Een sinister stuk malware door Russische hackers doet dienst als cyberwapen tegen Oekraïense dienstplichtigen of anderen die op zoek zijn naar rekruteringslocaties in het land of daarbuiten. Het betreft een spionage- en desinformatiecampagne die zich richt op zowel Android- en Windows-gebruikers. Door het uit de lucht halen van domeinen wisten AWS, de Threat Analysis Group (TAG) van Google én Mandiant wat successen te boeken tegen de hackers.
Via een Telegram-kanaal (ironisch genoeg was Telegram tussen 2018 en 2020 verboden in Rusland) met de naam ‘Civil Defense’ en een gelijknamige website proberen hackers gebruikers software te laten downloaden die zogenaamd bedoeld is voor het lokaliseren van plekken waar rekruten voor het Oekraïense leger zich kunnen melden. De malware maakt gebruik van craxstat, een backdoor die gericht is op Android-gebruikers, en aparte malware die gericht is op Windows-apparaten.
Bespioneren en demotiveren
De UNC5812-operatie heeft twee doelen, weet Forbes te melden op basis van gegevens van Google, Mandiant en AWS. Het gaat enerzijds om het bespioneren van gebruikers van de malafide software en anderzijds om verspreiding van desinformatie om de mobilisatie van troepen voor het Oekraïense leger te ondermijnen. Denk aan berichten dat een bepaald station geen rekruten meer toelaat.
Met behulp van social engineering-tactieken worden Android-gebruikers geïnstrueerd om de malware van buiten de Google Play Store te downloaden. Ze krijgen zelfs de stappen uitgelegd om Google Play Protect uit te schakelen, waardoor de app de gebruikelijke security-maatregelen kan omzeilen. De operatie richt zich deels op potentiële rekruten, maar ook op ‘gewone’ nieuwsgierige gebruikers. De app wordt gepromoot in legitieme Oekraïenstalige Telegram-kanalen.
Neppe AWS-domeinen
De groep achter deze campagne is vermoedelijk APT29, beter bekend als Midnight Blizzard. Deze club geldt als gesponsord door de Russische staat. Om legitimiteit te veinzen, deden de hackers net alsof ze vanuit AWS-domeinen opereerden. AWS heeft deze domeinen echter uit de lucht weten te halen in samenwerking met CERT-UA, het Emergency Response Team van Oekraïne en de Threat Analysis Group (TAG) van Google. Dat wil niet zeggen dat de dreiging daarmee ten einde is, want een nieuwe digitale verblijfplaats is doorgaans zo gevonden.
TAG en Mandiant (tegenwoordig ook onderdeel van Google) kwamen de dreiging in september op het spoor. Hun analyse onthulde een brutale werkwijze waarbij gebruikers complete video’s en stap-voor-stap gidsen te zien kregen om beveiligingsinstellingen uit te schakelen, waardoor de malware onopgemerkt zijn werk kon doen. De remedie tegen de campagne is eigenlijk heel simpel: houd Play Protect ingeschakeld, gebruik alleen de officiële app store (de EU heeft daar wellicht nog een mening over) en houd ook Safe Browsing ingeschakeld bij bezoeken van websites.
Lees ook: Russisch NoName-collectief valt websites aan van Belgische havens en steden