La campagna informatica filo-russa prende di mira gli ucraini con malware e propaganda anti-mobilitazione
In uno sviluppo preoccupante, una sofisticata campagna informatica sta prendendo di mira gli utenti internet ucraini, sfruttando i popolari canali Telegram per diffondere malware e minare gli sforzi di mobilitazione nazionale. Google ha attribuito questa attività a un attore della minaccia identificato come UNC5812, che ha utilizzato legittimi canali Telegram in lingua ucraina per distribuire software pericolosi e propaganda anti-mobilitazione.
Sommario
L'uso di Telegram da parte dell'UNC5812 per raggiungere le vittime
Negli ultimi mesi, UNC5812 ha acquistato post sponsorizzati su canali Telegram legittimi in lingua ucraina per raggiungere un vasto pubblico, alcuni con fino a 80.000 iscritti. In particolare, la campagna è ruotata attorno a un sito Web che si spacciava per un'iniziativa ufficiale di "Difesa civile", attirando gli utenti con la promessa di un software che li aiutasse a rimanere anonimi e sicuri online. In realtà, questo sito Web e i suoi post sponsorizzati fanno parte di un piano più ampio per infettare i dispositivi con malware e condurre operazioni di influenza volte a destabilizzare gli sforzi di reclutamento dell'Ucraina.
Il sito web dannoso della “Protezione Civile”
Il cosiddetto sito web "Civil Defense", controllato da UNC5812, afferma di fornire software per vari sistemi operativi, tra cui un'applicazione Android disponibile esclusivamente al di fuori di Google Play. Questa restrizione è presentata come una funzionalità di sicurezza, il che implica che sia più sicura delle offerte del Play Store. Tuttavia, questa è una copertura per distribuire malware che può compromettere i dispositivi degli utenti.
Per installare correttamente questo malware, il sito Web chiede agli utenti di disattivare Google Play Protect, una funzionalità di sicurezza fondamentale che protegge gli utenti Android da app potenzialmente dannose, e di abilitare manualmente i permessi completi per l'applicazione. Incoraggiando gli utenti a bypassare queste protezioni essenziali, UNC5812 aumenta la probabilità di infettare i dispositivi senza essere rilevati, garantendo al malware un ampio accesso ai dati e alle funzionalità del dispositivo.
Attività di influenza e disinformazione
Oltre alla distribuzione di malware, UNC5812 è impegnato in operazioni di influenza volte a erodere il morale e il supporto militare ucraino. Il canale Telegram "Civil Defense" ha attivamente incoraggiato gli utenti a caricare video che potrebbero screditare l'esercito ucraino, promuovendo al contempo narrazioni contrarie agli sforzi di mobilitazione. Questo canale sembra progettato per influenzare l'opinione pubblica e alimentare la sfiducia nelle operazioni militari dell'Ucraina.
Il sito Web associato a UNC5812 è anche popolato di contenuti e immagini in lingua ucraina che si oppongono esplicitamente alla mobilitazione. Una sezione "notizie" evidenzia casi di presunta mobilitazione ingiusta, capitalizzando qualsiasi lamentela pubblica relativa alla questione. Questo approccio multiforme, che combina malware con disinformazione, indica uno sforzo non solo per compromettere i dispositivi, ma anche per minare gli sforzi di difesa dell'Ucraina dall'interno.
La risposta di Google e le implicazioni più ampie
Google ha agito rapidamente per contrastare questa campagna, notificando alle autorità ucraine le attività di UNC5812 e bloccando l'accesso al sito web "Civil Defense" in Ucraina. Inoltre, Google ha aggiunto i domini e i file associati a questa campagna alla sua funzionalità Safe Browsing, con l'obiettivo di prevenire ulteriori infezioni nei servizi Google.
Questa campagna informatica sta emergendo in un momento in cui l'Ucraina ha introdotto un ID militare digitale nazionale per semplificare la mobilitazione e la gestione delle reclute. Secondo le scoperte di Google, questo cambiamento ha portato a un aumento del targeting di potenziali reclute militari, in linea con i più ampi sforzi di disinformazione osservati da EUvsDisinfo, un progetto che traccia la disinformazione da fonti filo-russe. Insieme, queste scoperte illustrano uno sforzo coordinato per sfruttare le vulnerabilità tecnologiche e le tensioni socio-politiche, sfruttando sia il malware che la disinformazione per destabilizzare l'infrastruttura di reclutamento dell'Ucraina.
Come proteggersi dalle campagne mirate
La campagna UNC5812 dimostra come gli attori informatici possano combinare attacchi tecnici con manipolazione psicologica per raggiungere obiettivi strategici. Per gli utenti, soprattutto in Ucraina, una maggiore consapevolezza della sicurezza digitale è fondamentale. Le precauzioni di base includono il download di app esclusivamente da fonti attendibili come Google Play, l'evitare di disabilitare funzionalità di sicurezza critiche come Google Play Protect e rimanere vigili sulla legittimità dei canali Telegram che promuovono contenuti controversi o software non richiesti.
Mentre le campagne informatiche continuano a evolversi in sofisticatezza e portata, le risposte coordinate da parte di aziende come Google e delle autorità nazionali rimarranno essenziali per mitigare queste minacce. Per gli individui, comprendere i rischi di scaricare app non autorizzate e interagire con contenuti online potenzialmente dannosi può fare una differenza significativa nel rimanere al sicuro sia dal malware che dalle campagne di influenza.