La “défense civile” mène une campagne hybride d’espionnage et d’influence ciblant les recrues.
Des chercheurs de Google ont déclaré avoir découvert une opération soutenue par le Kremlin visant les recrues de l’armée ukrainienne à l’aide d’un logiciel malveillant de vol d’informations pour les appareils Windows et Android.
Le logiciel malveillant, diffusé principalement par le biais de messages sur Telegram, provenait d’une personne connue sous le nom de “Civil Defense”. Les messages sur le canal Telegram @civildefense_com_ua et le message d’accompagnement civildefense[.]com.ua prétendaient fournir aux conscrits potentiels un logiciel gratuit permettant de trouver les coordonnées des recruteurs militaires ukrainiens. En réalité, le logiciel, disponible pour Windows et Android, installe des voleurs d’informations. Google suit le groupe de menace aligné sur le Kremlin sous le nom de UNC5812.
Double campagne d’espionnage et d’influence
Le but ultime de la campagne est d’amener les victimes à se rendre sur le site Web de la “défense civile” contrôlé par l’UNC5812, qui fait la promotion de plusieurs logiciels différents pour différents systèmes d’exploitation”, écrivent les chercheurs de Google. “Une fois installés, ces programmes entraînent le téléchargement de diverses familles de logiciels malveillants.
Les versions Android utilisaient l’ingénierie sociale pour inciter les utilisateurs à désactiver Play Protect, un service de Google qui analyse automatiquement les appareils à la recherche de logiciels malveillants, qu’ils proviennent de Play ou de sources tierces. Lors de l’installation, l’application donnait également l’assurance que les effrayants privilèges système demandés étaient nécessaires pour protéger la Sécurité des utilisateurs.
Une FAQ sur le site web contient également une justification “tendue” pour l’application Android qui n’est pas disponible dans Play, mais seulement en tant que charge latérale téléchargée à partir du site. Cette justification est conçue pour éviter que les utilisateurs d’Android ne suivent les conseils de sécurité habituels en évitant les Applications chargées latéralement et en obtenant les applications uniquement à partir de Play.
Les campagnes pour Windows et Android s’appuient sur des infostealers prêts à l’emploi. L’infostealer Android est une variante de CraxsRat, un paquet qui met en œuvre de nombreuses fonctionnalités de portes dérobées que l’on trouve généralement dans les portes dérobées Android.
Le logiciel malveillant Windows, quant à lui, utilise une version personnalisée de Pronsis Loader, découverte le mois dernier par la société de sécurité Trustwave, pour installer PureStealer, disponible à la vente en ligne pour 150 dollars par mois ou 699 dollars pour une licence à vie.
Le site Web de Civil Defense annonce également une prise en charge pour macOS et iOS, mais les versions pour ces plateformes n’étaient pas disponibles au moment de l’analyse.
Les chercheurs de Google ont écrit :
Pour orienter les victimes potentielles vers ces ressources contrôlées par des acteurs, nous estimons que l’UNC5812 est susceptible d’acheter des messages promus dans des canaux Telegram légitimes et établis en langue ukrainienne.
- Le 18 septembre 2024, une chaîne légitime comptant plus de 80 000 abonnés et consacrée aux alertes aux missiles a été observée en train de promouvoir la chaîne Telegram et le site web “Civil Defense” auprès de ses abonnés.
- Une autre chaîne d’information en langue ukrainienne a fait la promotion des messages de la défense civile pas plus tard que le 8 octobre, ce qui indique que la campagne est probablement toujours à la recherche de nouvelles communautés en langue ukrainienne en vue d’un engagement ciblé.
- Les chaînes où les messages de la “défense civile” ont été promus annoncent la possibilité de contacter leurs administrations pour des opportunités de parrainage. Nous pensons qu’il s’agit du vecteur probable utilisé par UNC5812 pour approcher les canaux légitimes respectifs afin d’accroître la portée de l’opération.
Selon les chercheurs, l’objectif de l’UNC5812 ne se limite pas à l’espionnage et au vol d’informations. Il s’agit également d’une activité d’influence visant à saper les efforts de l’Ukraine pour recruter de nouveaux soldats et mobiliser ses troupes.
Le canal Telegram de l’UNC5812 sollicite activement les visiteurs et les abonnés pour qu’ils téléchargent des vidéos d'”actions injustes de la part de centres de recrutement territoriaux” dans le but, selon les chercheurs, de “renforcer les récits anti-mobilisation de l’UNC5812 et de discréditer l’armée ukrainienne”. Le site propose également des images et du contenu en langue ukrainienne, y compris une section d’actualités énumérant des cas présumés de pratiques de mobilisation injustes.
“Le contenu anti-mobilisation affiché sur le site Web du groupe et sur son canal Telegram semble provenir d’écosystèmes de médias sociaux pro-russes plus vastes”, écrivent les chercheurs. “Dans un cas au moins, une vidéo partagée par UNC5812 est apparue un jour plus tard sur un compte de médias sociaux appartenant à l’ambassade de Russie en Afrique du Sud.
L’opération UNC5812 n’est qu’une des nombreuses opérations axées sur le soutien pro-russe à l’invasion de l’Ukraine voisine par ce pays. La semaine dernière, Amazon a déclaré avoir surpris APT29, un groupe de menace connu soutenu par le Service de renseignement extérieur russe (SVR), en train d’envoyer des courriels malveillants déguisés en provenant d’Amazon ou de Microsoft dans le but de voler des informations d’identification à des adversaires russes. APT29 est également suivi sous les noms de Cozy Bear, the Dukes, Cloaked Ursa, Dark Halo, BlueBravo et Midnight Blizzard.
Amazon a déclaré qu’APT29 utilisait des courriels malveillants déguisés pour faire croire qu’ils provenaient d’Amazon ou de Microsoft dans le but de compromettre les appareils ciblés. Amazon a déclaré avoir saisi des domaines du groupe qui étaient conçus pour sembler appartenir au fournisseur de services en nuage. Les courriels ont été envoyés à des cibles associées à des agences gouvernementales, des entreprises et des armées ukrainiennes. La campagne a été détectée pour la première fois par l’équipe ukrainienne d’intervention en cas d’urgence informatique.
Jad MARCHI est un ardent défenseur de la technologie, passionné par son potentiel de transformation. Ayant accumulé une décennie d’expérience dans le secteur technologique, Jean a travaillé sur une variété de projets innovants qui l’ont amené à comprendre le paysage changeant de ce domaine. Il est fasciné par l’évolution rapide de la technologie et son impact sur notre société. Que ce soit l’intelligence artificielle, la robotique, la blockchain ou la cybersécurité, il est toujours à la recherche des dernières tendances. Ses articles cherchent à informer, à inspirer et à provoquer des réflexions sur la façon dont la technologie façonne notre avenir.