Analitycy Google’s Threat Analysis Group (TAG) i Mandiant zdemaskowali kampanię dezinformacyjną rosyjskiej grupy „UNC5812”. Celem działań było osłabianie mobilizacji wojskowej w Ukrainie i rozpowszechnianie złośliwego oprogramowania. Kampania wymierzona w użytkowników Windowsa i Androida operowała głównie za pośrednictwem kanału Telegram.
Jak wynika z raportu TAG, 18 września 2024 roku zaobserwowano, że legalny kanał poświęcony alarmom rakietowym i mający ponad 80 tysięcy subskrybentów, promuje wśród swoich subskrybentów inny, o nazwie „Obrona Cywilna”. Analitykom udało się ustalić, że zarówno kanał, jak i strona internetowa o tej samej nazwie były rosyjską przynętą dla użytkowników poszukujących informacji o rekrutacji do ukraińskiej armii.
Oba narzędzia wykorzystywano do dystrybucji złośliwego oprogramowania za pomocą bezpłatnej aplikacji mającej rzekomo umożliwiać potencjalnym poborowym dostęp do lokalizacji ukraińskich rekruterów wojskowych. Kanał „Civil Defense” na Telegramie został utworzony 10 września 2024 roku, zaś powiązaną z nim stronę internetową zarejestrowano kilka miesięcy wcześniej, w kwietniu 2024 roku.
Według Google TAG, atak grupy „UNC5812” ma na celu nie tylko szpiegostwo, ale także dezinformację i wywieranie wpływu na użytkowników w celu wzmocnienia oporu wobec mobilizacji wojskowej w Ukrainie. By się uwiarygodnić, atakujący wykorzystali ponadto do rozpowszechniania dezinformacji płatne posty w ukraińskojęzycznych kanałach Telegram.
W ramach kampanii użytkownicy Androida byli infekowani dostępną na rynku aplikacją typu „backdoor” o nazwie „Craxstat”, która umożliwia cybernetycznym intruzom dostęp do danego urządzenia.
Analitycy Google TAG ostrzegli, że atakujący nakłaniają użytkowników Androida do instalowania aplikacji spoza Sklepu Google Play, żądając obszernych autoryzacji, które rzekomo mają zapewnić użytkownikowi anonimowość i bezpieczeństwo. Co szczególnie niebezpieczne, atakujący udostępniają szczegółowe instrukcje, w jaki sposób użytkownicy mogą dezaktywować funkcje bezpieczeństwa Google Play Protect.
Jak podsumowali autorzy raportu, hybrydowa operacja szpiegowsko-informacyjna UNC5812 mająca na celu osłabienie skuteczności mobilizacji wojskowej w Ukrainie jest częścią szerszego zainteresowania operacyjnego rosyjskich podmiotów procedurami rekrutacyjnymi w Ukrainie po zmianie przepisów dotyczących mobilizacji narodowej w 2024 roku.
Jak podkreślili autorzy raportu, ataki na potencjalnych poborowych wzrosły po uruchomieniu ukraińskiego krajowego cyfrowego identyfikatora wojskowego wykorzystywanego do zarządzania danymi osób zobowiązanych do służby wojskowej i do przyspieszenia rekrutacji.
– Zgodnie z badaniami przeprowadzonymi przez EUvsDisinfo, nadal obserwujemy również uporczywe wysiłki prorosyjskich podmiotów nakierowanych na rozprzestrzenianie wiadomości podważających ukraińską mobilizację i siejących w społeczeństwie nieufność wobec urzędników ją przeprowadzających – napisali analitycy.
Tak długo, jak Telegram pozostanie krytycznym źródłem informacji w czasie wojny, jest prawie pewne, że pozostanie on również głównym wektorem działań cybernetycznych dla szeregu powiązanych z Rosją działań szpiegowskich i wywierania wpływu – uważają eksperci
Biznesalert.pl / PAP
Gawkowski: Polska jest w światowej czołówce cyberbezpieczeństwa i zwiększy na nie wydatki
