Tento článok je tlačová správa a je publikovaný bez redakčných úprav.

Výskumníci spoločnosti ESET nedávno odhalil operáciu Texonto, dezinformačno-psychologickú kampaň, ktorá sa šírila prostredníctvom spamových e-mailov.

Pomocou správ zaslaných v dvoch vlnách sa útočníci napojení na Rusko snažili ovplyvniť ukrajinských občanov a presvedčiť ich, že Rusko vyhráva vojnu. Prvá vlna sa uskutočnila v novembri 2023 a druhá koncom decembra 2023. Obsah e-mailov sa týkal prerušenia vykurovania či nedostatku liekov a potravín, čo sú typické témy ruskej propagandy.

  • Útočníci napojení na Rusko šírili medzi Ukrajincov dezinformácie súvisiace s vojnou prostredníctvom spamových e-mailov.
  • ESET zachytil aj spearphishingovú kampaň zacielenú na ukrajinskú obrannú spoločnosť a agentúru Európskej únie.
  • Vzhľadom na podobnosti v sieťovej infraštruktúre používanej v týchto psychologických a phishingových operáciách môžu výskumníci spoločnosti ESET s vysokou mierou istoty konštatovať, že sú prepojené.
  • Operácia Texonto pripomína aktivity APT skupiny Callisto, ktorá je napojená na Rusko, avšak ESET nemá dostatok dôkazov na to, aby tieto operácie priradil ku konkrétnej skupine.
  • V prvej vlne e-mailov v novembri 2023 sa útočníci napojení na Rusko snažili ovplyvniť a demoralizovať Ukrajincov dezinformačnými správami o témach súvisiacich s vojnou. Druhá vlna v decembri 2023 mala ešte temnejší tón.

Okrem toho ESET v októbri 2023 odhalil spearphishingovú kampaň, ktorá bola zameraná na ukrajinskú obrannú spoločnosť a v novembri 2023 kampaň zameranú na agentúru EÚ, ktorá využívala falošné prihlasovacie stránky spoločnosti Microsoft. Cieľom oboch kampaní bolo ukradnúť prihlasovacie údaje do účtov Microsoft Office 365. Vzhľadom na podobnosti v sieťovej infraštruktúre používanej v týchto psychologických a phishingových operáciách môžu výskumníci spoločnosti ESET s vysokou mierou istoty konštatovať, že sú prepojené.

„Od začiatku vojny na Ukrajine sa hackerské skupiny napojené na Rusko, ako napríklad Sandworm, sústredia na narúšanie ukrajinskej IT infraštruktúry pomocou wiperov, teda malvérov určených na mazanie obsahu. V posledných mesiacoch sme ale zaznamenali aj nárast kybernetických špionážnych operácií, najmä zo strany neslávne známej skupiny Gamaredon. Operácia Texonto ukazuje ďalšie využitie technológií v snahe ovplyvniť vojnu,“ hovorí výskumník spoločnosti ESET Matthieu Faou, ktorý operáciu Texonto odhalil.

„Osobitý spôsob špionáže, informačných operácií a falošných správ o liekoch nám môže pripomínať len Callisto, známu kyberšpionážnu skupinu napojenú na Rusko, ktorej niektorí členovia boli v decembri 2023 predmetom obžaloby amerického ministerstva spravodlivosti. Callisto sa zameriava na vládnych úradníkov, zamestnancov think-tankov a organizácií súvisiacich s armádou prostredníctvom spearphishingových webových stránok, ktoré majú napodobňovať rozšírené cloudové služby. Skupina tiež stojí za dezinformačnými operáciami, ako napríklad únik dokumentov tesne pred parlamentnými voľbami v Spojenom kráľovstve v roku 2019. Napokon, presmerovanie v rámci starej sieťovej infraštruktúry vedie k falošným farmaceutickým doménam,“ pokračuje Faou, no dodáva: „Hoci medzi operáciou Texonto a operáciami z dielne skupiny Callisto existuje niekoľko významných podobností, nezistili sme žiadne technické prekrývanie a operáciu Texonto v súčasnosti nepripisujeme konkrétnej skupine. Vzhľadom na taktiku, zacielenie a šírenie správ však operáciu s veľkou mierou istoty pripisujeme skupine napojenej na Rusko.“

E-mailový server, ktorý prevádzkovali útočníci a použili na distribúciu dezinformačných e-mailov, bol o dva týždne neskôr opätovne použitý na odosielanie známeho spamu vydávajúceho sa za ponuku od kanadských lekární. Táto kategória nelegálneho podnikania je v rámci ruskej komunity kyberzločincov už dlhší čas veľmi populárna. Niekoľko ďalších presmerovaní odhalilo aj názvy domén, ktoré sú súčasťou operácie Texonto a súvisia s vnútornými ruskými témami, ako je Alexej Navaľnyj, známy ruský opozičný líder, ktorý bol väznený a zomrel 16. februára 2024. To znamená, že operácia Texonto pravdepodobne zahŕňa spearphishing alebo informačné operácie zamerané na ruských disidentov a podporovateľov opozičného politika.

Cieľom prvej vlny dezinformačných e-mailov bolo zasiať v mysliach Ukrajincov pochybnosti, v jednom z e-mailov sa napríklad píše: „Počas tejto zimy môže dôjsť k prerušeniu vykurovania.“ Iné e-maily, údajne z ministerstva zdravotníctva, hovoria o nedostatku liekov. Nič nenasvedčuje tomu, že by v tejto konkrétnej vlne e-mailov boli aj nejaké škodlivé odkazy alebo malvér, iba dezinformácie. Jedna doména, ktorá sa vydáva za Ministerstvo agrárnej politiky a potravín Ukrajiny, odporúča nahradiť nedostupné lieky bylinkami. V ďalšom e-maile „od“ ministerstva odporúčali jesť „holubie rizoto“ a priložili fotografiu živého holuba a uvareného holuba. Tieto dokumenty boli účelovo vytvorené s cieľom vyburcovať a demoralizovať čitateľov. Celkovo sú tieto falošné správy v súlade s bežnými témami ruskej propagandy. Snažia sa presvedčiť Ukrajincov, že v dôsledku rusko-ukrajinskej vojny nebudú mať lieky, potraviny a kúrenie.

Približne mesiac po prvej vlne ESET zaznamenal druhú e-mailovú kampaň zameranú nielen na Ukrajincov, ale aj na osoby v iných európskych krajinách. Ciele vyzerajú náhodne zvolené, od ukrajinskej vlády až po taliansku firmu na výrobu obuvi. Podľa telemetrie spoločnosti ESET obdržalo v tejto vlne e-maily niekoľko stoviek ľudí. Druhá vlna bola svojím obsahom ešte drastickejšia, pričom útočníci navrhovali ľuďom amputáciu nohy alebo ruky, aby sa vyhli povolaniu do armády. Celkovo táto kampaň obsahuje všetky charakteristiky psychologickej operácie počas vojny.

Produkty a poznatky výskumníkov spoločnosti ESET chránia ukrajinskú IT infraštruktúru už mnoho rokov. Od začiatku ruskej invázie vo februári 2022 ESET zabránil značnému počtu útokov, ktoré spustili skupiny napojené na Rusko.

Viac technických informácií nájdete v našom špeciálnom blogu na portáli WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET Research.

Značky:

Máte pripomienku alebo otázku k článku? Napíšte nám na redakcia@touchit.sk alebo priamo autorovi článku. Ďakujeme.