Ψυχολογικές επιχειρήσεις Ρωσικής προέλευσης στην Ουκρανία: Η ESET Research αποκαλύπτει την επιχείρηση παραπληροφόρησης Texonto
Το πρώτο κύμα στάλθηκε τον Νοέμβριο του 2023 και το δεύτερο στα τέλη Δεκεμβρίου 2023. Τα περιεχόμενα των μηνυμάτων αφορούσαν προβλήματα σχετικά με τη θέρμανση, ελλείψεις φαρμάκων και τροφίμων, τα οποία είναι τυπικά θέματα της ρωσικής προπαγάνδας.
Επιπλέον, τον Οκτώβριο και το Νοέμβριο του 2023, η ESET εντόπισε δύο εκστρατείες spearphishing με στόχο μια ουκρανική εταιρεία άμυνας και μια υπηρεσία της Ευρωπαϊκής Ένωσης, που πραγματοποιήθηκαν μέσα από τη χρήση ψεύτικων σελίδων σύνδεσης της Microsoft. Στόχος και των δύο εκστρατειών ήταν η κλοπή διαπιστευτηρίων για λογαριασμούς Microsoft Office 365. Λόγω των ομοιοτήτων που παρουσιάζει η υποδομή δικτύου που χρησιμοποιήθηκε σε αυτές τις επιχειρήσεις PSYOP και phishing, η ESET Research μπορεί να πει με μεγάλη βεβαιότητα ότι συνδέονται μεταξύ τους.
"Από την έναρξη του πολέμου στην Ουκρανία, ομάδες χάκερ που πρόσκεινται στη Ρωσία, όπως η Sandworm, έχουν ασχοληθεί με την καταστροφή της ουκρανικής υποδομής πληροφορικής χρησιμοποιώντας wipers. Τους τελευταίους μήνες, έχουμε παρατηρήσει μια έξαρση των επιχειρήσεων κυβερνοκατασκοπείας, ιδίως από τη διαβόητη ομάδα Gamaredon. Η Επιχείρηση Texonto δείχνει μια ακόμη χρήση τεχνολογιών για τον επηρεασμό του πολέμου", λέει ο ερευνητής της ESET Matthieu Faou, ο οποίος ανακάλυψε την Επιχείρηση Texonto.
"Το περίεργο μείγμα κατασκοπείας, επιχειρήσεων πληροφοριών και ψεύτικων μηνυμάτων δεν μπορεί παρά να μας θυμίσει την γνωστή ομάδα κυβερνοκατασκοπείας Callisto που πρόσκειται στη Ρωσία, ορισμένα μέλη της ομάδας αποτέλεσαν αντικείμενο κατηγορητηρίου από το Υπουργείο Δικαιοσύνης των ΗΠΑ τον Δεκέμβριο του 2023. Η Callisto επικεντρώνει τις επιθέσεις της σε κυβερνητικούς αξιωματούχους, προσωπικό σε think tanks και οργανισμούς που σχετίζονται με τις ένοπλες δυνάμεις μέσω ιστοσελίδων spearphishing που έχουν σχεδιαστεί για να μιμούνται γνωστούς παρόχους cloud.
Η ομάδα έχει επίσης πραγματοποιήσει επιχειρήσεις παραπληροφόρησης, όπως τη διαρροή εγγράφων λίγο πριν από τις βουλευτικές εκλογές του 2019 στο Ηνωμένο Βασίλειο. Τέλος, η αξιοποίηση των παλαιών υποδομών του δικτύου της οδηγεί σε ψεύτικες ιστοσελίδες φαρμακευτικών εταιρειών", συνεχίζει ο Faou. Ωστόσο, καταλήγει: "Ενώ υπάρχουν αρκετές ομοιότητες μεταξύ της επιχείρησης Texonto και των επιχειρήσεων της Callisto, δεν έχουμε βρει καμία τεχνική επικάλυψη και προς το παρόν δεν αποδίδουμε την επιχείρηση Texonto σε συγκεκριμένο φορέα απειλής. Όμως, δεδομένων των TTPs, της στόχευσης και της διάδοσης των μηνυμάτων, αποδίδουμε την επιχείρηση με μεγάλη βεβαιότητα σε ομάδα που πρόσκειται στη Ρωσία".
Ένας διακομιστής ηλεκτρονικού ταχυδρομείου τον οποίο διαχειρίζονταν οι επιτιθέμενοι και χρησιμοποιήθηκε για την αποστολή των μηνυμάτων ηλεκτρονικού ταχυδρομείου για ψυχολογικές επιθέσεις, χρησιμοποιήθηκε εκ νέου δύο εβδομάδες αργότερα για την αποστολή spam για φαρμακευτικά προϊόντα.
