Rus Hackerlar, Ukrayna Ordusunu Windows ve Android Zararlı Yazılımlarıyla Hedef Alıyor

01.11.2024

Hackerlar, Telegram’ın kullanıcı dostu dosya paylaşım özelliklerini ve güvenlik açıklarını kötüye kullanarak zararlı yazılımları dağıtmak için bu platformu gitgide daha fazla kullanıyor. Geniş ve anonim kullanıcı kitlesiyle Telegram, yasa dışı siber faaliyetler için çekici bir platform haline geldi. Google Tehdit İstihbarat Grubu’nun son raporu, Ukrayna ordusunu hedef alan ve zararlı yazılım dağıtmak için Telegram kanallarını kullanan bir Rus siber operasyonunu ortaya koyuyor.

Eylül 2024’te TAG ve Mandiant’in de dahil olduğu Google Tehdit İstihbarat Grubu, UNC5812 kod adlı gelişmiş bir Rus siber kampanyasını ortaya çıkardı. Bu operasyon, “@civildefense_com_ua” adlı yanıltıcı bir Telegram kanalı ve sahte bir “civildefense[.]com.ua” sitesi üzerinden Ukraynalı askeri personeli izleme hizmeti sunuyormuş gibi görünüyordu. Ancak, bu platformlar aslında Windows ve Android cihazlara yönelik zararlı yazılımlar dağıtıyordu.

Windows kullanıcıları için operasyon, PHP ile yazılmış ve JPHP kullanılarak Java Sanal Makinesi bayt koduna derlenmiş Pronsis Loader adlı bir kötü amaçlı yükleyiciyi kullandı. Bu yükleyici, SUNSPINNER adlı bir sahte haritalama uygulamasını ve PURESTEALER adlı bir bilgi çalma aracını kuruyordu. Android kullanıcıları ise CRAXSRAT adlı, Google Play Protect devre dışı bırakılmadan kurulamayan ticari bir arka kapı yazılımıyla hedef alınıyordu. Her iki zararlı yazılım türü de meşru Ukrayna Telegram kanallarında, 80.000’den fazla abonesi olan bir füze uyarı kanalında yapılan tanıtım gönderileriyle yayılmaktaydı ve en az Ekim 2024’e kadar aktif kaldı.

UNC5812, sosyal mühendislik taktikleri kullanarak kullanıcıları güvenlik özelliklerini devre dışı bırakmaya ve izinler vermeye ikna eden çok aşamalı bir strateji izliyordu. Operasyon aynı zamanda, kullanıcıları “askeri işe alım merkezlerinden gelen adaletsiz eylemler” içeren videolar göndermeye teşvik eden bir etki kampanyası yürütüyordu. Bu içerik daha sonra Rusya yanlısı sosyal medyada, özellikle de Rusya'nın Güney Afrika'daki Büyükelçilik hesabı gibi kanallarda yayıldı.

Kampanyanın teknik karmaşıklığı, Ukrayna’nın yeni seferberlik yasaları sonrası savunma altyapısını hedef alan büyük bir siber casusluk çabasının parçası olduğunu ortaya koyuyor. Telegram gibi platformlar üzerinden Ukrayna savunma altyapısını hedef alan bu operasyon, siber casusluk ile etki operasyonlarının jeopolitik çatışmalarda giderek nasıl iç içe geçtiğini gözler önüne seriyor.