Pro-Russische cybercampagne richt zich op Oekraïners met malware en anti-mobilisatiepropaganda
In een zorgwekkende ontwikkeling richt een geavanceerde cybercampagne zich op Oekraïense internetgebruikers, waarbij populaire Telegram-kanalen worden gebruikt om malware te verspreiden en nationale mobilisatie-inspanningen te ondermijnen. Google heeft deze activiteit toegeschreven aan een dreigingsactor die is geïdentificeerd als UNC5812, die legitieme Oekraïense Telegram-kanalen heeft gebruikt om gevaarlijke software en anti-mobilisatiepropaganda te verspreiden.
Inhoudsopgave
UNC5812's gebruik van Telegram om slachtoffers te bereiken
De afgelopen maanden heeft UNC5812 gepromote berichten gekocht op legitieme Oekraïense Telegram-kanalen om een groot publiek te bereiken, waarvan sommige wel 80.000 abonnees hebben. De campagne draaide met name om een website die zich voordeed als een officieel "Civil Defense"-initiatief, en gebruikers lokte met de belofte van software om hen te helpen anoniem en veilig online te blijven. In werkelijkheid zijn deze website en de gepromote berichten onderdeel van een groter plan om apparaten te infecteren met malware en invloedsoperaties uit te voeren die gericht zijn op het destabiliseren van de rekruteringsinspanningen van Oekraïne.
De kwaadaardige website voor 'civiele verdediging'
De zogenaamde "Civil Defense"-website, beheerd door UNC5812, beweert software te leveren voor verschillende besturingssystemen, waaronder een Android-applicatie die exclusief beschikbaar is buiten Google Play. Deze beperking wordt gepresenteerd als een beveiligingsfunctie, wat impliceert dat het veiliger is dan Play Store-aanbiedingen. Dit is echter een dekmantel voor het verspreiden van malware die de apparaten van gebruikers kan compromitteren.
Om deze malware succesvol te installeren, instrueert de website gebruikers om Google Play Protect uit te schakelen, een belangrijke beveiligingsfunctie die Android-gebruikers beschermt tegen potentieel schadelijke apps, en om handmatig volledige machtigingen voor de applicatie in te schakelen. Door gebruikers aan te moedigen deze essentiële beveiligingen te omzeilen, vergroot UNC5812 de kans op het infecteren van apparaten zonder detectie, waardoor de malware brede toegang krijgt tot apparaatgegevens en functionaliteit.
Invloedactiviteiten en desinformatie
Naast de verspreiding van malware, houdt UNC5812 zich bezig met beïnvloedingsoperaties die gericht zijn op het ondermijnen van het Oekraïense moreel en de militaire steun. Het Telegram-kanaal "Civil Defense" heeft gebruikers actief aangemoedigd om video's te uploaden die het Oekraïense leger in diskrediet kunnen brengen, terwijl het verhalen promoot die zich verzetten tegen mobilisatiepogingen. Dit kanaal lijkt ontworpen om de publieke opinie te beïnvloeden en wantrouwen in de militaire operaties van Oekraïne aan te wakkeren.
De website die is gekoppeld aan UNC5812 staat ook vol met Oekraïense content en beelden die expliciet tegen mobilisatie zijn. Een "nieuws"-sectie benadrukt gevallen van vermeende onrechtvaardige mobilisatie, waarbij wordt geprofiteerd van eventuele publieke grieven met betrekking tot de kwestie. Deze veelzijdige aanpak, waarbij malware wordt gecombineerd met desinformatie, wijst op een poging om niet alleen apparaten te compromitteren, maar ook om de verdedigingsinspanningen van Oekraïne van binnenuit te ondermijnen.
De reactie van Google en de bredere implicaties
Google heeft snel gehandeld om deze campagne tegen te gaan, door de Oekraïense autoriteiten op de hoogte te stellen van de activiteiten van UNC5812 en de toegang tot de website "Civil Defense" in Oekraïne te blokkeren. Daarnaast heeft Google de domeinen en bestanden die aan deze campagne zijn gekoppeld, toegevoegd aan de Safe Browsing-functie, met als doel verdere infectie via Google-services te voorkomen.
Deze cybercampagne komt op een moment dat Oekraïne een nationale digitale militaire ID heeft geïntroduceerd om de mobilisatie en het beheer van rekruten te stroomlijnen. Volgens de bevindingen van Google heeft deze verschuiving geleid tot een toegenomen targeting van potentiële militaire rekruten, wat aansluit bij bredere desinformatie-inspanningen die zijn waargenomen door EUvsDisinfo, een project dat misinformatie van pro-Russische bronnen bijhoudt. Samen illustreren deze bevindingen een gecoördineerde inspanning om technologische kwetsbaarheden en sociaal-politieke spanningen te exploiteren, waarbij zowel malware als misinformatie wordt gebruikt om de rekruteringsinfrastructuur van Oekraïne te destabiliseren.
Veilig blijven in het licht van gerichte campagnes
De UNC5812-campagne laat zien hoe cyberactoren technische aanvallen kunnen combineren met psychologische manipulatie om strategische doelen te bereiken. Voor gebruikers, met name in Oekraïne, is een groter bewustzijn van digitale veiligheid cruciaal. Basisvoorzorgsmaatregelen zijn onder meer het uitsluitend downloaden van apps van vertrouwde bronnen zoals Google Play, het vermijden van het uitschakelen van kritieke beveiligingsfuncties zoals Google Play Protect en waakzaam blijven over de legitimiteit van Telegram-kanalen die controversiële content of ongevraagde software promoten.
Naarmate cybercampagnes steeds geavanceerder en omvangrijker worden, blijven gecoördineerde reacties van bedrijven als Google en nationale autoriteiten essentieel om deze bedreigingen te beperken. Voor individuen kan het begrijpen van de risico's van het downloaden van ongeautoriseerde apps en het omgaan met potentieel schadelijke online content een groot verschil maken in het veilig blijven voor zowel malware als beïnvloedingscampagnes.