Pro-rysk cyberkampanj riktar sig till ukrainare med skadlig programvara och antimobiliseringspropaganda
I en oroande utveckling riktar sig en sofistikerad cyberkampanj till ukrainska internetanvändare och utnyttjar populära Telegram-kanaler för att sprida skadlig programvara och undergräva nationella mobiliseringsinsatser. Google har tillskrivit denna aktivitet till en hotaktör identifierad som UNC5812, som har använt legitima ukrainskspråkiga Telegram-kanaler för att distribuera farlig programvara och antimobiliseringspropaganda.
Innehållsförteckning
UNC5812:s användning av telegram för att nå offer
Under de senaste månaderna har UNC5812 köpt marknadsförda inlägg på legitima ukrainskspråkiga Telegram-kanaler för att rikta in sig på en stor publik, vissa med så många som 80 000 prenumeranter. Kampanjen har framför allt kretsat kring en webbplats som utger sig för att vara ett officiellt initiativ för "civilförsvar", som lockar användare med löftet om mjukvara för att hjälpa dem att hålla sig anonyma och säkra online. I verkligheten är den här webbplatsen och dess marknadsförda inlägg en del av ett större system för att infektera enheter med skadlig programvara och genomföra påverkansoperationer som syftar till att destabilisera Ukrainas rekryteringsinsatser.
Den skadliga “civilförsvaret”-webbplatsen
Den så kallade "Civil Defense"-webbplatsen, kontrollerad av UNC5812, hävdar att den tillhandahåller programvara för olika operativsystem, inklusive en Android-applikation som är tillgänglig exklusivt utanför Google Play. Denna begränsning presenteras som en säkerhetsfunktion, vilket innebär att den är säkrare än Play Store-erbjudanden. Detta är dock ett skydd för att distribuera skadlig programvara som kan äventyra användarnas enheter.
För att framgångsrikt installera denna skadliga programvara instruerar webbplatsen användarna att inaktivera Google Play Protect – en viktig säkerhetsfunktion som skyddar Android-användare från potentiellt skadliga appar – och att manuellt aktivera fullständiga behörigheter för applikationen. Genom att uppmuntra användare att kringgå dessa väsentliga skydd ökar UNC5812 sannolikheten för att infektera enheter utan upptäckt, vilket ger skadlig programvara bred åtkomst till enhetsdata och funktionalitet.
Påverka aktiviteter och desinformation
Förutom distribution av skadlig programvara deltar UNC5812 i påverkansoperationer som syftar till att urholka ukrainsk moral och militärt stöd. Kanalen "Civil Defense" Telegram har aktivt uppmuntrat användare att ladda upp videor som kan misskreditera den ukrainska militären, samtidigt som de främjar berättelser som motsätter sig mobiliseringsinsatser. Denna kanal verkar utformad för att påverka den allmänna opinionen och underblåsa misstroendet mot Ukrainas militära operationer.
Webbplatsen som är associerad med UNC5812 är också fylld med ukrainskspråkigt innehåll och bilder som uttryckligen motsätter sig mobilisering. En "nyhetssektion" belyser fall av påstådd orättvis mobilisering, med utnyttjande av alla offentliga klagomål relaterade till frågan. Detta mångfacetterade tillvägagångssätt – som kombinerar skadlig programvara med desinformation – pekar på ett försök att inte bara kompromissa med enheter utan också att undergräva Ukrainas försvarsinsatser inifrån.
Googles svar och bredare konsekvenser
Google har agerat snabbt för att motverka denna kampanj, underrättat ukrainska myndigheter om UNC5812:s aktiviteter och blockerat åtkomsten till webbplatsen "Civil Defense" i Ukraina. Dessutom har Google lagt till domänerna och filerna som är associerade med denna kampanj till sin Safe Browsing-funktion, i syfte att förhindra ytterligare infektion i Googles tjänster.
Denna cyberkampanj växer fram vid en tidpunkt då Ukraina har infört ett nationellt digitalt militärt ID för att effektivisera mobiliseringen och hanteringen av rekryter. Enligt Googles resultat har denna förändring lett till ökad inriktning på potentiella militärrekryter, i linje med bredare desinformationsinsatser som observerats av EUvsDisinfo – ett projekt som spårar desinformation från pro-ryska källor. Tillsammans illustrerar dessa fynd en samordnad ansträngning för att utnyttja tekniska sårbarheter och sociopolitiska spänningar, genom att utnyttja både skadlig programvara och desinformation för att destabilisera Ukrainas rekryteringsinfrastruktur.
Håll dig säker inför riktade kampanjer
Kampanjen UNC5812 visar hur cyberaktörer kan blanda tekniska attacker med psykologisk manipulation för att uppnå strategiska mål. För användare, särskilt i Ukraina, är ökad medvetenhet om digital säkerhet avgörande. Grundläggande försiktighetsåtgärder inkluderar att ladda ner appar uteslutande från pålitliga källor som Google Play, undvika att inaktivera viktiga säkerhetsfunktioner som Google Play Protect och att vara vaksam på legitimiteten hos Telegram-kanaler som marknadsför kontroversiellt innehåll eller oönskad programvara.
Eftersom cyberkampanjer fortsätter att utvecklas i sin sofistikerade och räckvidd, kommer samordnade svar från företag som Google och nationella myndigheter att förbli avgörande för att mildra dessa hot. För individer kan en förståelse för riskerna med att ladda ner obehöriga appar och engagera sig med potentiellt skadligt onlineinnehåll göra en betydande skillnad när det gäller att skydda sig mot både skadlig programvara och påverkanskampanjer.