Im September 2024 entdeckte die Google Threat Analysis Group (TAG) und Mandiant „UNC5812“, eine mutmaßliche hybride russische Spionage- und Beeinflussungskampagne.
Diese verbreitet Windows- und Android-Malware über eine Telegram-Persona namens „Civil Defense“. „Civil Defense“ gibt vor, ein Anbieter kostenloser Softwareprogramme zu sein, die es potenziellen Wehrpflichtigen ermöglichen, die Standorte ukrainischer Militär-Recruiter zu sehen und mit anderen zu teilen. Wenn diese Programme bei deaktiviertem Google Play Protect installiert werden, liefern sie dem Opfer eine betriebssystemspezifische Commodity-Malware-Variante zusammen mit einer Mapping-Anwendung, die wir als SUNSPINNER identifizieren. Die Akteure hinter UNC5812 nutzen sowohl den Telegram-Kanal als auch die Website für die Verbreitung von Malware. Darüber hinaus betreibt die Gruppe über beide Kanäle auch aktiv Einflussnahme, indem sie ihr Narrativ verbreitet und um Inhalte bittet, die die Unterstützung für die Mobilisierungsaktivitäten der Ukraine untergraben können.
Telegram als russischer Einflussvektor
Die hybride Spionage- und Informationsoperation von UNC5812 gegen potenzielle ukrainische Militärrekruten zeigt das gesteigerte Interesse russischer Bedrohungsakteure nach den Änderungen an den ukrainischen Mobilisierungsgesetzen im Jahr 2024. Insbesondere die Angriffe auf potenzielle Militärrekruten nach der Einführung der nationalen digitalen Militär-ID der Ukraine, mit der die Daten der Wehrpflichtigen verwaltet werden und die Rekrutierung angekurbelt werden soll, haben an Bedeutung gewonnen. In Übereinstimmung mit den Untersuchungen von EUvsDisinfo beobachten wir auch weiterhin, dass pro-russische Akteure Botschaften verbreiten, die die Mobilisierungsbemühungen der Ukraine untergraben und das Misstrauen der Öffentlichkeit gegenüber den ausführenden Beamten schüren sollen.
Aus handwerklicher Sicht ist die UNC5812-Kampagne sehr charakteristisch für den Schwerpunkt, der bei Russland auf der geistigen Beeinflussung durch Cyber-Kampagnen liegt. Die Operation unterstreicht zudem die herausragende Rolle, die Messaging-Apps weiterhin bei der Verbreitung von Malware und anderen Aktivitäten in Russlands Krieg gegen die Ukraine spielen. Wir gehen davon aus, dass Telegram, solange es eine wichtige Informationsquelle während des Krieges ist, mit ziemlicher Sicherheit ein Hauptvektor für cybergestützte Aktivitäten für eine Reihe von Spionage- und Beeinflussungsaktivitäten mit russischer Beteiligung bleiben wird.
Mehr bei Mandiant.com
Über Mandiant Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.