亲俄网络攻击活动利用恶意软件和反动员宣传攻击乌克兰人
令人担忧的是,一场复杂的网络攻击活动正针对乌克兰互联网用户,利用流行的 Telegram 频道传播恶意软件并破坏国家动员工作。谷歌将此活动归咎于一个被识别为 UNC5812 的威胁行为者,该行为者一直在使用合法的乌克兰语 Telegram 频道分发危险软件和反动员宣传。
目录
UNC5812 使用 Telegram 联系受害者
近几个月来,UNC5812 在合法的乌克兰语 Telegram 频道上购买了推广帖子,以吸引大量受众,其中一些频道的订阅者多达 80,000 人。值得注意的是,该活动围绕一个伪装成官方“民防”计划的网站展开,以软件帮助他们保持匿名和在线安全为由引诱用户。实际上,该网站及其推广帖子是一个更大计划的一部分,该计划旨在用恶意软件感染设备并进行影响行动,旨在破坏乌克兰的招募工作。
恶意“民防”网站
这个所谓的“民防”网站由 UNC5812 控制,声称提供适用于各种操作系统的软件,包括一款仅在 Google Play 之外提供的 Android 应用程序。此限制被描述为一项安全功能,暗示它比 Play Store 产品更安全。然而,这是传播可能危害用户设备的恶意软件的借口。
为了成功安装此恶意软件,该网站会指示用户禁用 Google Play Protect(这是一项保护 Android 用户免受潜在有害应用侵害的关键安全功能),并手动启用该应用程序的完整权限。通过鼓励用户绕过这些基本保护措施,UNC5812 增加了在不被发现的情况下感染设备的可能性,从而使恶意软件能够广泛访问设备数据和功能。
影响活动和虚假信息
除了传播恶意软件外,UNC5812 还参与了旨在削弱乌克兰士气和军事支持的影响力行动。“民防”电报频道积极鼓励用户上传可能诋毁乌克兰军方的视频,同时宣传反对动员努力的言论。该频道似乎旨在左右公众舆论并加剧对乌克兰军事行动的不信任。
与 UNC5812 相关的网站也充斥着乌克兰语内容和图片,明确反对动员。“新闻”部分重点介绍了据称不公正动员的案例,利用了与该问题相关的任何公众不满。这种多方面的方法——将恶意软件与虚假信息相结合——表明,他们不仅试图入侵设备,还试图从内部破坏乌克兰的国防努力。
谷歌的回应和更广泛的影响
谷歌迅速采取行动应对此次攻击活动,向乌克兰当局通报了 UNC5812 的活动,并阻止乌克兰境内访问“民防”网站。此外,谷歌已将与此次攻击活动相关的域名和文件添加到其安全浏览功能中,旨在防止 Google 服务受到进一步感染。
此次网络攻击活动出现之际,乌克兰已推出国家数字军人身份证,以简化新兵的动员和管理。根据谷歌的调查结果,这一转变导致针对潜在新兵的攻击增加,这与 EUvsDisinfo(一个跟踪亲俄消息来源的虚假信息的项目)观察到的更广泛的虚假信息活动相一致。总之,这些调查结果表明,俄罗斯正在协同努力利用技术漏洞和社会政治紧张局势,利用恶意软件和虚假信息来破坏乌克兰的招募基础设施。
面对有针对性的攻击活动,如何保持安全
UNC5812 活动展示了网络攻击者如何将技术攻击与心理操纵相结合以实现战略目标。对于用户,尤其是乌克兰用户,提高数字安全意识至关重要。基本预防措施包括仅从 Google Play 等受信任来源下载应用程序、避免禁用 Google Play Protect 等关键安全功能,以及对宣传有争议的内容或未经请求的软件的 Telegram 频道的合法性保持警惕。
随着网络攻击的复杂性和影响范围不断演变,谷歌等公司和国家当局的协调响应对于缓解这些威胁仍然至关重要。对于个人而言,了解下载未经授权的应用程序和接触潜在恶意在线内容的风险,对于远离恶意软件和影响攻击至关重要。