Αυτή η κατηγορία παράνομων επιχειρήσεων είναι πολύ δημοφιλής στη ρωσική κοινότητα του κυβερνοεγκλήματος εδώ και πολύ καιρό. Αποκαλύφθηκαν, επίσης, domain names που αποτελούν μέρος της Επιχείρησης Texonto και ασχολούνται με εσωτερικά θέματα της Ρωσίας, όπως ο Alexei Navalny, ο γνωστός ηγέτης της ρωσικής αντιπολίτευσης που βρισκόταν στη φυλακή και πέθανε στις 16 Φεβρουαρίου. Αυτό σημαίνει ότι η Επιχείρηση Texonto περιλαμβάνει πιθανότατα spearphishing ή επιχειρήσεις παραπληροφόρησης με στόχο Ρώσους αντιφρονούντες και υποστηρικτές του εκλιπόντος ηγέτη της αντιπολίτευσης.
Ο στόχος του πρώτου κύματος μηνυμάτων ηλεκτρονικού ταχυδρομείου παραπληροφόρησης ήταν να σπείρει την αμφιβολία στο μυαλό των Ουκρανών. Για παράδειγμα, ένα μήνυμα ηλεκτρονικού ταχυδρομείου αναφέρει: "Μπορεί να υπάρξουν διακοπές στη θέρμανση αυτό το χειμώνα".
Άλλα μηνύματα, που υποτίθεται ότι προέρχονται από το Υπουργείο Υγείας της Ουκρανίας, αναφέρουν ελλείψεις φαρμάκων. Δεν φαίνεται να υπήρχαν κακόβουλοι σύνδεσμοι ή κακόβουλο λογισμικό σε αυτό το συγκεκριμένο κύμα, παρά μόνο παραπληροφόρηση.
Ένα domain που παριστάνει το Υπουργείο Αγροτικής Πολιτικής και Τροφίμων της Ουκρανίας συνέστησε την αντικατάσταση των φαρμάκων με βότανα. Σε ένα ακόμη μήνυμα ηλεκτρονικού ταχυδρομείου «από» το Υπουργείο, προτείνουν την κατανάλωση «περιστεριού με ρύζι». Τα έγγραφα αυτά δημιουργήθηκαν σκόπιμα για να εκνευρίσουν και να αποκαρδιώσουν τους αναγνώστες. Συνολικά, αυτά τα ψεύτικα μηνύματα ευθυγραμμίζονται με κοινά θέματα της ρωσικής προπαγάνδας. Προσπαθούν να κάνουν τον ουκρανικό λαό να πιστέψει ότι δεν θα έχει φάρμακα, τρόφιμα και θέρμανση λόγω του πολέμου Ρωσίας-Ουκρανίας.
Περίπου ένα μήνα μετά το πρώτο κύμα, η ESET εντόπισε μια δεύτερη εκστρατεία ηλεκτρονικού ταχυδρομείου PSYOPs που είχε σαν στόχο όχι μόνο Ουκρανούς, αλλά και άτομα σε άλλες ευρωπαϊκές χώρες. Σύμφωνα με την τηλεμετρία της ESET, μερικές εκατοντάδες άτομα έλαβαν μηνύματα ηλεκτρονικού ταχυδρομείου σε αυτό το κύμα. Το δεύτερο κύμα περιείχε πιο «σκοτεινά» μηνύματά του, με τους επιτιθέμενους να προτείνουν στους ανθρώπους να ακρωτηριάσουν ένα πόδι ή ένα χέρι για να αποφύγουν τη στρατολόγηση. Συνολικά, έχει όλα τα χαρακτηριστικά των ψυχολογικών επιχειρήσεων κατά τη διάρκεια του πολέμου.
Τα προϊόντα και η έρευνα της ESET προστατεύουν τις υποδομές πληροφορικής της Ουκρανίας εδώ και πολλά χρόνια. Από την έναρξη της ρωσικής εισβολής τον Φεβρουάριο του 2022, η ESET Research έχει αποτρέψει και διερευνήσει έναν σημαντικό αριθμό επιθέσεων που εξαπέλυσαν ομάδες προσκείμενες στη Ρωσία.
Για περισσότερες τεχνικές πληροφορίες σχετικά με την Επιχείρηση Texonto, ανατρέξτε στο blogpost "Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war" στο WeLiveSecurity.com. Ακολουθήστε την ESET Research στο Twitter (σήμερα γνωστό ως X) για να μαθαίνεται τις νεότερες ειδήσεις από την ESET Research.
Χρονοδιάγραμμα της επιχείρησης Texonto
536