Хакеры РФ начали масштабную операцию с прицелом на новобранцев ВСУ — отчет Google

Исследователи Google раскрыли кремлевскую операцию, которая нацелена на новобранцев украинской армии. В ее рамках хакеры из РФ используют вредоносное ПО для устройств Windows и Android для кражи данных и распространения дезинформации. 

Программное обеспечение распространяется через сообщения в Telegram от имени группы «Гражданская оборона». В мессенджере и на сайте группа обещает новобранцам бесплатное ПО для поиска местоположения украинских призывных пунктов. 

Однако в реальности вирус крадет данные пользователей. Хакерское ПО для Android обманом заставляет отключить защиту Play Protect и получает широкие системные привилегии, устанавливая программу для кражи информации CraxsRat. Версия для Windows использует Pronsis Loader для установки PureStealer, платного инфокрада.

Эксперты отмечают, что кремлевская кампания не ограничивается воровством данных. На сайте и канале Telegram UNC5812 распространяется антимобилизационный контент, в том числе видео, подрывающие усилия по призыву людей в ВСУ. 

«Цель кампании — подорвать доверие к мобилизации и дискредитировать украинскую армию», — пишут исследователи. 

В одном из случаев видео с Telegram-канала было позже опубликовано на аккаунте российского посольства в Южной Африке.

Google отмечает, что UNC5812 продвигает контент через украиноязычные Telegram-каналы с большими аудиториями, что расширяет охват кампании. Один из таких каналов с более чем 80 000 подписчиков, посвященный оповещениям о ракетных атаках, размещал ссылку на «Гражданскую оборону» для привлечения новых жертв.

Кибератака UNC5812 — лишь часть более широкой кампании по поддержке российской агрессии. На прошлой неделе Amazon также раскрыла деятельность другой российской группы APT29, которая использовала вредоносные электронные письма для сбора данных с целью компрометации жителей Украины.