Руска кампания за кибершпионаж и оказване на влияние е била насочена към военнослужещи в Украйна, за да подкопае усилията на страната за мобилизация, съобщава Google.
Като част от хибридната дейност, проследена като UNC5812, лице в Telegram с име Civil Defense разпространява уж безплатен софтуер за откриване на украински военни наборници, който обаче се оказва специфичен за платформата зловреден софтуер.
На устройства с Android без активирана Google Play Protect софтуерът е инсталирал зловреден софтуер за стоки и примамливо приложение за картографиране. Google е забелязала, че на жертвите се доставят задната врата за Android CraxsRat и зловредният софтуер SunSpinner.
CraxsRat съдържа типични за Android backdoor функционалности, като управление на файлове и SMS-и, кражба на контакти и пълномощия, както и възможност за наблюдение на натискането на клавиши, местоположението на устройството и въвеждането на звук.
SunSpinner е приложение-примамка, написано с рамката Flutter, което може да показва местоположението на украински военни вербовчици, получени от тълпата. Въпреки че то предлага опция за добавяне на нови маркери, всички маркери в JSON файла на приложението са добавени в един и същи ден, което предполага, че те не са истински потребителски входни данни.
На потребителите на Windows е бил сервиран изтеглящият зловреден софтуер Pronsis Loader, който стартира сложна верига от инфекции, водеща до SunSpinner и крадеца на информация PureStealer.
Написан на .NET, PureStealer е проектиран да ексфилтрира данни от браузъра, като пароли и бисквитки, заедно с портфейли за криптовалути и данни от други приложения, включително клиенти за съобщения и електронна поща.
Според Google зловредният софтуер се разпространява както чрез канала Telegram, така и чрез свързан уебсайт. Домейнът е регистриран през април 2024 г., но каналът е създаден през септември, което предполага, че кампанията е станала напълно оперативна едва миналия месец.
Интернет гигантът смята, че UNC5812 е купувал промотирани постове в легитимни украинскоезични канали на Telegram, като поне в два от тях е видяно промотиране на Гражданска защита през септември и октомври, включително в утвърден канал с над 80 000 абонати.
„Крайната цел на кампанията е да накара жертвите да преминат към контролирания от UNC5812 уебсайт „Гражданска защита“, който рекламира няколко различни софтуерни програми за различни операционни системи“, обяснява Google.
Уебсайтът на „Гражданска защита“ твърди, че приложението за Android се разпространява извън Google Play, за да се защити анонимността и сигурността на потребителите. Той също така предоставя инструкции как потребителите могат да деактивират Google Play Protect и ръчно да активират всички разрешения, след като зловредният софтуер бъде инсталиран.
В допълнение към разпространението на зловреден софтуер каналът на „Гражданска защита“ в Telegram се занимава и с дейности за оказване на влияние, като изисква от посетителите и потребителите да качват видеоклипове, които вероятно имат за цел да дискредитират украинската армия и да насърчават антимобилизационни разкази.
„Уебсайтът на „Гражданска защита“ също е преплетен с украинскоезични антимобилизационни изображения и съдържание, включително специален раздел с новини, в който се изтъкват предполагаеми случаи на несправедливи мобилизационни практики“, казва Google.
Интернет гигантът е уведомил националните органи на Украйна за операцията на „Гражданска защита“, блокирал е разрешаването на уебсайта в национален мащаб и е добавил идентифицираните домейни и файлове към „Безопасно сърфиране“.
„Свидетели сме на това, че насочването към потенциални военнослужещи придобива все по-голяма известност след въвеждането на националния цифров военен идентификатор на Украйна, използван за управление на данните на подлежащите на военна служба и за стимулиране на набирането на персонал. В съответствие с проучванията на EUvsDisinfo продължаваме да наблюдаваме и постоянни усилия на проруски фактори за влияние за популяризиране на съобщения, подкопаващи мобилизационния стремеж на Украйна“, отбелязва Google.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.