Новий звіт Групи розвідки загроз Google (TAG) викриває кібер-кампанію, спрямовану на українських чоловіків, придатних до військової служби. Кампанія, пов’язана з російськими державними хакерами, організована групою UNC5812, використовує поєднання шкідливого програмного забезпечення та дезінформації.
Варто зазначити, що на початку жовтня 2024 року з’явилися повідомлення про те, що російські кібероперації проти України в першій половині року перейшли від атак широкого спектру до більш цілеспрямованого підходу, зокрема, зосередившись на військовому та оборонному секторах України.
Безпосередньою метою останньої кампанії є компрометація пристроїв потенційних українських призовників. Хакери поширюють шкідливе програмне забезпечення, щоб допомогти українським призовникам знайти призовні пункти. Ці програми містять шкідливе програмне забезпечення, яке може викрадати конфіденційну інформацію, таку як дані браузера, натискання клавіш та дані криптовалютних гаманців.
Для цього зловмисники створили оманливу онлайн-присутність через Telegram-канал і веб-сайт під назвою «Гражданская оборона». Як повідомляється, веб-сайт був зареєстрований у квітні 2024 року, а Telegram-канал був створений у вересні.
Ці платформи заманюють користувачів обіцянками корисної інформації та інструментів, пов’язаних з військовим призовом. Однак, як тільки жертви завантажують та встановлюють запропоноване програмне забезпечення, вони мимоволі наражають свої пристрої на різні штами шкідливого програмного забезпечення.
Для користувачів Windows це, як правило, завантажувач Pronsis Loader, який згодом встановлює програму-здирник PURESTEALER, що викрадає інформацію. Користувачі Android, з іншого боку, стають мішенню для бекдору CRAXSRAT – універсального інструменту, здатного викрадати дані, здійснювати спостереження та дистанційне керування.
Щоб обійти заходи безпеки, зловмисники використовують методи соціальної інженерії, пропонуючи жертвам відключити Google Play Protect і вручну надати дозволи шкідливим програмам. Кампанія також включає в себе цілеспрямовані зусилля з поширення дезінформації та підриву суспільної моралі в Україні.
Платформа «Гражданская оборона» поширює антимобілізаційні наративи, просуває неправдиву інформацію про війну та заохочує користувачів ділитися відеоматеріалами про нібито недобросовісні практики у призовних пунктах. На сайті є спеціальний розділ новин, який рясніє сфабрикованими історіями, що зображують нібито несправедливість, пов’язану з мобілізацією. Цей контент розміщується на проросійських каналах соціальних мереж.
Кампанія UNC5812 є частиною більш широкої системи російських кібератак, спрямованих на дестабілізацію України. Орієнтуючись на потенційних призовників, зловмисники намагаються підірвати громадську підтримку армії та зашкодити здатності України до самооборони.
Дослідники підозрюють, що UNC5812 купує розкручені пости в україномовних каналах для націлювання на потенційних жертв. Канал із понад 80 000 підписників, який просуває Telegram-канал-сайт «Цивільна оборона», був помічений 18 вересня. Додатковий україномовний канал новин, який просував ці пости нещодавно, 8 жовтня, свідчить про те, що кампанія активно шукає нові україномовні спільноти для цілеспрямованого залучення.
Google виявив і заблокував шкідливі веб-сайти та домени, додавши їх до Безпечного перегляду, активно скануючи пристрої на наявність шкідливих додатків і співпрацюючи з українською владою для блокування веб-сайту кампанії в межах країни. Google Play Protect також активно сканує пристрої на наявність шкідливих додатків, у тому числі й тих, що встановлені поза межами Play Store.
Тим не менш, звіт Google проливає світло на багатогранний підхід Росії до ослаблення військових зусиль України за допомогою кіберзасобів. Залишаючись поінформованими та використовуючи заходи безпеки, що надаються такими платформами, як Google, користувачі можуть допомогти пом’якшити вплив таких кампаній.
Атака російського шкідливого програмного забезпечення націлена на українських призовників через Telegram
