Ερευνητές της Google ανακάλυψαν μια ιδιαίτερη υβριδική εκστρατεία κατασκοπείας/επιρροής, η οποία διεξήχθη από τους Ρώσους hackers «UNC5812» και στοχεύει νεοσύλλεκτους Ουκρανούς στρατιώτες με malware για Windows και Android συστήματα.
Σύμφωνα με τη Google, η καμπάνια υποδύθηκε μια περσόνα «Civil Defense» χρησιμοποιώντας έναν σχετικό ιστότοπο και ένα αποκλειστικό κανάλι Telegram. Για τη διανομή του κακόβουλου λογισμικού χρησιμοποιήθηκε μια ψεύτικη εφαρμογή αποφυγής στρατολόγησης που ονομάστηκε «Sunspinner» από τους ερευνητές.
Η καμπάνια στοχεύει συσκευές Windows και Android χρησιμοποιώντας ξεχωριστό κακόβουλο λογισμικό για κάθε πλατφόρμα. Οι Ρώσοι hackers UNC5812 μπορούν μέσω του malware να κλέψουν δεδομένα και να κατασκοπεύσουν τους Ουκρανούς σε πραγματικό χρόνο.
Η Google έχει λάβει μέτρα για να εμποδίσει την κακόβουλη δραστηριότητα.
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Πώς να Αναγνωρίσετε AI Video Call Scams;
Τα μελλοντικά VR headsets θα διαθέτουν ολογραφικούς φακούς
Ψεύτικη περσόνα «Civil Defense»
Οι Ρώσοι hackers UNC5812 δεν προσπάθησαν να υποδυθούν την Πολιτική Άμυνα της Ουκρανίας ή κάποια άλλη κυβερνητική υπηρεσία. Προώθησαν την περσόνα Civli Defense ως μια νόμιμη οργάνωση, φιλική προς την Ουκρανία, που παρέχει στους Ουκρανούς στρατιώτες χρήσιμα εργαλεία λογισμικού και συμβουλές.
Δείτε επίσης: Οι Ρώσοι hackers APT29 στοχεύουν Zimbra και TeamCity servers
Η υποτιθέμενη οργάνωση χρησιμοποιεί ένα κανάλι Telegram και έναν ιστότοπο για να προσελκύσει πιθανά θύματα και να προωθήσει αφηγήσεις ενάντια στις προσπάθειες στρατολόγησης και κινητοποίησης της Ουκρανίας, με στόχο να προκαλέσει δυσπιστία και αντίσταση στον πληθυσμό.
Όταν η Google ανακάλυψε την καμπάνια στις 18 Σεπτεμβρίου 2024, το κανάλι «Civil Defense» στο Telegram είχε ήδη 80.000 μέλη.
Οι χρήστες που επισκέφτηκαν τον ιστότοπο Civil Defense μεταφέρθηκαν σε μια σελίδα λήψης μιας κακόβουλης εφαρμογής, που προωθείται ως εργαλείο χαρτογράφησης και μπορεί να βοηθήσει τους χρήστες να παρακολουθούν τις τοποθεσίες των recruiters για να τις αποφύγουν.
Η Google αποκαλεί αυτήν την εφαρμογή “Sunspinner”, και παρόλο που η εφαρμογή διαθέτει χάρτη με δείκτες, η Google λέει ότι τα δεδομένα είναι κατασκευασμένα. Ο μόνος σκοπός της εφαρμογής είναι να κρύψει την εγκατάσταση του malware που πραγματοποιείται στο παρασκήνιο.
Windows και Android malware
Οι ψεύτικες εφαρμογές στοχεύουν Windows και Android συστήματα και υπόσχονται να προσθέσουν υποστήριξη και για iOS και macOS.
Στα Windows, χρησιμοποιείται το Pronsis Loader, ένα malware loader που ανακτά πρόσθετα κακόβουλα payloads από τον διακομιστή των Ρώσων hackers UNC5812, συμπεριλαμβανομένου του εργαλείου κλοπής πληροφοριών «PureStealer».
Δείτε επίσης: Ρώσοι hackers στοχεύουν στρατιωτικές υποδομές της Ουκρανίας
Το PureStealer στοχεύει πληροφορίες που είναι αποθηκευμένες σε προγράμματα περιήγησης ιστού, όπως κωδικούς πρόσβασης, cookies, λεπτομέρειες πορτοφολιού κρυπτονομισμάτων, email clients και δεδομένα εφαρμογών ανταλλαγής μηνυμάτων.
Στο Android, το ληφθέν αρχείο APK εγκαθιστά το CraxsRAT backdoor. Το CraxsRAT επιτρέπει στους επιτιθέμενους να παρακολουθούν την τοποθεσία του θύματος σε πραγματικό χρόνο, να καταγράφουν τις πληκτρολογήσεις του, να ηχογραφούν, να ανακτούν λίστες επαφών, να έχουν πρόσβαση σε μηνύματα SMS και να κλέβουν αρχεία και διαπιστευτήρια.
Μάλιστα, η εφαρμογή εξαπατά τους χρήστες και τους πείθει να απενεργοποιήσουν το Google Play Protect. Η Google ενημέρωσε τις προστασίες του Google Play για να εντοπίσει και να αποκλείσει έγκαιρα το Android malware. Έχει, επίσης, προσθέσει domains και αρχεία που σχετίζονται με την καμπάνια, στο ‘Safe Browsing‘ feature στο Chrome.
Η χρήση κακόβουλου λογισμικού τόσο για Windows όσο και για Android συστήματα υπογραμμίζει την εξελισσόμενη φύση των απειλών στον κυβερνοχώρο. Οι Ρώσοι hackers UNC5812 και γενικά οι κυβερνοεγκληματίες προσαρμόζονται συνεχώς και χρησιμοποιούν ταυτόχρονα διαφορετικούς φορείς επίθεσης για να επιτύχουν τους στόχους τους. Ως αποτέλεσμα, οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση και να ενημερώνουν συνεχώς τα πρωτόκολλα ασφαλείας τους για να προστατεύονται από αυτές τις εξελισσόμενες απειλές.
Δείτε επίσης: Ρώσοι hackers της GRU επιτίθενται σε κρίσιμες υποδομές
Εκτός από την κλοπή ευαίσθητων πληροφοριών, οι καμπάνιες επιρροής (influence) διαδραματίζουν κρίσιμο ρόλο στη διαμόρφωση της κοινής γνώμης και στη χειραγώγηση των πεποιθήσεων ή των συμπεριφορών των ατόμων. Σε αυτήν την περίπτωση, η προπαγάνδα που διαδίδεται από τους Ρώσους hackers UNC5812 ενδέχεται να υπονομεύσει την εμπιστοσύνη στις ουκρανικές στρατιωτικές δυνάμεις και να σπείρει διχόνοια. Είναι σημαντικό για τα άτομα να γνωρίζουν αυτές τις τακτικές και να αξιολογούν προσεκτικά τις πληροφορίες που διαβάζουν.
Η πλήρης λίστα των δεικτών παραβίασης που σχετίζονται με την τελευταία καμπάνια των Ρώσων hackers UNC5812 είναι διαθέσιμη εδώ.
Πηγή: www.bleepingcomputer.com