Проросійська кіберкампанія націлена на українців за допомогою зловмисного програмного забезпечення та антимобілізаційної пропаганди
Тривожним є те, що складна кіберкампанія націлена на українських користувачів Інтернету, використовуючи популярні канали Telegram для поширення зловмисного програмного забезпечення та підриву національних мобілізаційних зусиль. Google пояснив цю діяльність зловмисником під назвою UNC5812, який використовував легальні україномовні канали Telegram для розповсюдження небезпечного програмного забезпечення та антимобілізаційної пропаганди.
Зміст
UNC5812 використовує Telegram для зв’язку з жертвами
Останніми місяцями UNC5812 придбав рекламні дописи в законних україномовних каналах Telegram, щоб націлити на широку аудиторію, деякі з яких мають до 80 000 підписників. Примітно, що кампанія була зосереджена навколо веб-сайту, який видавав себе за офіційну ініціативу «Цивільної оборони», заманюючи користувачів обіцянкою програмного забезпечення, яке допоможе їм залишатися анонімними та безпечними в Інтернеті. Насправді цей веб-сайт і його рекламовані публікації є частиною більшої схеми зараження пристроїв шкідливим програмним забезпеченням і проведення операцій впливу, спрямованих на дестабілізацію зусиль вербування в Україні.
Шкідливий веб-сайт «Цивільна оборона».
Так званий веб-сайт «Цивільної оборони», який контролюється UNC5812, стверджує, що надає програмне забезпечення для різних операційних систем, включаючи програму для Android, доступну виключно за межами Google Play. Це обмеження представлено як функція безпеки, що означає, що воно безпечніше, ніж пропозиції Play Store. Однак це прикриття для розповсюдження шкідливого програмного забезпечення, яке може скомпрометувати пристрої користувачів.
Щоб успішно встановити це зловмисне програмне забезпечення, веб-сайт пропонує користувачам вимкнути Google Play Protect — ключову функцію безпеки, яка захищає користувачів Android від потенційно шкідливих програм — і вручну надати повні дозволи для програми. Заохочуючи користувачів обходити ці основні засоби захисту, UNC5812 збільшує ймовірність зараження пристроїв без виявлення, надаючи шкідливому програмному забезпеченню широкий доступ до даних і функцій пристрою.
Діяльність впливу та дезінформація
Крім розповсюдження зловмисного програмного забезпечення, UNC5812 бере участь в операціях впливу, спрямованих на підрив українського морального духу та військової підтримки. Telegram-канал «Цивільна оборона» активно заохочував користувачів завантажувати відео, які могли б дискредитувати українських військових, одночасно популяризуючи наративи проти мобілізаційних заходів. Схоже, що цей канал створений для того, щоб схилити громадську думку та розпалити недовіру до військових дій України.
Веб-сайт, пов’язаний з UNC5812, також заповнений україномовним контентом і зображеннями, які явно виступають проти мобілізації. У розділі «Новини» висвітлюються випадки ймовірної несправедливої мобілізації, використовуючи будь-які громадські скарги, пов’язані з цією проблемою. Цей багатогранний підхід — поєднання зловмисного програмного забезпечення з дезінформацією — вказує на спроби не лише скомпрометувати пристрої, але й підірвати зусилля України зсередини в сфері оборони.
Відповідь Google і ширші наслідки
Google швидко діяв, щоб протистояти цій кампанії, повідомивши українську владу про діяльність UNC5812 і заблокувавши доступ до веб-сайту «Цивільної оборони» в Україні. Крім того, Google додав домени та файли, пов’язані з цією кампанією, до своєї функції безпечного перегляду, щоб запобігти подальшому зараженню в службах Google.
Ця кіберкампанія виникає в той час, коли Україна запровадила національний цифровий військовий квиток для спрощення мобілізації та управління новобранцями. Згідно з висновками Google, ця зміна призвела до посилення нападу на потенційних військовослужбовців, що узгоджується з більш широкими зусиллями з дезінформації, які спостерігає EUvsDisinfo — проект, який відстежує дезінформацію з проросійських джерел. Разом ці результати ілюструють скоординовані зусилля з використання технологічної вразливості та соціально-політичної напруженості, використовуючи як зловмисне програмне забезпечення, так і дезінформацію для дестабілізації кадрової інфраструктури України.
Залишайтеся в безпеці перед обличчям цільових кампаній
Кампанія UNC5812 демонструє, як кіберактори можуть поєднувати технічні атаки з психологічними маніпуляціями для досягнення стратегічних цілей. Для користувачів, особливо в Україні, підвищена обізнаність щодо цифрової безпеки є надзвичайно важливою. Основні запобіжні заходи включають завантаження програм виключно з надійних джерел, таких як Google Play, уникнення вимкнення критичних функцій безпеки, таких як Google Play Protect, і пильність щодо легітимності каналів Telegram, які рекламують суперечливий вміст або небажане програмне забезпечення.
Оскільки кіберкампанії продовжують розвиватися у своїй витонченості та охопленні, узгоджена відповідь таких компаній, як Google, і національних органів влади залишатиметься важливою для пом’якшення цих загроз. Для людей розуміння ризиків завантаження неавторизованих програм і взаємодії з потенційно шкідливим онлайн-контентом може істотно змінити захист як від зловмисного програмного забезпечення, так і від кампаній впливу.