Google попереджає українців про нові методи російських хакерів

Дослідники Google Threat Intelligence Group виявили нову операцію російських хакерів, націлену на українських громадян. Метою операції, яка отримала кодову назву UNC5812, є встановлення шкідливого програмного забезпечення для пристроїв Windows і Android та поширення антимобілізаційних настроїв. Про це повідомляє Ars Technica з посиланням на блог Google.

Шкідливий софт в основному розповсюджувався через повідомлення в Telegram від акаунту «Цивільна оборона». У дописах в каналі @civildefense_com_ua містились повідомлення про те, що військовозобов’язаним громадянам України надається безкоштовне програмне забезпечення для відстеження пересування співробітників ТЦК в їхньому місті. Далі пропонувалось перейти на сайт «Цивільна оборона» за адресою civildefense[.]com.ua (вже заблокований в Україні).

Щоб спрямувати потенційних жертв на свої ресурси, російські хакери, ймовірно, купували рекламні пости в україномовних каналах Telegram. Наприклад, 18 вересня 2024 року фахівці Google помітили, що український Телеграм-канал із понад 80 000 підписників, присвячений попередженню про ракетну загрозу, рекламував своїм читачам канал і веб-сайт «Цивільна оборона».

«Кінцева мета кампанії полягала в тому, щоб жертви переходили на веб-сайт «Цивільної оборони», контрольований хакерами, на якому пропонувалось встановити кілька програм для різних операційних систем. Після встановлення ці додатки починали завантажувати інші шкідливі програми», — пишуть дослідники Google .

Для користувачів Windows веб-сайт хакерів пропонував встановити завантажувач, відомий як Pronsis Loader, написаний на PHP і скомпільований у байт-код віртуальної машини Java (JVM) за допомогою проекту JPHP з відкритим кодом. Після виконання Prosnis Loader ініціює заплутаний ланцюжок доставки зловмисного програмного забезпечення, зрештою встановлюючи на пристрій жертви SUNSPINNER і викрадач інформації, широко відомий як PURESTEALER. Для користувачів Android шкідливий файл APK намагався встановити варіант бекдора Android CRAXSRAT.

Примітно, як сайт Civil Defense намагався відвести підозри користувачів, чому його додаток треба встановлювати не з магазину Google Play, а через APK-файл. Хакери обгрунтовували це тим, що це спроба «захистити анонімність і безпеку» своїх користувачів. Також на сайті містились відеоінструкції українською мовою, які пояснювали жертвам, як вимкнути Google Play Protect — сервіс, який використовується для перевірки додатків на наявність шкідливих функцій.

Паралельно з зусиллями по розповсюдженню зловмисного програмного забезпечення та отримання доступу до пристроїв потенційних військовослужбовців, операція UNC5812 мала мету підірвати мобілізацію та зусилля України з вербування військових. Telegram-канал групи активно використовувався для заохочення користувачів завантажувати відео про «несправедливі дії ТЦК». Ці відео були потрібні хакерам для подальшого розповсюдження з метою посилення антимобілізаційних настроїв та дискредитації української армії.