🚀 Trustee Plus - ваш криптогаманець з вбудованою платіжною карткою тут 👉

Ризотто з голубом і коноплі замість ліків. Минулої осені росіяни провели операцію з розсиланням спаму та крінжової дезінформації, спрямованої на українців

Експерти з кіберзахисту з компанії ESET опублікували дослідження про низку російських спеціальна інформаційно-психологічних операцій, які відбувалися восени-взимку минулого року. Схоже, що вони намагалися атакувати українських користувачів за допомогою фішингу та крінжу.

Залишити коментар
Ризотто з голубом і коноплі замість ліків. Минулої осені росіяни провели операцію з розсиланням спаму та крінжової дезінформації, спрямованої на українців

Експерти з кіберзахисту з компанії ESET опублікували дослідження про низку російських спеціальна інформаційно-психологічних операцій, які відбувалися восени-взимку минулого року. Схоже, що вони намагалися атакувати українських користувачів за допомогою фішингу та крінжу.

За словами фахівців ESET, ця операція має назву Texonto та спрямована на те, щоб «посіяти сумніви у свідомості українців та україномовних за кордоном».

«Це дезінформаційна/психологічна операція з використанням спаму як основного методу розповсюдження інформації. Дивно, але не схоже, що зловмисники використовували поширені канали, такі як Telegram або фейкові вебсайти, щоб донести свої повідомлення. Ми виявили дві різні хвилі, першу — у листопаді 2023 року, а другу — наприкінці грудня 2023 року. Зміст електронних листів стосувався перебоїв з опаленням, дефіциту ліків і харчових продуктів, що є типовими темами російської пропаганди», — говорять експерти з кіберзахисту.

На додаток до дезінформаційної кампанії, дослідники виявили фішингову кампанію, спрямовану на українську оборонну компанію в жовтні 2023 року.

Метою обох хвиль була крадіжка облікових даних для облікових записів Microsoft Office 365. Завдяки схожості мережевої інфраструктури, яка використовувалася в цих PSYOP і фішингових операціях, вони з великою долею впевненості пов’язують їх між собою.

Фішингова кампанія: Жовтень-листопад 2023 року

У жовтні 2023 року працівники великої української оборонної компанії отримали фішинговий електронний лист, який нібито надійшов від їхнього ІТ-відділу. Листи були надіслані з адреси, яка, найімовірніше, була створена спеціально для цієї кампанії, а тема листа була «Потрібне схвалення: Запланована інвентаризація».

Він мав такий вміст:

Метою листа було спонукати перейти за цим зловмисним посиланням, яке прикидалося сторінкою login.microsoftonline.com. «Найімовірніше, це була підроблена сторінка входу в систему Microsoft, призначена для крадіжки облікових даних жертв», — говорять експерти.

Перша хвиля ІПСО: Листопад 2023 року

20 листопада було виявлено першу хвилю дезінформаційних електронних листів з вкладенням PDF, які були надіслані щонайменше кільком сотням одержувачів в Україні. Листи отримали люди, які працюють в українському уряді, енергетичних компаніях і навіть приватні особи.

На відміну від раніше описаної фішингової кампанії, метою цих листів було посіяти сумніви у свідомості українців: наприклад, в одному з листів йдеться про те, що «Цієї зими можуть бути перебої з опаленням».

«Схоже, що в цій конкретній хвилі не було жодного шкідливого посилання або шкідливого програмного забезпечення, а лише дезінформація», — вважають дослідники.

Тема листа була: «Рекомендації МОЗ України на тлі дефіциту ліків», а сам лист було надіслано з адреси mozua@ua-minagro[.]com. Це домен, яким керують зловмисники, і який використовувався виключно для розсилки дезінформаційних листів у цій кампанії. Домен маскується під Міністерство аграрної політики та продовольства України, легальним доменом якого є minagro.gov.ua.

У листі використовується логотип Міністерства охорони здоров’я України й пояснюється, що через війну в Україні спостерігається дефіцит ліків. Також йдеться про те, що український уряд відмовляється імпортувати ліки з росії та білорусі. На другій сторінці пояснюється, як можна замінити деякі ліки рослинами.

Фейковий документ, який розповсюджували росіяни

Цікаво, що лист було надіслано з домену, замаскованого під Міністерство аграрної політики та продовольства України, в той час, як у тексті йдеться про дефіцит ліків, а в PDF-файлі неправомірно використано логотип Міністерства охорони здоров’я України. «Можливо, це помилка зловмисників або принаймні свідчить про те, що вони не подбали про всі деталі», — вважають експерти.

В інших фейкових документах, нібито від держорганів України, росіяни лякали перебоями зі світлом, опаленням, ліками й продуктами, й рекомендували замінити їх народною медициною, а замість їжі вживати «соковите листя трав».

Так, фейкове «Міністерство аграрної політики та продовольства України» наводило рецепти вітамінно-дієтичного супу з кропиви та радили як приготувати ризотто з голуба.

Приклад російської дезінформації, яку поширювали в межах операції Texonto
Приклад російської дезінформації, яку поширювали в межах операції Texonto

Друга хвиля ІПСО: Грудень 2023 року

Приблизно через місяць після першої хвилі дослідники виявили другу кампанію дезінформації, спрямовану не лише на українців, а й на жителів інших європейських країн. Цілі були дещо випадковими — від українського уряду до італійського виробника взуття. Оскільки всі електронні листи написані українською мовою, цілком ймовірно, що іноземні мішені є україномовними. За даними телеметрії ESET, кілька сотень людей отримали листи в цій другій хвилі.

