У телеграм-каналі про роботу ТЦК російські хакери розсилали шпигунське ПЗ, — Google
У телеграм-каналі про роботу ТЦК російські хакери розсилали шпигунське ПЗ, — Google

У телеграм-каналі про роботу ТЦК російські хакери розсилали шпигунське ПЗ, — Google

Операція шкідливого впливу скерована на зрив мобілізації та стеження за військовозобов’язаними в Україні.

Кіберфахівці AWS, що є дочірньою компанією Amazon, Групи аналізу загроз Google та американської компанії з кібербезпеки Mandiant заблокували доменний доступ до серверів російським хакерам, що розсилали шкідливе програмне забезпечення військовозобов’язаним в Україні та дезінформацію, використовуючи телеграм-канал «Civil Defense» та однойменний сайт. У телеграм-каналі публікували інформацію про ракетні небезпеки та відстеження пересування працівників ТЦК. Про це повідмило видання Techzine, посилаючись на інформацію опубліковану у блозі Google.

За даними Google, Mandiant і AWS, через телеграм-канал під назвою «Цивільна оборона» та однойменний веб-сайт хакери пропонували скачати програмне забезпечення, яке нібито призначене для визначення місць роботи працівників ТЦК, проте насправді воно є шкідливими. Згаданий телеграм-канал та його рекламу в інших виявили у вересні.

У телеграм-каналі про роботу ТЦК російські хакери розсилали шпигунське ПЗ, — Google - Фото 1

реклама телеграм-каналу «Civil Defense» 

Використовуючи тактику соціальної інженерії, користувачам Android пропонували завантажити зловмисне ПЗ не з онлайнмагазину Google Play. Також їм демонстрували відеоролики та покрокові інструкції, які кроки потрібно виконати, щоб вимкнути Google Play Protect, що дозволяє програмі обійти звичайні заходи безпеки та виконувати свою роботу непомітно.

У телеграм-каналі про роботу ТЦК російські хакери розсилали шпигунське ПЗ, — Google - Фото 2

За словами дослідників, операція шкідливого впливу спрямована на потенційних новобранців. Додаток рекламується в легальних україномовних телеграм-каналах. Операція має дві мети — шпигувати за користувачами шкідливого програмного забезпечення, та поширювати дезінформацію для зриву мобілізації військовозобов’язаних.

У телеграм-каналі про роботу ТЦК російські хакери розсилали шпигунське ПЗ, — Google - Фото 3

На сайті пропонували скачати застосунок для відстеження переміщень працівників ТЦК

Кіберфахівці встановили, що за шкіжливою операцією стоїть хакерська група APT29, більш відома як Midnight Blizzard, яку яку контролює російська військова розвідка ГРУ.

Щоб удавати себе легітимними, хакери вдавали, що працюють з доменів AWS. Однак AWS вдалося зняти ці домени з ефіру у співпраці з Українською групою реагування на надзвичайні ситуації CERT-UA та Групою аналізу загроз Google.

Щоб захиститися від шкідливої кампанії користувачам радять увімкнути Play Protect, використовувати лише офіційні магазини застосунків та користуватися «безпечним» режимом під час відвідування сайтів.

Нагадаємо, 23 жовтня Урядова команда реагування CERT-UA виявила масове розсилання електронних листів з повідомленнями про інтеграцію із сервісами Amazon та Microsoft, упровадження архітектури нульової довіри та шкідливими вкладеннями. Кібератака націлена на органи державної влади, підприємства та військові формування. 

Фото: Google

ГО «Детектор медіа» понад 20 років бореться за кращу українську журналістику. Ми стежимо за дотриманням стандартів у медіа. Захищаємо права аудиторії на якісну інформацію. І допомагаємо читачам відрізняти правду від брехні.
До 22-річчя з дня народження видання ми відновлюємо нашу Спільноту! Це коло активних людей, які хочуть та можуть фінансово підтримати наше видання, долучитися до генерування ідей та створення якісних матеріалів, просувати свідоме медіаспоживання і разом протистояти російській дезінформації.
Долучитись
Теги за темою
Соцмережі Google
Джерело матеріала
loader