Пророссийская киберкампания нацелена на украинцев с помощью вредоносного ПО и антимобилизационной пропаганды
В тревожном развитии событий сложная киберкампания нацелена на украинских интернет-пользователей, используя популярные каналы Telegram для распространения вредоносного ПО и подрыва усилий по национальной мобилизации. Google приписал эту деятельность субъекту угрозы, идентифицированному как UNC5812, который использовал легитимные украиноязычные каналы Telegram для распространения опасного программного обеспечения и антимобилизационной пропаганды.
Оглавление
Использование UNC5812 Telegram для связи с жертвами
В последние месяцы UNC5812 покупал рекламные посты на легитимных украиноязычных каналах Telegram, чтобы нацелиться на большую аудиторию, некоторые из которых насчитывают до 80 000 подписчиков. Примечательно, что кампания вращалась вокруг веб-сайта, выдававшего себя за официальную инициативу «Гражданской обороны», заманивая пользователей обещаниями программного обеспечения, которое поможет им оставаться анонимными и безопасными в сети. На самом деле этот веб-сайт и его рекламные посты являются частью более крупной схемы по заражению устройств вредоносным ПО и проведению операций влияния, направленных на дестабилизацию вербовочных усилий Украины.
Вредоносный сайт «Гражданской обороны»
Так называемый сайт "Гражданской обороны", контролируемый UNC5812, утверждает, что предоставляет программное обеспечение для различных операционных систем, включая приложение Android, доступное исключительно за пределами Google Play. Это ограничение представляется как функция безопасности, подразумевая, что оно безопаснее, чем предложения Play Store. Однако это прикрытие для распространения вредоносного ПО, которое может поставить под угрозу устройства пользователей.
Для успешной установки этого вредоносного ПО веб-сайт предлагает пользователям отключить Google Play Protect — ключевую функцию безопасности, которая защищает пользователей Android от потенциально вредоносных приложений — и вручную включить полные разрешения для приложения. Побуждая пользователей обходить эти важные средства защиты, UNC5812 увеличивает вероятность заражения устройств без обнаружения, предоставляя вредоносному ПО широкий доступ к данным и функционалу устройства.
Влияние и дезинформация
Помимо распространения вредоносного ПО, UNC5812 участвует в операциях влияния, направленных на подрыв украинского морального духа и военной поддержки. Канал Telegram «Гражданская оборона» активно поощряет пользователей загружать видео, которые могут дискредитировать украинскую армию, одновременно продвигая нарративы, противоречащие мобилизационным усилиям. Этот канал, по-видимому, создан для того, чтобы повлиять на общественное мнение и подогреть недоверие к военным операциям Украины.
Веб-сайт, связанный с UNC5812, также заполнен украиноязычным контентом и изображениями, явно противостоящими мобилизации. Раздел «новости» освещает случаи предполагаемой несправедливой мобилизации, извлекая выгоду из любых общественных обид, связанных с этой проблемой. Этот многогранный подход — сочетание вредоносного ПО с дезинформацией — указывает на попытку не только скомпрометировать устройства, но и подорвать оборонные усилия Украины изнутри.
Реакция Google и более широкие последствия
Google быстро отреагировал на эту кампанию, уведомив украинские власти о деятельности UNC5812 и заблокировав доступ к сайту «Гражданская оборона» в Украине. Кроме того, Google добавил домены и файлы, связанные с этой кампанией, в свою функцию Safe Browsing, чтобы предотвратить дальнейшее заражение через службы Google.
Эта киберкампания разворачивается в то время, когда Украина ввела национальный цифровой военный идентификатор для упрощения мобилизации и управления новобранцами. Согласно выводам Google, этот сдвиг привел к усилению нацеливания на потенциальных военных новобранцев, что соответствует более широким усилиям по дезинформации, наблюдаемым EUvsDisinfo — проектом, который отслеживает дезинформацию из пророссийских источников. В совокупности эти выводы иллюстрируют скоординированные усилия по эксплуатации технологических уязвимостей и социально-политической напряженности с использованием как вредоносного ПО, так и дезинформации для дестабилизации инфраструктуры рекрутинга Украины.
Сохранение безопасности перед лицом целевых кампаний
Кампания UNC5812 демонстрирует, как киберпреступники могут сочетать технические атаки с психологическими манипуляциями для достижения стратегических целей. Для пользователей, особенно в Украине, повышенная осведомленность о цифровой безопасности имеет решающее значение. Основные меры предосторожности включают загрузку приложений исключительно из надежных источников, таких как Google Play, избегание отключения критических функций безопасности, таких как Google Play Protect, и сохранение бдительности в отношении легитимности каналов Telegram, продвигающих спорный контент или нежелательное программное обеспечение.
Поскольку киберкампании продолжают развиваться в своей сложности и охвате, скоординированные ответы таких компаний, как Google, и национальных властей будут по-прежнему иметь важное значение для смягчения этих угроз. Для отдельных лиц понимание рисков загрузки несанкционированных приложений и взаимодействия с потенциально вредоносным онлайн-контентом может иметь существенное значение для защиты как от вредоносных программ, так и от кампаний влияния.