Οι ειδικοί ασφαλείας από την ομάδα ανάλυσης απειλών της Google (TAG) και την Mandiant αποκάλυψαν ότι βρίσκεται σε εξέλιξη μια ύποπτη ρωσική κατασκοπευτική επιχείρηση με στόχο χρήστες συσκευών Android και Windows.
Σύμφωνα με το Forbes, η επίθεση, γνωστή ως UNC5812, εντοπίστηκε από την Google TAG και τη Mandiant τον Σεπτέμβριο του 2024. Πρόκειται για μια συνδυασμένη επιχείρηση κατασκοπείας και επηρεασμού, η οποία φαίνεται να πραγματοποιείται από Ρώσους κυβερνοεγκληματίες.
Με την ονομασία «Civil Defense», η εκστρατεία αυτή περιλαμβάνει τη διανομή κακόβουλου λογισμικού σε χρήστες Android και Windows, με την επίφαση της παροχής δωρεάν λογισμικού.
Το υποτιθέμενο λογισμικό στοχεύει άτομα που αναζητούν πιθανούς στρατιωτικούς στην Ουκρανία, με τη διανομή να γίνεται μέσω κακόβουλου καναλιού Telegram και παρόμοιας ιστοσελίδας.
Πώς λειτουργεί η καμπάνια
Η ενεργοποίηση του καναλιού στο Telegram τον Σεπτέμβριο σηματοδότησε την έναρξη της επιχείρησης, ενώ το domain του ιστότοπου είχε καταχωρηθεί νωρίτερα, τον Απρίλιο.
Το κακόβουλο λογισμικό είναι συγκεκριμένο για κάθε λειτουργικό σύστημα και συνοδεύεται από μια εφαρμογή που παρουσιάζεται ως εργαλείο χαρτογράφησης για τις τοποθεσίες στρατολόγησης.
«Το UNC5812 συμμετέχει επίσης σε δραστηριότητες επιρροής», δήλωσε εκπρόσωπος της Google TAG, «μεταφέροντας αφηγήσεις και περιεχόμενο με στόχο την υπονόμευση της υποστήριξης για την ουκρανική προσπάθεια στρατολόγησης».
Οι δράστες αγοράζουν προωθημένες δημοσιεύσεις σε νόμιμα, ήδη καθιερωμένα κανάλια στο Telegram στα ουκρανικά για να διαδώσουν περαιτέρω την επιχείρηση επιρροής.
Φαίνεται, σύμφωνα με τις αναλύσεις, ότι η επιχείρηση βρίσκεται ακόμα σε εξέλιξη, καθώς ένα ουκρανικό κανάλι ειδήσεων προώθησε σχετικές αναρτήσεις στις 8 Οκτωβρίου. «Η καμπάνια πιθανότατα εξακολουθεί να αναζητά νέες ουκρανόφωνες κοινότητες για στοχευμένη εμπλοκή», ανέφεραν οι ερευνητές της Google TAG.
Οι δράστες πίσω από την κυβερνοεπίθεση: APT29 ή Midnight Blizzard
Η ομάδα πίσω από την κυβερνοεπίθεση UNC5812 κατονομάστηκε ως APT29, μια κρατικά υποστηριζόμενη ρωσική ομάδα απειλών γνωστή και ως Midnight Blizzard ή Cozy Bear.
Η Amazon επιβεβαίωσε ότι εργάστηκε παρασκηνιακά για την κατάσχεση των domains που χρησιμοποιούνταν σε αυτήν την καμπάνια. Ο CJ Moses, επικεφαλής ασφαλείας της Amazon και πρώην ειδικός αναλυτής κυβερνοεπιθέσεων του FBI, ευχαρίστησε τις ομάδες κυβερνοασφάλειας της Amazon και της CERT-UA για τις προσπάθειές τους «να κάνουν το διαδίκτυο ασφαλέστερο».
Τα domains που χρησιμοποιούσε η Midnight Blizzard εντοπίστηκαν από τις ομάδες απειλών της Amazon, επεκτείνοντας το έργο που είχε ήδη κάνει η CERT-UA.
Στόχευαν θύματα που σχετίζονται με κυβερνητικές υπηρεσίες, επιχειρήσεις και στρατιωτικούς φορείς, με εκστρατεία phishing που περιλάμβανε μηνύματα ηλεκτρονικού ταχυδρομείου στα ουκρανικά.
«Ορισμένα από τα domain names προσπαθούσαν να παραπλανήσουν τα θύματα κάνοντάς τα να πιστεύουν ότι ήταν AWS domains, ενώ δεν ήταν», δήλωσε ο Moses, «αλλά ο στόχος δεν ήταν η Amazon, ούτε αναζητούσαν διαπιστευτήρια πελατών της AWS».
Στόχος της ρωσικής κυβερνοεπίθεσης κατασκοπείας
Ο στόχος της καμπάνιας που προωθείται μέσω του Telegram είναι να παρασύρει τα θύματα στον ιστότοπο όπου μπορούν να κατεβάσουν κακόβουλο λογισμικό για λειτουργικά συστήματα Android και Windows.
Οι χρήστες Android στοχοποιούνται με μια εμπορικά διαθέσιμη εφαρμογή που ονομάζεται craxstat. Οι αναλυτές της Google TAG ανέφεραν ότι ο ιστότοπος υποστηρίζει επίσης κακόβουλο λογισμικό για iOS και macOS, αν και αυτά τα φορτία δεν ήταν διαθέσιμα κατά την ανάλυση.
Πώς να προστατευθείτε από αυτήν την απειλή
Για να αποφύγετε την εμπλοκή σας σε αυτήν την απειλή, αν έχετε ήδη φτάσει στο στάδιο διανομής κακόβουλου λογισμικού, βεβαιωθείτε ότι χρησιμοποιείτε το Google Play Protect, όπως ανέφεραν οι ερευνητές της Google TAG.
Οι δράστες UNC5812 προσπάθησαν να πείσουν τους χρήστες Android να εγκαταστήσουν την εφαρμογή εκτός του Google Play, προσφέροντας ψεύτικες αιτιολογήσεις για έναν εκτενή κατάλογο δικαιωμάτων χρήστη που δήθεν προστατεύουν την ασφάλεια και την ανωνυμία του χρήστη.
Η ιστοσελίδα του Civil Defense περιλάμβανε περιεχόμενο κοινωνικής μηχανικής και λεπτομερείς οδηγίες βίντεο για το πώς ο χρήστης να απενεργοποιήσει το Google Play Protect.
Επιπλέον, το Safe Browsing προστατεύει τους χρήστες Chrome σε Android, δείχνοντάς τους προειδοποιήσεις πριν επισκεφτούν επικίνδυνους ιστότοπους.
Η υποδομή ελέγχου εφαρμογών της Google προστατεύει το Google Play και ενισχύει το Verify Apps για να προστατεύει τους χρήστες που μπορεί να εμπλακούν σε κυβερνοεπιθέσεις από εφαρμογές που εγκαθίστανται εκτός του Google Play.
