Rus bilgisayar korsanları, Telegram aracılığıyla Ukraynalı askerlere yönelik hedefli bir kötü amaçlı yazılım kampanyası başlattı. İşe alım aracı olarak gizlenen kötü amaçlı yazılım, verileri çalıyor ve dezenformasyon yayarak Ukrayna’nın savunma çabalarını zayıflatıyor.
Google’ın Tehdit İstihbarat Grubu (TAG) tarafından hazırlanan yeni bir rapor, askerlik hizmetine uygun Ukraynalı erkekleri hedef alan bir siber kampanyayı ortaya koyuyor. UNC5812 grubu tarafından düzenlenen ve Rus devleti destekli bilgisayar korsanlarıyla bağlantılı kampanya, kötü amaçlı yazılım ve dezenformasyon kombinasyonundan yararlanıyor.
Ekim 2024’ün başında, Rusya’nın yılın ilk yarısında Ukrayna’ya yönelik siber operasyonlarının geniş spektrumlu saldırılardan, özellikle Ukrayna’nın askeri ve savunma sektörlerine odaklanan daha hedefli bir yaklaşıma kaydığını gösteren raporlar olduğunu belirtmekte fayda var.
Son harekâtın acil hedefi, potansiyel Ukraynalı askeri birliklerin cihazlarını tehlikeye atmak. Bilgisayar korsanları, Ukraynalı askeri personelin işe alım merkezlerini bulmasına yardımcı olmak için kötü amaçlı yazılım dağıtıyor. Bu programlar, tarayıcı verileri, tuş vuruşları ve kripto para birimi cüzdan ayrıntıları gibi hassas bilgileri çalabilen kötü amaçlı yazılımlarla doludur.
Saldırganlar bunu başarmak için Telegram kanalı ve “Sivil Savunma” olarak bilinen web sitesi aracılığıyla aldatıcı bir çevrimiçi varlık oluşturdular. Bildirildiğine göre web sitesi Nisan 2024’te kaydedildi, ancak Telegram kanalı Eylül ayında oluşturuldu
Bu platformlar, askerlik hizmetiyle ilgili yararlı bilgi ve araçlar vaadiyle kullanıcıları cezbediyor. Ancak kurbanlar sunulan yazılımı indirip yükledikten sonra, farkında olmadan cihazlarını çeşitli kötü amaçlı yazılım türlerine maruz bırakıyorlar.
Windows kullanıcıları için bu genellikle daha sonra bilgi çalan PURESTEALER’ı sunan Pronsis Yükleyiciyi içerir. Android kullanıcıları ise veri hırsızlığı, gözetleme ve uzaktan kontrol yapabilen çok yönlü bir araç olan CRAXSRAT arka kapısıyla hedefleniyor.
Saldırganlar, güvenlik önlemlerini atlatmak için sosyal mühendislik teknikleri kullanarak kurbanlara Google Play Korumayı devre dışı bırakmaları ve kötü amaçlı uygulamalara manuel olarak izin vermeleri talimatını verdi. Kampanya aynı zamanda Ukrayna’da dezenformasyon yaymak ve halkın moralini baltalamak için ortak bir çabayı da içeriyor.
“Sivil Savunma” platformu seferberlik karşıtı anlatılar yayıyor, savaşla ilgili yanlış bilgileri teşvik ediyor ve kullanıcıları askere alma merkezlerindeki adil olmayan uygulamalara ilişkin iddiaların videolarını paylaşmaya teşvik ediyor. Web sitesinde, seferberlikle ilgili olduğu iddia edilen adaletsizlikleri tasvir eden uydurma hikayelerle dolu özel bir haber bölümü var. İçerik Rusya yanlısı sosyal medya kanallarında yayınlanıyor.
UNC5812 kampanyası, Ukrayna’yı istikrarsızlaştırmayı amaçlayan daha geniş bir Rus siber saldırı modelinin parçası. Saldırganlar potansiyel askerleri hedef alarak orduya verilen halk desteğini zayıflatmayı ve Ukrayna’nın kendisini savunma yeteneğini engellemeyi amaçlıyor.
Araştırmacılar, UNC5812’nin potansiyel kurbanları hedef almak için Ukraynaca yayın yapan kanallarda terfi ettirilen gönderileri satın aldığından şüpheleniyor. 80.000’den fazla abonesi olan ve “Sivil Savunma” Telegram kanal web sitesini tanıtan bir kanal 18 Eylül’de gözlemlendi. 8 Ekim gibi yakın bir tarihte gönderileri tanıtan ek bir Ukraynaca dilindeki haber kanalı, kampanyanın aktif olarak hedefe yönelik katılım için yeni Ukraynaca konuşan topluluklar aradığını öne sürüyor.
Google, kötü amaçlı web sitelerini ve alan adlarını Güvenli Tarama’ya ekleyerek, cihazları zararlı uygulamalara karşı aktif olarak tarayarak ve kampanyanın web sitesini ülke içinde engellemek için Ukraynalı yetkililerle işbirliği yaparak tespit etti ve engelledi. Google Play Koruma ayrıca Play Store dışında yüklenenler de dahil olmak üzere cihazları zararlı uygulamalara karşı aktif olarak tarar.
Bununla birlikte Google’ın raporu, Rusya’nın Ukrayna’nın savaş çabalarını siber araçlarla zayıflatmaya yönelik çok yönlü yaklaşımına ışık tutuyor. Kullanıcılar, bilgi sahibi olarak ve Google gibi platformların sağladığı güvenlik önlemlerinden yararlanarak bu tür kampanyaların etkisinin azaltılmasına yardımcı olabilir.
İLGİLİ RAPORLAR
- Ukrayna’daki Yaygın Elektrik Kesintisinin Sorumlusu Rusya mı?
- Ukrayna, Rus Industroyer 2’nin Enerji Sağlayıcısına Yönelik Saldırısını Engelledi
- Bilgisayar Korsanları Rus Siber Güvenlik Firması Dr.Web’de Veri İhlalini İddia Ediyor
- Rus APT29, Saldırılarda NSO Grup Tarzı Açıklardan Yararlanıyor, Google
- Rus Geceyarısı Blizzard, Microsoft aracılığıyla Birleşik Krallık İçişleri Bakanlığı’nı ihlal etti