Prorosyjska cyberkampania atakuje Ukraińców złośliwym oprogramowaniem i propagandą antymobilizacyjną
W niepokojącym rozwoju wydarzeń, wyrafinowana cyberkampania jest skierowana przeciwko ukraińskim użytkownikom Internetu, wykorzystując popularne kanały Telegram do rozprzestrzeniania złośliwego oprogramowania i podważania wysiłków mobilizacji narodowej. Google przypisuje tę aktywność aktorowi zagrożenia zidentyfikowanemu jako UNC5812, który używał legalnych kanałów Telegram w języku ukraińskim do dystrybucji niebezpiecznego oprogramowania i propagandy antymobilizacyjnej.
Spis treści
UNC5812 korzysta z telegramu, aby dotrzeć do ofiar
W ostatnich miesiącach UNC5812 kupiło promowane posty na legalnych ukraińskojęzycznych kanałach Telegram, aby dotrzeć do szerokiego grona odbiorców, z których niektóre miały nawet 80 000 subskrybentów. Co ciekawe, kampania kręciła się wokół strony internetowej podszywającej się pod oficjalną inicjatywę „Obrony Cywilnej”, wabiąc użytkowników obietnicą oprogramowania, które pomoże im zachować anonimowość i bezpieczeństwo w sieci. W rzeczywistości ta strona internetowa i jej promowane posty są częścią większego planu infekowania urządzeń złośliwym oprogramowaniem i przeprowadzania operacji wpływu mających na celu destabilizację ukraińskich działań rekrutacyjnych.
Złośliwa strona internetowa „Obrony Cywilnej”
Tak zwana strona internetowa „Civil Defense”, kontrolowana przez UNC5812, twierdzi, że dostarcza oprogramowanie dla różnych systemów operacyjnych, w tym aplikację na Androida dostępną wyłącznie poza Google Play. To ograniczenie jest przedstawiane jako funkcja bezpieczeństwa, co oznacza, że jest bezpieczniejsze niż oferty Play Store. Jest to jednak przykrywka do dystrybucji złośliwego oprogramowania, które może narazić urządzenia użytkowników na szwank.
Aby pomyślnie zainstalować to złośliwe oprogramowanie, witryna internetowa instruuje użytkowników, aby wyłączyli Google Play Protect — kluczową funkcję bezpieczeństwa, która chroni użytkowników Androida przed potencjalnie szkodliwymi aplikacjami — i ręcznie włączyli pełne uprawnienia dla aplikacji. Zachęcając użytkowników do omijania tych niezbędnych zabezpieczeń, UNC5812 zwiększa prawdopodobieństwo zainfekowania urządzeń bez wykrycia, przyznając złośliwemu oprogramowaniu szeroki dostęp do danych i funkcjonalności urządzenia.
Działania wpływające i dezinformacja
Oprócz dystrybucji złośliwego oprogramowania, UNC5812 angażuje się w operacje wpływu mające na celu osłabienie ukraińskiego morale i wsparcia wojskowego. Kanał Telegram „Civil Defense” aktywnie zachęcał użytkowników do przesyłania filmów, które mogłyby zdyskredytować ukraińskie wojsko, jednocześnie promując narracje przeciwne wysiłkom mobilizacyjnym. Wydaje się, że ten kanał został zaprojektowany w celu wpłynięcia na opinię publiczną i podsycenia nieufności wobec ukraińskich operacji wojskowych.
Strona internetowa powiązana z UNC5812 jest również wypełniona treścią i obrazami w języku ukraińskim wyraźnie sprzeciwiającymi się mobilizacji. Sekcja „aktualności” podkreśla przypadki domniemanej niesprawiedliwej mobilizacji, wykorzystując wszelkie publiczne żale związane z tą kwestią. To wieloaspektowe podejście — łączenie złośliwego oprogramowania z dezinformacją — wskazuje na próbę nie tylko naruszenia bezpieczeństwa urządzeń, ale także osłabienia wysiłków obronnych Ukrainy od wewnątrz.
Odpowiedź Google i szersze implikacje
Google szybko zareagowało, aby przeciwdziałać tej kampanii, powiadamiając władze Ukrainy o działaniach UNC5812 i blokując dostęp do witryny „Civil Defense” na Ukrainie. Ponadto Google dodało domeny i pliki powiązane z tą kampanią do swojej funkcji Safe Browsing, aby zapobiec dalszej infekcji w usługach Google.
Ta cyberkampania pojawia się w czasie, gdy Ukraina wprowadziła krajowy cyfrowy identyfikator wojskowy, aby usprawnić mobilizację i zarządzanie rekrutami. Według ustaleń Google ta zmiana doprowadziła do zwiększonego ukierunkowania potencjalnych rekrutów wojskowych, co jest zgodne z szerszymi działaniami dezinformacyjnymi obserwowanymi przez EUvsDisinfo — projekt, który śledzi dezinformację ze źródeł prorosyjskich. Łącznie te ustalenia ilustrują skoordynowany wysiłek w celu wykorzystania luk technologicznych i napięć społeczno-politycznych, wykorzystując zarówno złośliwe oprogramowanie, jak i dezinformację w celu destabilizacji ukraińskiej infrastruktury rekrutacyjnej.
Zachowanie bezpieczeństwa w obliczu ukierunkowanych kampanii
Kampania UNC5812 pokazuje, jak cyberaktorzy mogą łączyć ataki techniczne z manipulacją psychologiczną, aby osiągnąć cele strategiczne. Dla użytkowników, zwłaszcza na Ukrainie, podwyższona świadomość bezpieczeństwa cyfrowego ma kluczowe znaczenie. Podstawowe środki ostrożności obejmują pobieranie aplikacji wyłącznie ze źródeł zaufanych, takich jak Google Play, unikanie wyłączania krytycznych funkcji bezpieczeństwa, takich jak Google Play Protect, i zachowanie czujności co do legalności kanałów Telegram promujących kontrowersyjne treści lub niezamawiane oprogramowanie.
W miarę jak kampanie cybernetyczne ewoluują pod względem wyrafinowania i zasięgu, skoordynowane reakcje firm takich jak Google i organów krajowych będą nadal niezbędne do złagodzenia tych zagrożeń. Dla osób fizycznych zrozumienie ryzyka związanego z pobieraniem nieautoryzowanych aplikacji i angażowaniem się w potencjalnie złośliwe treści online może mieć znaczący wpływ na zachowanie bezpieczeństwa zarówno przed złośliwym oprogramowaniem, jak i kampaniami wpływu.