Rusya, Ukrayna’nın Asker Alımı Kötü Amaçlı Yazılım Hedeflemesiyle Bağlantılı

Seferberlik Karşıtı Mesajlar Kötü Amaçlı Yazılımları Yönlendiren ‘Sivil Savunma’ Sitesine Yol Açıyor

Mathew J. Schwartz (euroinfosec) •
28 Ekim 2024

Potansiyel Ukraynalı askerler, meşru Telegram kanalları aracılığıyla kötü amaçlı yazılım ve seferberlik karşıtı mesajlarla hedef alınıyor.

Ayrıca bakınız: 2024 Tehdit Avcılığı Raporu: Modern Düşmanları Zekice Alt Etmeye Yönelik İçgörüler

Google’ın Tehdit İstihbarat Grubu’nun bir raporu, “karma casusluk ve bilgi operasyonunu”, Telegram kişiliği “Sivil Savunma” olarak anılan UNC5812 kod adlı şüpheli bir Rus grubuna atfediyor.

Rusya ülkeye karşı fetih savaşını sürdürürken, Telegram birçok Ukraynalı için hayati bir bilgi kaynağı olmaya devam ediyor ve aynı şekilde Kremlin’in dezenformasyon kampanyalarının ve diğer kötü niyetli nüfuz çabalarının da hedefi oluyor.

UNC5812 vakasında Google araştırmacıları, tehdit aktörlerinin Ukraynaca dilindeki Telegram kanalını kullandığını söyledi @civildefense_com_ua yanı sıra barındırılan bir web sitesi civildefense.com.ua geçen ay tam olarak faaliyete geçmiş görünen bir kampanyanın parçası olarak. Google’ın ulus devlet tehditlerini araştıran Tehdit Analiz Grubu’ndan oluşan araştırma ekibi, “Potansiyel mağdurları aktörlerin kontrolündeki bu kaynaklara yönlendirmek için, UNC5812’nin meşru, yerleşik Ukrayna dili Telegram kanallarında tanıtılan gönderileri büyük olasılıkla satın aldığını değerlendiriyoruz” dedi. bireylere ve ayrıca Mandiant olay müdahale grubuna.

Füze uyarılarına ayrılmış bir Telegram kanalında, kullanıcıları Sivil Savunma sitesini ziyaret etmeye yönlendiren (ilk olarak Nisan ayında kaydedilen) bir gönderi yayınlandı. Raporda, 18 Eylül tarihli gönderinin, potansiyel askeri personelin “Ukraynalı askeri personel alımı yapan kişilerin kitle kaynaklı konumlarını görüntülemesine ve paylaşmasına” yardımcı olmak için tasarlanmış ücretsiz Windows, macOS, iPhone ve Android yazılımı sağladığı iddia ediliyor.

Araştırmacılar, gerçekte sitenin meşru haritalama yazılımı değil, kötü amaçlı yazılım yükleme zincirinin başlangıç ​​aşamaları olan yalnızca iki farklı uygulamaya (biri Windows için, diğeri Android cihazlar için) hizmet verdiğini söyledi. Windows için web sitesi, önce sahte konum verilerini görüntüleyen SunSpinner kod adlı sahte haritalama yazılımını yüklemek ve ardından PureStealer adlı kötü amaçlı yazılımı yüklemek için tasarlanmış Pronsis Loader adlı bir yükleyiciyi çalıştırdı.

PureStealer, “‘Pure Coder Team’ tarafından aylık abonelik için 150 ABD Doları ile ömür boyu lisans için 699 ABD Doları arasında değişen fiyatlarla satışa sunulan” bir bilgi hırsızıdır ve kripto para birimine erişim de dahil olmak üzere depolanan çerezler ve şifreler dahil olmak üzere tarayıcı verilerini çalmak için tasarlanmıştır. Google, cüzdanlar ve mesajlaşma uygulamalarının olduğunu söyledi.

Sivil Savunma, Android kullanıcıları için kötü amaçlı bir Android paket dosyası gönderdi. CivilDefensse.apk Araştırmacılar, cihaza uzaktan arka kapı erişimi sağlamak için Craxs uzaktan erişim Truva Atı’nın bir çeşidini yüklemeye çalıştıklarını ve ardından bazı durumlarda APK’nın SunSpinner’ın Android sürümünü yüklemeye çalıştığını söyledi.

Google’ın uyarısının ardından Ukraynalı yetkililer Sivil Savunma web sitesine ulusal erişimi engellemeye başladı. Google, tanımladığı siteleri ve dosyaları, kullanıcıları tehlikeli siteleri ziyaret etmeleri veya tehlikeli dosyalar indirmeleri durumunda uyaran Güvenli Tarama hizmetine de ekledi. Google, Android kötü amaçlı yazılımını yüklemenin ayrıca kullanıcıların öncelikle Google Play Korumayı devre dışı bırakmasının yanı sıra gerekli izinleri manuel olarak etkinleştirmesini gerektirdiğini, sitenin mağdurları bunu yapmaya sosyal olarak yönlendirmeye çalışan ayrıntılı bir gerekçe ve talimatlar (bir video da dahil) içerdiğini söyledi.

Kampanya, Rus saldırganların, Ukrayna’nın ulusal seferberlik yasalarında yapılan son değişiklikler ve “ayrıntıları yönetmek için” yeni, ulusal bir dijital askeri kimliğin tanıtılması da dahil olmak üzere, çoğu zaman zaten mevcut toplumsal bölünmeleri veya sürtüşme noktalarını istismar ederek seferberlik karşıtı mesajları yaymaya nasıl devam ettiklerini vurguluyor. Google, askerlik hizmetinden sorumlu olanların ve işe alımın artırılması gerektiğini söyledi.

AB’nin Ukrayna Stratejik İletişim ve Bilgi Güvenliği Merkezi’nin yakın tarihli bir raporunda, Rus propagandacıların sık sık karşılaştığı konuların yalnızca seferberlik değil, aynı zamanda savaş alanı, yolsuzluk iddiaları, Ukraynalı yetkililer, moral bozukluğu ve Batı’nın şeytanlaştırılmasının da yer aldığı belirtildi.

“Bu psikolojik operasyonları yürüten Kremlin varlıkları, ölüm korkusu, sakatlanma korkusu ve bilinmeyen korkusu gibi doğal insan korkularından yararlanıyor” ve ayrıca Ukrayna’nın Bölgesel İşe Alma ve Sosyal Destek Merkezleri veya TRC’ler gibi çeşitli kuruluşlarda belgelenen eksiklikler var. rapora.

“Rus yetkilileri Ukrayna medya alanını, örneğin rüşvet veya TRC çalışanlarının diğer olası ihlalleri hakkındaki iddialar gibi seferberlik karşıtı mesajları teşvik etmek için kullanabileceği haberler açısından dikkatle izliyor” dedi. “Kremlin aynı zamanda ordunun dahil olduğu çatışmalar, Ukrayna’nın askeri kayıpları veya sınırı yasa dışı geçmeye çalışan Ukraynalı erkeklerle ilgili her türlü haberden yararlanmaya çalışıyor.”

UNC5812’ye atfedilen son kampanya bu kalıbı takip ediyor. Google’ın raporunda, “UNC5812, Telegram kanalını ve web sitesini kötü amaçlı yazılım dağıtımı için kullanmanın yanı sıra, Ukrayna’nın seferberlik çabalarına verilen desteği baltalamayı amaçlayan anlatılar sunarak ve içerik talep ederek etkileme faaliyetleriyle de aktif olarak ilgileniyor.” ifadesine yer veriliyor.