia ukrainankielisiä Telegram-kanavia vaarallisten ohjelmistojen ja mobilisaation vastaisen propagandan levittämiseen.
Sisällysluettelo
UNC5812:n sähkeen käyttö uhrien tavoittamiseen
Viime kuukausina UNC5812 on ostanut mainosviestejä laillisilta ukrainankielisiltä Telegram-kanavilla kohdistaakseen suuren yleisön, joista osalla on jopa 80 000 tilaajaa. Erityisesti kampanja on pyörinyt verkkosivuston ympärillä, joka esiintyy virallisena "siviilipuolustuksen" aloitteena ja houkuttelee käyttäjiä ohjelmistolla, joka auttaa heitä pysymään anonyymeinä ja turvassa verkossa. Todellisuudessa tämä verkkosivusto ja sen mainostetut viestit ovat osa suurempaa suunnitelmaa, jonka tarkoituksena on saastuttaa laitteita haittaohjelmilla ja suorittaa vaikutustoimia, joiden tarkoituksena on horjuttaa Ukrainan rekrytointipyrkimyksiä.
Haitallinen “siviilipuolustus”-verkkosivusto
UNC5812:n hallitsema niin kutsuttu "siviilipuolustus"-sivusto väittää tarjoavansa ohjelmistoja eri käyttöjärjestelmille, mukaan lukien Android-sovellus, joka on saatavilla yksinomaan Google Playn ulkopuolella. Tämä rajoitus esitetään suojausominaisuudena, mikä tarkoittaa, että se on turvallisempi kuin Play Kaupan tarjoukset. Tämä on kuitenkin suoja haittaohjelmien levittämiselle, jotka voivat vaarantaa käyttäjien laitteita.
Tämän haittaohjelman asentamiseksi onnistuneesti verkkosivusto kehottaa käyttäjiä poistamaan käytöstä Google Play Protectin – keskeisen suojausominaisuuden, joka suojaa Android-käyttäjiä mahdollisesti haitallisilta sovelluksilta – ja ottamaan manuaalisesti käyttöön sovelluksen täydet käyttöoikeudet. Rohkaisemalla käyttäjiä ohittamaan nämä olennaiset suojaukset, UNC5812 lisää todennäköisyyttä tartuttaa laitteita ilman havaitsemista ja antaa haittaohjelmalle laajan pääsyn laitteen tietoihin ja toimintoihin.
Vaikutustoiminta ja disinformaatio
Haittaohjelmien levityksen lisäksi UNC5812 osallistuu vaikuttamisoperaatioihin, joiden tarkoituksena on heikentää Ukrainan moraalia ja sotilaallista tukea. "Siviilipuolustuksen" Telegram -kanava on aktiivisesti rohkaissut käyttäjiä lataamaan videoita, jotka voivat horjuttaa Ukrainan armeijaa, samalla kun mainostetaan mobilisaatiopyrkimyksiä vastustavia tarinoita. Tämä kanava näyttää olevan suunniteltu horjuttamaan yleistä mielipidettä ja ruokkimaan epäluottamusta Ukrainan sotilasoperaatioita kohtaan.
UNC5812:een liittyvä verkkosivusto on myös täynnä ukrainankielistä sisältöä ja kuvia, jotka vastustavat selkeästi mobilisointia. "Uutiset"-osio korostaa tapauksia, joissa väitetään epäoikeudenmukaista mobilisaatiota, ja hyödynnetään kaikkia asiaan liittyviä julkisia valituksia. Tämä monipuolinen lähestymistapa – haittaohjelmien ja disinformaation yhdistäminen – viittaa pyrkimyksiin paitsi vaarantaa laitteita, myös heikentää Ukrainan puolustusponnisteluja sisältäpäin.
Googlen vastaus ja laajemmat vaikutukset
Google on toiminut ripeästi tämän kampanjan torjumiseksi ilmoittamalla Ukrainan viranomaisille UNC5812:n toiminnasta ja estäen pääsyn "siviilipuolustus"-sivustolle Ukrainassa. Lisäksi Google on lisännyt tähän kampanjaan liittyvät verkkotunnukset ja tiedostot Selaussuoja-ominaisuuteensa estääkseen lisätartunnan Googlen palveluissa.
Tämä kyberkampanja on syntymässä aikana, jolloin Ukraina on ottanut käyttöön kansallisen digitaalisen sotilastunnuksen tehostaakseen värvättyjen mobilisointia ja hallintaa. Googlen havaintojen mukaan tämä muutos on johtanut potentiaalisten armeijan värvättyjen lisääntyneeseen kohdistamiseen, mikä on sopusoinnussa EUvsDisinfon havaitsemien laajempien disinformaatioponnistelujen kanssa. Hanke jäljittää venäläismyönteisistä lähteistä peräisin olevaa väärää tietoa. Yhdessä nämä havainnot havainnollistavat koordinoitua pyrkimystä hyödyntää teknisiä haavoittuvuuksia ja sosiopoliittisia jännitteitä sekä haittaohjelmia että väärää tietoa horjuttamaan Ukrainan rekrytointiinfrastruktuuria.
Pysy turvassa kohdistettujen kampanjoiden edessä
UNC5812-kampanja osoittaa, kuinka kybertoimijat voivat yhdistää tekniset hyökkäykset psykologiseen manipulaatioon saavuttaakseen strategiset tavoitteet. Varsinkin Ukrainan käyttäjille digitaalisen turvallisuuden lisääntynyt tietoisuus on kriittistä. Perusvarotoimenpiteitä ovat sovellusten lataaminen yksinomaan luotettavista lähteistä, kuten Google Playsta, kriittisten suojausominaisuuksien, kuten Google Play Protectin, poistamisen välttäminen ja kiistanalaista sisältöä tai ei-toivottuja ohjelmistoja mainostavien Telegram-kanavien laillisuuden varmistaminen.
Kyberkampanjoiden kehittyessä ja kattavuuden kehittyessä Googlen kaltaisten yritysten ja kansallisten viranomaisten koordinoidut vastaukset ovat edelleen välttämättömiä näiden uhkien lieventämiseksi. Yksilöille luvattomien sovellusten lataamisen ja mahdollisesti haitallisen verkkosisällön riskien ymmärtäminen voi merkittävästi auttaa pysymään turvassa sekä haittaohjelmilta että vaikutuskampanjoilta.