У цій хвилі експерти виявили два різних шаблони листів. В обох «брати-росіяни» не надто маскувалися й відверто знущалися. У них вони вітали українців з новим роком, і радили позбутися однієї кінцівки, щоб уникнути зустрічі з російськими солдатами.

Приклад «привітання» від росіян 
Приклад «привітання» від росіян 

«Якщо перша кампанія ІПСО у листопаді 2023 року була досить добре підготовленою, зі спеціально створеними PDF-документами, які були дещо переконливими, то друга кампанія є більш примітивною і темною за своїми меседжами. Особливо тривожним є другий шаблон листа, в якому зловмисники пропонують людям ампутувати ногу або руку, щоб уникнути розгортання військових сил. Загалом, ця кампанія має всі ознаки ІПСО під час війни», — вказують експерти.

Аптечний спам

Дослідники також з’ясували, що мережа, яка стояла за цими хвилями дезінформації, згодом брала участь в розсиланні класичного фішингового спаму, який маскувався під фейкові канадські аптеки. 

«Канадський аптечний спам — це бізнес, яким історично займаються російські кіберзлочинці», — пояснюють експерти ESET. «Хоча ми не знаємо, чому оператори кампаній ІПСО вирішили повторно використати один зі своїх серверів для розсилки фальшивого аптечного спаму, цілком ймовірно, що вони зрозуміли, що їхню інфраструктуру було виявлено. Отже, вони могли вирішити спробувати монетизувати вже спалену інфраструктуру або для власної вигоди, або для фінансування майбутніх шпигунських операцій чи PSYOP-кампаній.»

Експерти говорять, що з  початку російського повномасштабного вторгнення в Україну, пов’язані з рф угруповання, такі як Sandworm, займаються руйнуванням української ІТ-інфраструктури. 

Операція Texonto — це ще один прояв використання технологій у спробі вплинути на війну. Вона мала на меті деморалізувати українців за допомогою дезінформаційних повідомлень, пов’язаних із війною росії проти України.

Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
Російські хакери Sandworm уже кілька разів зламували українські електромережі. У 2022-му кібератаку поєднали з ракетними ударами
Російські хакери Sandworm уже кілька разів зламували українські електромережі. У 2022-му кібератаку поєднали з ракетними ударами
По темi
Російські хакери Sandworm уже кілька разів зламували українські електромережі. У 2022-му кібератаку поєднали з ракетними ударами
UPD. Відповідальність за атаку на «Київстар» взяли російські хакери. Розповідаємо що таке «Солнцепьок» і хто за ним стоїть
UPD. Відповідальність за атаку на «Київстар» взяли російські хакери. Розповідаємо, що таке «Солнцепьок» і хто за ним стоїть
По темi
UPD. Відповідальність за атаку на «Київстар» взяли російські хакери. Розповідаємо, що таке «Солнцепьок» і хто за ним стоїть
Росіяни приписують фейкові цитати про Україну Тейлор Свіфт Бейонсе Кім Кардашян Джастіну Біберу Шакірі та іншим. Як працює нова афера з дезінформацією у Facebook і X
Росіяни приписують фейкові цитати про Україну Тейлор Свіфт, Бейонсе, Кім Кардашян, Джастіну Біберу, Шакірі та іншим. Як працює нова афера з дезінформацією у Facebook і X 
По темi
Росіяни приписують фейкові цитати про Україну Тейлор Свіфт, Бейонсе, Кім Кардашян, Джастіну Біберу, Шакірі та іншим. Як працює нова афера з дезінформацією у Facebook і X
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
Читайте також
Атлас зброї: Німеччина передає захисникам чергові MARS II. Які ще РСЗВ отримала Україна від західних партнерів та як вони працюють
Атлас зброї: Німеччина передає захисникам чергові MARS II. Які ще РСЗВ отримала Україна від західних партнерів та як вони працюють
Атлас зброї: Німеччина передає захисникам чергові MARS II. Які ще РСЗВ отримала Україна від західних партнерів та як вони працюють
Федеральне міністерство оборони Німеччини повідомило у Twitter, що у найближчі кілька тижнів Україні будуть передані чергові системи залпового вогню MARS II.  Раніше ми розповідали про те, які РСЗВ партнери надіслали на допомогу українським воїнам. Нагадуємо про це знову.  (Текст від 26 липня)
«Це стандартний театр»: що ексглава NASA думає про наміри росії полишити МКС
«Це стандартний театр»: що ексглава NASA думає про наміри росії полишити МКС
«Це стандартний театр»: що ексглава NASA думає про наміри росії полишити МКС
Київстар, Vodafone і lifecell втратили за півроку 4,5 млн активних сім-карт в Україні
Київстар, Vodafone і lifecell втратили за півроку 4,5 млн активних сім-карт в Україні
Київстар, Vodafone і lifecell втратили за півроку 4,5 млн активних сім-карт в Україні
Тайвань передав Україні 800 БПЛА Revolver 860 Armed VTOL. Які ще безпілотники отримали захисники від західних партнерів і як вони працюють
Тайвань передав Україні 800 БПЛА Revolver 860 Armed VTOL. Які ще безпілотники отримали захисники від західних партнерів і як вони працюють
Тайвань передав Україні 800 БПЛА Revolver 860 Armed VTOL. Які ще безпілотники отримали захисники від західних партнерів і як вони працюють
Тайвань передав Україні 800 БПЛА Revolver 860 Armed VTOL, про це повідомляє видання Bild. Дрон-бомбардувальник ближнього радіусу може нести до восьми 60-мм артилерійських мін і наводитися на ціль із високою точністю, скидаючи їх один за одним. Раніше ми розповідали, які дрони вже є на озброєнні ЗСУ. Нагадуємо про це знову.

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.