Bezpečnostná firma zmapovala operácie ruských hackerov
Výskumníci spoločnosti ESET nedávno odhalil operáciu Texonto, dezinformačno-psychologickú kampaň, ktorá sa šírila prostredníctvom spamových e-mailov. Pomocou správ zaslaných v dvoch vlnách sa útočníci napojení na Rusko snažili ovplyvniť ukrajinských občanov a presvedčiť ich, že Rusko vyhráva vojnu. Prvá vlna sa uskutočnila v novembri 2023 a druhá koncom decembra 2023. Obsah e-mailov sa týkal prerušenia vykurovania či nedostatku liekov a potravín, čo sú typické témy ruskej propagandy.
Okrem toho ESET v októbri 2023 odhalil spearphishingovú kampaň, ktorá bola zameraná na ukrajinskú obrannú spoločnosť a v novembri 2023 kampaň zameranú na agentúru EÚ, ktorá využívala falošné prihlasovacie stránky spoločnosti Microsoft. Cieľom oboch kampaní bolo ukradnúť prihlasovacie údaje do účtov Microsoft Office 365. Vzhľadom na podobnosti v sieťovej infraštruktúre používanej v týchto psychologických a phishingových operáciách môžu výskumníci spoločnosti ESET s vysokou mierou istoty konštatovať, že sú prepojené.
Spam, mazanie obsahu aj malvér
„Od začiatku vojny na Ukrajine sa hackerské skupiny napojené na Rusko, ako napríklad Sandworm, sústredia na narúšanie ukrajinskej IT infraštruktúry pomocou wiperov, teda malvérov určených na mazanie obsahu. V posledných mesiacoch sme ale zaznamenali aj nárast kybernetických špionážnych operácií,“ hovorí výskumník spoločnosti ESET Matthieu Faou, ktorý operáciu Texonto odhalil.
E-mailový server, ktorý prevádzkovali útočníci a použili na distribúciu dezinformačných e-mailov, bol o dva týždne neskôr opätovne použitý na odosielanie známeho spamu vydávajúceho sa za ponuku od kanadských lekární. Táto kategória nelegálneho podnikania je v rámci ruskej komunity kyberzločincov už dlhší čas veľmi populárna.
Niekoľko ďalších presmerovaní odhalilo aj názvy domén, ktoré sú súčasťou operácie Texonto a súvisia s vnútornými ruskými témami, ako je Alexej Navaľnyj, známy ruský opozičný líder, ktorý bol väznený a zomrel 16. februára 2024. To znamená, že operácia Texonto pravdepodobne zahŕňa spearphishing alebo informačné operácie zamerané na ruských disidentov a podporovateľov opozičného politika.
Aké dezinformácie sa šírili?
Cieľom prvej vlny dezinformačných e-mailov bolo zasiať v mysliach Ukrajincov pochybnosti, v jednom z e-mailov sa napríklad píše: „Počas tejto zimy môže dôjsť k prerušeniu vykurovania.“ Iné e-maily, údajne z ministerstva zdravotníctva, hovoria o nedostatku liekov. Nič nenasvedčuje tomu, že by v tejto konkrétnej vlne e-mailov boli aj nejaké škodlivé odkazy alebo malvér, iba dezinformácie.
Jedna doména, ktorá sa vydáva za Ministerstvo agrárnej politiky a potravín Ukrajiny, odporúča nahradiť nedostupné lieky bylinkami. V ďalšom e-maile „od“ ministerstva odporúčali jesť „holubie rizoto“ a priložili fotografiu živého holuba a uvareného holuba.
Tieto dokumenty boli účelovo vytvorené s cieľom vyburcovať a demoralizovať čitateľov. Celkovo sú tieto falošné správy v súlade s bežnými témami ruskej propagandy. Snažia sa presvedčiť Ukrajincov, že v dôsledku rusko-ukrajinskej vojny nebudú mať lieky, potraviny a kúrenie.
Ďalšia vlna cielila na celú Európu
Približne mesiac po prvej vlne ESET zaznamenal druhú e-mailovú kampaň zameranú nielen na Ukrajincov, ale aj na osoby v iných európskych krajinách. Ciele vyzerajú náhodne zvolené, od ukrajinskej vlády až po taliansku firmu na výrobu obuvi. Podľa telemetrie spoločnosti ESET obdržalo v tejto vlne e-maily niekoľko stoviek ľudí.
Druhá vlna bola svojím obsahom ešte drastickejšia, pričom útočníci navrhovali ľuďom amputáciu nohy alebo ruky, aby sa vyhli povolaniu do armády. Celkovo táto kampaň obsahuje všetky charakteristiky psychologickej operácie počas vojny.
Viac technických informácií nájdete v špeciálnom blogu na portáli WeLiveSecurity.