Pro-russische Cyber-Kampagne zielt mit Malware und Anti-Mobilisierungs-Propaganda auf Ukrainer ab
Eine besorgniserregende Entwicklung ist, dass eine ausgeklügelte Cyber-Kampagne ukrainische Internetnutzer ins Visier nimmt. Dabei werden beliebte Telegram-Kanäle genutzt, um Malware zu verbreiten und nationale Mobilisierungsbemühungen zu untergraben. Google hat diese Aktivität einem Bedrohungsakteur namens UNC5812 zugeschrieben, der legitime ukrainischsprachige Telegram-Kanäle nutzt, um gefährliche Software und Anti-Mobilisierungspropaganda zu verbreiten.
Inhaltsverzeichnis
UNC5812 nutzt Telegram, um Opfer zu erreichen
In den letzten Monaten hat UNC5812 gesponserte Beiträge auf legitimen ukrainischsprachigen Telegram-Kanälen gekauft, um ein großes Publikum anzusprechen, einige davon mit bis zu 80.000 Abonnenten. Die Kampagne drehte sich insbesondere um eine Website, die sich als offizielle „Zivilschutz“-Initiative ausgab und Benutzer mit dem Versprechen einer Software lockte, die ihnen dabei helfen würde, online anonym und sicher zu bleiben. In Wirklichkeit sind diese Website und ihre gesponserten Beiträge Teil eines größeren Plans, Geräte mit Malware zu infizieren und Einflussoperationen durchzuführen, die darauf abzielen, die Rekrutierungsbemühungen der Ukraine zu destabilisieren.
Die bösartige „Zivilschutz“-Website
Die sogenannte „Civil Defense“-Website, die von UNC5812 kontrolliert wird, gibt vor, Software für verschiedene Betriebssysteme anzubieten, darunter eine Android-Anwendung, die ausschließlich außerhalb von Google Play erhältlich ist. Diese Einschränkung wird als Sicherheitsmerkmal dargestellt und suggeriert, dass sie sicherer sei als die Angebote im Play Store. Dies ist jedoch nur ein Deckmantel für die Verbreitung von Malware, die die Geräte der Benutzer gefährden kann.
Um diese Malware erfolgreich zu installieren, fordert die Website die Benutzer auf, Google Play Protect zu deaktivieren – eine wichtige Sicherheitsfunktion, die Android-Benutzer vor potenziell schädlichen Apps schützt – und der Anwendung manuell alle Berechtigungen zu erteilen. Indem UNC5812 die Benutzer dazu auffordert, diese wichtigen Schutzmaßnahmen zu umgehen, erhöht es die Wahrscheinlichkeit, Geräte unbemerkt zu infizieren, und gewährt der Malware umfassenden Zugriff auf Gerätedaten und -funktionen.
Einflussnahme und Desinformation
Neben der Verbreitung von Malware führt UNC5812 auch Einflussoperationen durch, die darauf abzielen, die ukrainische Moral und militärische Unterstützung zu untergraben. Der Telegram-Kanal „Civil Defense“ hat Benutzer aktiv dazu ermutigt, Videos hochzuladen, die das ukrainische Militär diskreditieren könnten, und gleichzeitig Narrative zu verbreiten, die sich gegen Mobilisierungsbemühungen richten. Dieser Kanal scheint darauf ausgelegt zu sein, die öffentliche Meinung zu beeinflussen und Misstrauen gegenüber den Militäroperationen der Ukraine zu schüren.
Die mit UNC5812 verbundene Website ist außerdem mit ukrainischsprachigen Inhalten und Bildern gefüllt, die sich ausdrücklich gegen die Mobilisierung aussprechen. Ein „Nachrichten“-Bereich hebt Fälle angeblich ungerechtfertigter Mobilisierung hervor und nutzt jegliche öffentliche Missstände in Bezug auf das Thema aus. Dieser vielschichtige Ansatz – eine Kombination aus Malware und Desinformation – deutet darauf hin, dass nicht nur versucht wird, Geräte zu kompromittieren, sondern auch die Verteidigungsanstrengungen der Ukraine von innen heraus zu untergraben.
Die Reaktion von Google und weitere Auswirkungen
Google reagierte umgehend auf diese Kampagne, informierte die ukrainischen Behörden über die Aktivitäten von UNC5812 und blockierte den Zugriff auf die Website „Civil Defense“ innerhalb der Ukraine. Darüber hinaus hat Google die mit dieser Kampagne verbundenen Domänen und Dateien zu seiner Funktion „Sicheres Browsen“ hinzugefügt, um weitere Infektionen in den Google-Diensten zu verhindern.
Diese Cyberkampagne findet zu einem Zeitpunkt statt, an dem die Ukraine einen nationalen digitalen Militärausweis eingeführt hat, um die Mobilisierung und Verwaltung von Rekruten zu vereinfachen. Laut den Erkenntnissen von Google hat diese Entwicklung zu einer verstärkten Fokussierung auf potenzielle Militärrekruten geführt und steht im Einklang mit den umfassenderen Desinformationsbemühungen, die von EUvsDisinfo beobachtet wurden – einem Projekt, das Falschinformationen aus prorussischen Quellen verfolgt. Zusammengenommen veranschaulichen diese Erkenntnisse eine koordinierte Anstrengung, technologische Schwachstellen und soziopolitische Spannungen auszunutzen und sowohl Malware als auch Falschinformationen einzusetzen, um die Rekrutierungsinfrastruktur der Ukraine zu destabilisieren.
Sicherheit angesichts gezielter Kampagnen
Die UNC5812-Kampagne zeigt, wie Cyber-Akteure technische Angriffe mit psychologischer Manipulation kombinieren können, um strategische Ziele zu erreichen. Für Benutzer, insbesondere in der Ukraine, ist ein erhöhtes Bewusstsein für digitale Sicherheit von entscheidender Bedeutung. Zu den grundlegenden Vorsichtsmaßnahmen gehört es, Apps ausschließlich aus vertrauenswürdigen Quellen wie Google Play herunterzuladen, kritische Sicherheitsfunktionen wie Google Play Protect nicht zu deaktivieren und wachsam zu bleiben, was die Legitimität von Telegram-Kanälen angeht, die kontroverse Inhalte oder unerwünschte Software bewerben.
Da Cyberkampagnen immer raffinierter und weitreichender werden, sind koordinierte Reaktionen von Unternehmen wie Google und nationalen Behörden weiterhin unerlässlich, um diese Bedrohungen einzudämmen. Für Einzelpersonen kann es einen großen Unterschied machen, ob sie sich vor Malware oder Einflusskampagnen schützen, wenn sie sich über die Risiken des Herunterladens nicht autorisierter Apps und der Nutzung potenziell schädlicher Online-Inhalte im Klaren sind.