Хакери РФ почали масштабну операцію з прицілом на новобранців ЗСУ — звіт Google

Дослідники Google розкрили кремлівську операцію, яка націлена на новобранців української армії. У її рамках хакери з РФ використовують шкідливе ПЗ для пристроїв Windows і Android для крадіжки даних і поширення дезінформації.

Програмне забезпечення поширюється через повідомлення в Telegram від імені групи «Гражданская оборона». У месенджері та на сайті група обіцяє новобранцям безкоштовне ПЗ для пошуку місця розташування українських призовних пунктів.

Однак у реальності вірус краде дані користувачів. Хакерське ПЗ для Android обманом змушує відключити захист Play Protect і отримує широкі системні привілеї, встановлюючи програму для крадіжки інформації CraxsRat. Версія для Windows використовує Pronsis Loader для встановлення PureStealer, платного інфокрада.

Експерти зазначають, що кремлівська кампанія не обмежується крадіжкою даних. На сайті та каналі Telegram UNC5812 поширюють антимобілізаційний контент, зокрема відео, що підривають зусилля з призову людей до ЗСУ.

«Мета кампанії — підірвати довіру до мобілізації та дискредитувати українську армію», — пишуть дослідники.

В одному з випадків відео з Telegram-каналу було пізніше опубліковано на акаунті російського посольства в Південній Африці.

Google зазначає, що UNC5812 просуває контент через україномовні Telegram-канали з великими аудиторіями, що розширює охоплення кампанії. Один із таких каналів із понад 80 000 підписників, присвячений сповіщенням про ракетні атаки, розміщував посилання на “Гражданскую оборону” для залучення нових жертв.

Кібератака UNC5812 — лише частина ширшої кампанії з підтримки російської агресії. Минулого тижня Amazon також розкрила діяльність іншої російської групи APT29, яка використовувала шкідливі електронні листи для збору даних з метою компрометації жителів України.