Chiến dịch mạng thân Nga nhắm vào người dân Ukraine bằng phần mềm độc hại và tuyên truyền chống huy động

Trong một diễn biến đáng lo ngại, một chiến dịch mạng tinh vi đang nhắm vào người dùng internet Ukraine, lợi dụng các kênh Telegram phổ biến để phát tán phần mềm độc hại và phá hoại các nỗ lực huy động quốc gia. Google đã quy kết hoạt động này cho một tác nhân đe dọa được xác định là UNC5812, đã sử dụng các kênh Telegram tiếng Ukraina hợp pháp để phân phối phần mềm nguy hiểm và tuyên truyền chống huy động.

UNC5812 sử dụng Telegram để tiếp cận nạn nhân

Trong những tháng gần đây, UNC5812 đã mua các bài đăng được quảng cáo trên các kênh Telegram tiếng Ukraina hợp pháp để nhắm mục tiêu đến lượng lớn khán giả, một số kênh có tới 80.000 người đăng ký. Đáng chú ý, chiến dịch này xoay quanh một trang web đóng giả là sáng kiến "Phòng vệ dân sự" chính thức, dụ dỗ người dùng bằng lời hứa về phần mềm giúp họ ẩn danh và an toàn trực tuyến. Trên thực tế, trang web này và các bài đăng được quảng cáo là một phần của một kế hoạch lớn hơn nhằm lây nhiễm phần mềm độc hại vào các thiết bị và tiến hành các hoạt động gây ảnh hưởng nhằm mục đích làm mất ổn định các nỗ lực tuyển dụng của Ukraine.

Trang web “Phòng thủ dân sự” độc hại

Trang web được gọi là "Civil Defense", do UNC5812 kiểm soát, tuyên bố cung cấp phần mềm cho nhiều hệ điều hành khác nhau, bao gồm một ứng dụng Android chỉ có sẵn bên ngoài Google Play. Hạn chế này được trình bày như một tính năng bảo mật, ngụ ý rằng nó an toàn hơn so với các dịch vụ của Play Store. Tuy nhiên, đây là một vỏ bọc để phân phối phần mềm độc hại có thể xâm phạm thiết bị của người dùng.

Để cài đặt thành công phần mềm độc hại này, trang web hướng dẫn người dùng tắt Google Play Protect—một tính năng bảo mật quan trọng bảo vệ người dùng Android khỏi các ứng dụng có khả năng gây hại—và bật thủ công toàn quyền cho ứng dụng. Bằng cách khuyến khích người dùng bỏ qua các biện pháp bảo vệ thiết yếu này, UNC5812 làm tăng khả năng lây nhiễm các thiết bị mà không bị phát hiện, cấp cho phần mềm độc hại quyền truy cập rộng rãi vào dữ liệu và chức năng của thiết bị.

Hoạt động ảnh hưởng và thông tin sai lệch

Ngoài việc phát tán phần mềm độc hại, UNC5812 còn tham gia vào các hoạt động gây ảnh hưởng nhằm làm xói mòn tinh thần và sự ủng hộ của quân đội Ukraine. Kênh Telegram "Phòng thủ dân sự" đã tích cực khuyến khích người dùng tải lên các video có thể làm mất uy tín của quân đội Ukraine, đồng thời thúc đẩy các câu chuyện phản đối nỗ lực huy động. Kênh này dường như được thiết kế để tác động đến dư luận và gây mất lòng tin vào các hoạt động quân sự của Ukraine.

Trang web liên quan đến UNC5812 cũng chứa đầy nội dung và hình ảnh bằng tiếng Ukraina phản đối rõ ràng việc huy động. Một mục "tin tức" nêu bật các trường hợp bị cáo buộc huy động bất công, tận dụng mọi bất bình của công chúng liên quan đến vấn đề này. Cách tiếp cận đa diện này—kết hợp phần mềm độc hại với thông tin sai lệch—chỉ ra nỗ lực không chỉ xâm phạm các thiết bị mà còn làm suy yếu các nỗ lực phòng thủ của Ukraine từ bên trong.

Phản ứng của Google và những hàm ý rộng hơn

Google đã hành động nhanh chóng để chống lại chiến dịch này, thông báo cho chính quyền Ukraine về các hoạt động của UNC5812 và chặn quyền truy cập vào trang web "Phòng vệ dân sự" trong Ukraine. Ngoài ra, Google đã thêm các tên miền và tệp liên quan đến chiến dịch này vào tính năng Duyệt web an toàn của mình, nhằm mục đích ngăn chặn sự lây nhiễm thêm trên các dịch vụ của Google.

Chiến dịch mạng này xuất hiện vào thời điểm Ukraine đã đưa ra ID quân sự kỹ thuật số quốc gia để hợp lý hóa việc huy động và quản lý tân binh. Theo phát hiện của Google, sự thay đổi này đã dẫn đến việc nhắm mục tiêu nhiều hơn vào những tân binh quân sự tiềm năng, phù hợp với các nỗ lực thông tin sai lệch rộng hơn được EUvsDisinfo quan sát thấy—một dự án theo dõi thông tin sai lệch từ các nguồn thân Nga. Cùng nhau, những phát hiện này minh họa cho một nỗ lực phối hợp nhằm khai thác các lỗ hổng công nghệ và căng thẳng chính trị xã hội, tận dụng cả phần mềm độc hại và thông tin sai lệch để làm mất ổn định cơ sở hạ tầng tuyển dụng của Ukraine.

Giữ an toàn trước các chiến dịch có mục tiêu

Chiến dịch UNC5812 chứng minh cách các tác nhân mạng có thể kết hợp các cuộc tấn công kỹ thuật với thao túng tâm lý để đạt được các mục tiêu chiến lược. Đối với người dùng, đặc biệt là ở Ukraine, việc nâng cao nhận thức về bảo mật kỹ thuật số là rất quan trọng. Các biện pháp phòng ngừa cơ bản bao gồm tải xuống ứng dụng độc quyền từ các nguồn đáng tin cậy như Google Play, tránh vô hiệu hóa các tính năng bảo mật quan trọng như Google Play Protect và luôn cảnh giác về tính hợp pháp của các kênh Telegram quảng bá nội dung gây tranh cãi hoặc phần mềm không được yêu cầu.

Khi các chiến dịch mạng tiếp tục phát triển về mức độ tinh vi và phạm vi, các phản ứng phối hợp từ các công ty như Google và các cơ quan quốc gia sẽ vẫn cần thiết để giảm thiểu các mối đe dọa này. Đối với cá nhân, việc hiểu được rủi ro khi tải xuống các ứng dụng trái phép và tương tác với nội dung trực tuyến có khả năng gây hại có thể tạo ra sự khác biệt đáng kể trong việc giữ an toàn trước cả phần mềm độc hại và các chiến dịch gây ảnh hưởng.