Une campagne cybernétique pro-russe cible les Ukrainiens avec des logiciels malveillants et de la propagande anti-mobilisation

Se traduisent par :

Une cyber-campagne sophistiquée cible les internautes ukrainiens, exploitant les chaînes populaires Telegram pour diffuser des programmes malveillants et saper les efforts de mobilisation nationale. Google a attribué cette activité à un acteur malveillant identifié comme UNC5812, qui utilise des chaînes Telegram légitimes en ukrainien pour diffuser des logiciels dangereux et de la propagande anti-mobilisation.

Table des matières

Utilisation de Telegram par UNC5812 pour atteindre les victimes

Ces derniers mois, UNC5812 a acheté des publications sponsorisées sur des chaînes Telegram en ukrainien afin de cibler un large public, dont certaines comptent jusqu'à 80 000 abonnés. La campagne s'est notamment articulée autour d'un site Web se faisant passer pour une initiative officielle de « défense civile », attirant les utilisateurs avec la promesse d'un logiciel les aidant à rester anonymes et en sécurité en ligne. En réalité, ce site Web et ses publications sponsorisées font partie d'un vaste projet visant à infecter les appareils avec des logiciels malveillants et à mener des opérations d'influence visant à déstabiliser les efforts de recrutement de l'Ukraine.

Le site Web malveillant de la « défense civile »

Le site Internet « Civil Defense », contrôlé par UNC5812, prétend fournir des logiciels pour différents systèmes d'exploitation, dont une application Android disponible exclusivement en dehors de Google Play. Cette restriction est présentée comme une mesure de sécurité, ce qui implique qu'elle est plus sûre que les offres du Play Store. Cependant, il s'agit d'un prétexte pour diffuser des logiciels malveillants qui peuvent compromettre les appareils des utilisateurs.

Pour installer ce malware avec succès, le site Web demande aux utilisateurs de désactiver Google Play Protect, une fonctionnalité de sécurité essentielle qui protège les utilisateurs Android contre les applications potentiellement dangereuses, et d'activer manuellement les autorisations complètes pour l'application. En encourageant les utilisateurs à contourner ces protections essentielles, UNC5812 augmente la probabilité d'infecter les appareils sans être détecté, accordant au malware un accès étendu aux données et aux fonctionnalités de l'appareil.

Activités d'influence et désinformation

En plus de diffuser des programmes malveillants, UNC5812 mène des opérations d'influence visant à éroder le moral et le soutien militaire ukrainiens. La chaîne Telegram « Civil Defense » a activement encouragé les utilisateurs à télécharger des vidéos susceptibles de discréditer l'armée ukrainienne, tout en promouvant des récits opposés aux efforts de mobilisation. Cette chaîne semble conçue pour influencer l'opinion publique et alimenter la méfiance envers les opérations militaires ukrainiennes.

Le site Internet associé à UNC5812 est également rempli de contenu en ukrainien et d'images s'opposant explicitement à la mobilisation. Une section « actualités » met en lumière des cas de mobilisation prétendument injuste, capitalisant sur les griefs publics liés à ce problème. Cette approche multiforme, combinant malware et désinformation, indique une tentative non seulement de compromettre les appareils, mais aussi de saper les efforts de défense de l'Ukraine de l'intérieur.

La réponse de Google et ses implications plus larges

Google a réagi rapidement pour contrer cette campagne, en informant les autorités ukrainiennes des activités de UNC5812 et en bloquant l'accès au site Web « Civil Defense » en Ukraine. De plus, Google a ajouté les domaines et les fichiers associés à cette campagne à sa fonctionnalité de navigation sécurisée, dans le but d'empêcher toute nouvelle infection sur les services Google.

Cette cyber-campagne survient alors que l’Ukraine a mis en place un identifiant militaire numérique national pour rationaliser la mobilisation et la gestion des recrues. Selon les conclusions de Google, ce changement a conduit à un ciblage accru des recrues militaires potentielles, ce qui s’inscrit dans le cadre des efforts de désinformation plus vastes observés par EUvsDisinfo, un projet qui traque la désinformation provenant de sources pro-russes. Ensemble, ces résultats illustrent un effort coordonné pour exploiter les vulnérabilités technologiques et les tensions sociopolitiques, en exploitant à la fois les logiciels malveillants et la désinformation pour déstabiliser l’infrastructure de recrutement de l’Ukraine.

Rester en sécurité face aux campagnes ciblées

La campagne UNC5812 montre comment les cyber-acteurs peuvent combiner attaques techniques et manipulation psychologique pour atteindre des objectifs stratégiques. Pour les utilisateurs, en particulier en Ukraine, une sensibilisation accrue à la sécurité numérique est essentielle. Les précautions de base incluent le téléchargement d'applications exclusivement à partir de sources fiables comme Google Play, le fait d'éviter de désactiver les fonctionnalités de sécurité critiques comme Google Play Protect et de rester vigilant quant à la légitimité des chaînes Telegram qui promeuvent des contenus controversés ou des logiciels non sollicités.

Les cybercampagnes continuent de gagner en sophistication et en portée. Il est donc essentiel que des entreprises comme Google et les autorités nationales réagissent de manière coordonnée pour atténuer ces menaces. Pour les particuliers, comprendre les risques liés au téléchargement d’applications non autorisées et à l’utilisation de contenus en ligne potentiellement malveillants peut faire une différence significative dans la protection contre les programmes malveillants et les campagnes d’influence.

SpyHunter pour Windows d'EnigmaSoft a obtenu la certification AV-TEST

Rechercher

Changer de région