Ведення сучасної війни неможливе без використання високих технологій, що все більш широко використовуються для управління боєм, розвідки, контролю повітряних цілей та ін. При цьому, для користування спеціальними військовими системами застосовуються мобільні пристрої. Відтак, зловмисники докладають чималих зусиль для компрометації смартфонів та планшетів військовослужбовців з метою викрадення автентифікаційних даних (які використовуються для доступу до інформаційних систем) та передачі GPS-координат пристроїв, що може мати безпосередні негативні наслідки для життя особового складу.
Так, Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA спільно з об'єднаною командою реагування Міністерства оборони України та Збройних сил України MILCERT (у складі ЦРК, ЦІРОТ та ЦМТР) виявлено та проаналізовано дві кібератаки, для реалізації яких зловмисниками засобами Signal серед військовослужбовців здійснено розповсюдження повідомлень з посиланнями для завантаження APK-файлів, начебто, військових систем GRISELDA (автоматизована система внесення, обробки та передачі інформації з використанням штучного інтелекту) та системи стеження "Очі".
У випадку з GRISELDA за посиланням відкривалася копія офіційного веб-сайту проєкту, де пропонувалося завантажити "мобільну версію" додатку GRISELDA. Слід зауважити, що такого додатку не існує, а завантажуваний APK-файл являв собою шкідливе програмне забезпечення HYDRA, функціонал якого, серед іншого, передбачає можливість викрадення даних сесій (HTTP Cookie), контактів, кейлогінг та ін.
У випадку з системою "Очі" за посиланням (Google Drive) пропонувалося завантажити APK-файл, який, окрім штатного функціоналу оригінальної програми, містив сторонній код, за допомогою якого здійснювалося викрадення логіну та паролю користувача, а також встановлення та передача GPS-координат пристрою. Ми припускаємо, що зловмисники здійснили модифікацію легітимної програми, додавши сторонній JAVA-клас, та реалізувавши його виклик у відповідних блоках коду.
Безпека мобільних пристроїв має критичне значення в контексті протистояння кіберзагрозам та потребує вжиття окремих комплексних заходів.
У випадку виявлення подібних кібератак просимо невідкладно інформувати CERT-UA та інші компетентні підрозділи. Завдяки оперативному обміну інформацією вірогідність реалізації кіберзагрози вдається зводити до мінімуму.
Вдячні командам Google Cloud та Cloudflare за сприяння в нейтралізації кібератак.
Для відстежування активності, повʼязаної з модифікацією програми “Очі”, створено ідентифікатор UAC-0210.
Більше інформації на сайті CERT-UA