У телеграм-каналі про роботу ТЦК російські хакери розсилали шпигунське ПЗ, — Google
У телеграм-каналі про роботу ТЦК російські хакери розсилали шпигунське ПЗ, — Google

У телеграм-каналі про роботу ТЦК російські хакери розсилали шпигунське ПЗ, — Google

Операція шкідливого впливу скерована на зрив мобілізації та стеження за військовозобов’язаними в Україні.

Кіберфахівці AWS, що є дочірньою компанією Amazon, Групи аналізу загроз Google та американської компанії з кібербезпеки Mandiant заблокували доменний доступ до серверів російським хакерам, що розсилали шкідливе програмне забезпечення військовозобов’язаним в Україні та дезінформацію, використовуючи телеграм-канал «Civil Defense» та однойменний сайт. У телеграм-каналі публікували інформацію про ракетні небезпеки та відстеження пересування працівників ТЦК. Про це повідмило видання Techzine, посилаючись на інформацію опубліковану у блозі Google.

За даними Google, Mandiant і AWS, через телеграм-канал під назвою «Цивільна оборона» та однойменний веб-сайт хакери пропонували скачати програмне забезпечення, яке нібито призначене для визначення місць роботи працівників ТЦК, проте насправді воно є шкідливими. Згаданий телеграм-канал та його рекламу в інших виявили у вересні.

Використовуючи тактику соціальної інженерії, користувачам Android пропонували завантажити зловмисне ПЗ не з онлайнмагазину Google Play. Також їм демонстрували відеоролики та покрокові інструкції, які кроки потрібно виконати, щоб вимкнути Google Play Protect, що дозволяє програмі обійти звичайні заходи безпеки та виконувати свою роботу непомітно.

За словами дослідників, операція шкідливого впливу спрямована на потенційних новобранців. Додаток рекламується в легальних україномовних телеграм-каналах. Операція має дві мети — шпигувати за користувачами шкідливого програмного забезпечення, та поширювати дезінформацію для зриву мобілізації військовозобов’язаних.

Кіберфахівці встановили, що за шкіжливою операцією стоїть хакерська група APT29, більш відома як Midnight Blizzard, яку яку контролює російська військова розвідка ГРУ.

Щоб удавати себе легітимними, хакери вдавали, що працюють з доменів AWS. Однак AWS вдалося зняти ці домени з ефіру у співпраці з Українською групою реагування на надзвичайні ситуації CERT-UA та Групою аналізу загроз Google.

Щоб захиститися від шкідливої кампанії користувачам радять увімкнути Play Protect, використовувати лише офіційні магазини застосунків та користуватися «безпечним» режимом під час відвідування сайтів.

Джерело матеріала
loader
loader