Ukrayna’nın, ülkenin Rusya’ya karşı savaşında ordusunda görev yapmak üzere yeni askerler toplama çabaları, Kremlin destekli tehdit aktörlerinin iki yönlü siber saldırısı altında.
Google’ın Tehdit İstihbarat Grubu (TAG) ve Mandiant’taki araştırmacılar, askeri personel alımı yapanların yerini belirlemek için kullanılan kitle kaynaklı bir haritalama aracı olan meşru Ukrayna dili aracı “Sivil Savunma”nın sahte bir versiyonunu kullanan aktif bir kampanyanın izini sürdüler. Saldırganlar, kötü amaçlı yazılımları bırakmak ve yanlış bilgi vermek gibi ikili kötü amaçlı eylemler gerçekleştirmek için sahte sürümü kullanıyor.
Araştırmacıların UNC5812 adını verdiği hibrit operasyon, yeni işe alım yapan kişileri Google Play sınırları dışındaki sahte bir siteden “Sivil Savunma”nın kötü amaçlı sürümünü indirmeye teşvik etmek için bir Telegram kanalını kullanıyor. Uygulama indirildikten sonra Windows ve Android kötü amaçlı yazılımlarını bırakır.
Rus Opp, Sosyal Mühendislik Yönünde Kötü Amaçlı Yazılım Kullanıyor
Aracı indirmek için sahte “Sivil Savunma” sitesine giden Windows kullanıcılarına, Pronsis Yükleyici teslim edilecek ve bu yükleyici, daha sonra Sunspinner adlı kötü amaçlı bir haritalama uygulamasının yanı sıra Purestealer adlı bir bilgi hırsızını dağıtmak için bir zincir başlatacak.
Android kullanıcıları ise Sunspinner’a ek olarak Craxsrat adında ortak bir kullanıcı arka kapısına sahip oluyor.
Raporda, “Sivil Savunma web sitesinin ayrıca, APK’nin App Store dışında teslim edilmesiyle ilgili kullanıcıların şüphelerini ortadan kaldırmak ve Craxsrat kurulumu için gereken kapsamlı izinleri haklı çıkarmak için tasarlanmış alışılmadık bir sosyal mühendislik biçimi içerdiği de dikkate değer.” ifadesine yer verildi. “Web sitesinin SSS bölümü, Android uygulamasının App Store dışında barındırılmasına yönelik gergin bir gerekçe içeriyor; bunun kullanıcılarının ‘anonimliğini ve güvenliğini koruma’ çabası olduğunu öne sürüyor ve onları bir dizi video talimatına yönlendiriyor.”
Videoda ayrıca Google Play Korumanın nasıl devre dışı bırakılacağına ilişkin talimatlar da verilmektedir.
Raporda, “Sivil Savunma web sitesi aynı zamanda macOS ve iPhone desteğinin reklamını yaparken, analiz sırasında yalnızca Windows ve Android verileri mevcuttu” dedi.
Flutter çerçevesi kullanılarak yazılmış, sahte bir grafik kullanıcı arayüzü (GUI) uygulaması olan Sunspinner, mağdurları uygulamanın meşru olduğuna ikna etmeyi amaçlayan işlevsellik sunuyor.
“Şirkette reklamı yapılan işlevsellikle tutarlı [legitimate] Sivil Savunma web sitesi Sunspinner, Google TAG analizine göre, kullanıcıların kendi işaretçilerini ekleme seçeneğiyle birlikte, Ukraynalı askeri işe alım görevlilerinin konumlarını içeren kitle kaynaklı işaretçileri görüntüleme kapasitesine sahip. Ancak sahte harita yalnızca sahte konumlar sunuyor: “Ancak, ” Kullanıcıların kaydolması ve işaretçi eklemesi için gereken sınırlı işlevselliğe sahip olmasına rağmen, görüntülenen haritada herhangi bir gerçek kullanıcı girişi yok gibi görünüyor. Tüm işaretler mevcut [were pulled from the attacker’s C2 and] aynı kullanıcı tarafından aynı gün eklendi.”
Ukrayna Ordusuna Karşı Paralel Seferberlik Karşıtı Çaba
Casusluk çabalarına paralel olarak, Rusya’nın sahte Sivil Savunma kampanyasının bir diğer hedefi de, Ukrayna’nın savaşa yönelik askeri seferberlik çabalarını bastırmayı amaçlayan dezenformasyon yaymaktır. Sivil Savunma sitesinin ve Telegram’ın kötü niyetli versiyonları, “Bölgesel İşe Alma Merkezlerinden Gelen Haksız Eylemler” gibi kışkırtıcı, Ukrayna karşıtı askeri başlıklar içeren videolar yayınladı. TAG Mandiant raporu eklendi.
Raporda, Rus bilgisayar korsanlarının işlettiği site tarafından görünüşte işe alım çabalarını itibarsızlaştırmak amacıyla “Materyal Gönder” için sağlanan düğmeye tıklayan kullanıcılara, otomatik olarak saldırgan tarafından kontrol edilen bir sohbet dizisi iletildiği belirtildi. Grubun web sitesi ve Telegram kanalı, Rusya yanlısı daha geniş sosyal medya ekosistemlerinden kaynaklanıyor gibi görünüyor. En az bir örnekte, UNC5812 tarafından paylaşılan bir video, bir gün sonra Güney Afrika’daki Rusya Büyükelçiliği’nin X hesabı tarafından paylaşıldı.”
Rusya, siber saldırıları sürekli olarak stratejisinin bir parçası olarak kullanıyor. Ukrayna’ya karşı savaş stratejisive yakın zamanda gerçekleşen dağıtılmış hizmet reddi (DDoS) dahil olmak üzere diğer hükümetlere karşı Japonya’daki nakliye limanlarına yönelik siber saldırı kampanyası. Rus hackerlar da dağıtmak için hararetli bir şekilde çalışıyorlar. ABD 2024 seçimleri öncesinde dezenformasyon. Tehdit grubunun şu anda Rusya’nın askeri faaliyetlerini en aktif ve doğrudan desteklediği anlaşılmaktadır. Ukrayna Kum Solucanıancak yeni ortaya çıkan “Sivil Savunma” kampanyasının da vurguladığı gibi bu, Kremlin’in siber uzaydaki kirli işlerini yapan birçok hacker grubundan sadece biri.