Pro-russisk cyberkampanje retter seg mot ukrainere med skadelig programvare og antimobiliseringspropaganda
I en bekymringsfull utvikling er en sofistikert cyberkampanje rettet mot ukrainske internettbrukere, og utnytter populære Telegram-kanaler for å spre skadelig programvare og undergrave nasjonal mobiliseringsinnsats. Google har tilskrevet denne aktiviteten til en trusselaktør identifisert som UNC5812, som har brukt legitime ukrainskspråklige Telegram-kanaler for å distribuere farlig programvare og antimobiliseringspropaganda.
Innholdsfortegnelse
UNC5812s bruk av telegram for å nå ofre
De siste månedene har UNC5812 kjøpt promoterte innlegg på legitime ukrainskspråklige Telegram-kanaler for å målrette mot et stort publikum, noen med så mange som 80 000 abonnenter. Spesielt har kampanjen dreid seg om et nettsted som utgir seg for å være et offisielt «Sivilforsvar»-initiativ, og lokker brukere med løftet om programvare for å hjelpe dem med å holde seg anonyme og sikre på nettet. I virkeligheten er dette nettstedet og dets promoterte innlegg en del av et større opplegg for å infisere enheter med skadelig programvare og utføre påvirkningsoperasjoner som tar sikte på å destabilisere Ukrainas rekrutteringsarbeid.
Det ondsinnede nettstedet “Sivilforsvar”.
Det såkalte «Civil Defense»-nettstedet, kontrollert av UNC5812, hevder å tilby programvare for ulike operativsystemer, inkludert en Android-applikasjon som er tilgjengelig eksklusivt utenfor Google Play. Denne begrensningen presenteres som en sikkerhetsfunksjon, noe som betyr at den er tryggere enn Play Store-tilbud. Dette er imidlertid et dekning for distribusjon av skadelig programvare som kan kompromittere brukernes enheter.
For å lykkes med å installere denne skadelige programvaren, instruerer nettstedet brukerne om å deaktivere Google Play Protect – en nøkkelsikkerhetsfunksjon som beskytter Android-brukere mot potensielt skadelige apper – og manuelt aktivere fulle tillatelser for applikasjonen. Ved å oppmuntre brukere til å omgå disse essensielle beskyttelsene, øker UNC5812 sannsynligheten for å infisere enheter uten deteksjon, og gir skadevaren bred tilgang til enhetsdata og funksjonalitet.
Påvirke aktiviteter og desinformasjon
I tillegg til distribusjon av skadelig programvare, engasjerer UNC5812 påvirkningsoperasjoner rettet mot å erodere ukrainsk moral og militær støtte. "Civil Defense" Telegram-kanalen har aktivt oppfordret brukere til å laste opp videoer som kan diskreditere det ukrainske militæret, samtidig som de fremmer fortellinger som motsetter seg mobiliseringsinnsats. Denne kanalen ser ut til å være utformet for å påvirke opinionen og skape mistillit til Ukrainas militære operasjoner.
Nettstedet knyttet til UNC5812 er også fylt med ukrainskspråklig innhold og bilder som eksplisitt motsetter seg mobilisering. En "nyhetsseksjon" fremhever tilfeller av påstått urettferdig mobilisering, og utnytter alle offentlige klager knyttet til problemet. Denne mangefasetterte tilnærmingen – som kombinerer skadelig programvare med desinformasjon – peker på et forsøk på ikke bare å kompromittere enheter, men også å undergrave Ukrainas forsvarsinnsats innenfra.
Googles svar og bredere implikasjoner
Google har handlet raskt for å motvirke denne kampanjen, varslet ukrainske myndigheter om UNC5812s aktiviteter og blokkert tilgang til nettstedet "Sivilforsvar" i Ukraina. I tillegg har Google lagt til domenene og filene knyttet til denne kampanjen til funksjonen Safe Browsing, med sikte på å forhindre ytterligere infeksjon på tvers av Google-tjenester.
Denne cyberkampanjen dukker opp i en tid da Ukraina har innført en nasjonal digital militær ID for å effektivisere mobiliseringen og ledelsen av rekrutter. Ifølge Googles funn har dette skiftet ført til økt målretting av potensielle militære rekrutter, i samsvar med bredere desinformasjonsinnsats observert av EUvsDisinfo – et prosjekt som sporer feilinformasjon fra pro-russiske kilder. Sammen illustrerer disse funnene en koordinert innsats for å utnytte teknologiske sårbarheter og sosiopolitiske spenninger, ved å utnytte både skadevare og feilinformasjon for å destabilisere Ukrainas rekrutteringsinfrastruktur.
Hold deg trygg i møte med målrettede kampanjer
UNC5812-kampanjen demonstrerer hvordan cyberaktører kan blande tekniske angrep med psykologisk manipulasjon for å oppnå strategiske mål. For brukere, spesielt i Ukraina, er økt bevissthet om digital sikkerhet avgjørende. Grunnleggende forholdsregler inkluderer å laste ned apper utelukkende fra pålitelige kilder som Google Play, unngå å deaktivere kritiske sikkerhetsfunksjoner som Google Play Protect, og å være på vakt om legitimiteten til Telegram-kanaler som promoterer kontroversielt innhold eller uønsket programvare.
Ettersom cyberkampanjer fortsetter å utvikle seg i deres sofistikerte og rekkevidde, vil koordinerte svar fra selskaper som Google og nasjonale myndigheter fortsatt være avgjørende for å dempe disse truslene. For enkeltpersoner kan det å forstå risikoen ved å laste ned uautoriserte apper og engasjere seg med potensielt skadelig innhold på nettet utgjøre en betydelig forskjell når det gjelder å holde seg trygg mot både skadelig programvare og påvirke kampanjer.