Експерти з кіберзахисту з компанії ESET опублікували дослідження про низку російських спеціальна інформаційно-психологічних операцій, які відбувалися восени-взимку минулого року. Схоже, що вони намагалися атакувати українських користувачів за допомогою фішингу та крінжу.
Експерти з кіберзахисту з компанії ESET опублікували дослідження про низку російських спеціальна інформаційно-психологічних операцій, які відбувалися восени-взимку минулого року. Схоже, що вони намагалися атакувати українських користувачів за допомогою фішингу та крінжу.
За словами фахівців ESET, ця операція має назву Texonto та спрямована на те, щоб «посіяти сумніви у свідомості українців та україномовних за кордоном».
«Це дезінформаційна/психологічна операція з використанням спаму як основного методу розповсюдження інформації. Дивно, але не схоже, що зловмисники використовували поширені канали, такі як Telegram або фейкові вебсайти, щоб донести свої повідомлення. Ми виявили дві різні хвилі, першу — у листопаді 2023 року, а другу — наприкінці грудня 2023 року. Зміст електронних листів стосувався перебоїв з опаленням, дефіциту ліків і харчових продуктів, що є типовими темами російської пропаганди», — говорять експерти з кіберзахисту.
На додаток до дезінформаційної кампанії, дослідники виявили фішингову кампанію, спрямовану на українську оборонну компанію в жовтні 2023 року.
Метою обох хвиль була крадіжка облікових даних для облікових записів Microsoft Office 365. Завдяки схожості мережевої інфраструктури, яка використовувалася в цих PSYOP і фішингових операціях, вони з великою долею впевненості пов’язують їх між собою.
У жовтні 2023 року працівники великої української оборонної компанії отримали фішинговий електронний лист, який нібито надійшов від їхнього ІТ-відділу. Листи були надіслані з адреси, яка, найімовірніше, була створена спеціально для цієї кампанії, а тема листа була «Потрібне схвалення: Запланована інвентаризація».
Він мав такий вміст:
Метою листа було спонукати перейти за цим зловмисним посиланням, яке прикидалося сторінкою login.microsoftonline.com. «Найімовірніше, це була підроблена сторінка входу в систему Microsoft, призначена для крадіжки облікових даних жертв», — говорять експерти.
20 листопада було виявлено першу хвилю дезінформаційних електронних листів з вкладенням PDF, які були надіслані щонайменше кільком сотням одержувачів в Україні. Листи отримали люди, які працюють в українському уряді, енергетичних компаніях і навіть приватні особи.
На відміну від раніше описаної фішингової кампанії, метою цих листів було посіяти сумніви у свідомості українців: наприклад, в одному з листів йдеться про те, що «Цієї зими можуть бути перебої з опаленням».
«Схоже, що в цій конкретній хвилі не було жодного шкідливого посилання або шкідливого програмного забезпечення, а лише дезінформація», — вважають дослідники.
Тема листа була: «Рекомендації МОЗ України на тлі дефіциту ліків», а сам лист було надіслано з адреси mozua@ua-minagro[.]com. Це домен, яким керують зловмисники, і який використовувався виключно для розсилки дезінформаційних листів у цій кампанії. Домен маскується під Міністерство аграрної політики та продовольства України, легальним доменом якого є minagro.gov.ua.
У листі використовується логотип Міністерства охорони здоров’я України й пояснюється, що через війну в Україні спостерігається дефіцит ліків. Також йдеться про те, що український уряд відмовляється імпортувати ліки з росії та білорусі. На другій сторінці пояснюється, як можна замінити деякі ліки рослинами.
Цікаво, що лист було надіслано з домену, замаскованого під Міністерство аграрної політики та продовольства України, в той час, як у тексті йдеться про дефіцит ліків, а в PDF-файлі неправомірно використано логотип Міністерства охорони здоров’я України. «Можливо, це помилка зловмисників або принаймні свідчить про те, що вони не подбали про всі деталі», — вважають експерти.
В інших фейкових документах, нібито від держорганів України, росіяни лякали перебоями зі світлом, опаленням, ліками й продуктами, й рекомендували замінити їх народною медициною, а замість їжі вживати «соковите листя трав».
Так, фейкове «Міністерство аграрної політики та продовольства України» наводило рецепти вітамінно-дієтичного супу з кропиви та радили як приготувати ризотто з голуба.
Приблизно через місяць після першої хвилі дослідники виявили другу кампанію дезінформації, спрямовану не лише на українців, а й на жителів інших європейських країн. Цілі були дещо випадковими — від українського уряду до італійського виробника взуття. Оскільки всі електронні листи написані українською мовою, цілком ймовірно, що іноземні мішені є україномовними. За даними телеметрії ESET, кілька сотень людей отримали листи в цій другій хвилі.
У цій хвилі експерти виявили два різних шаблони листів. В обох «брати-росіяни» не надто маскувалися й відверто знущалися. У них вони вітали українців з новим роком, і радили позбутися однієї кінцівки, щоб уникнути зустрічі з російськими солдатами.
«Якщо перша кампанія ІПСО у листопаді 2023 року була досить добре підготовленою, зі спеціально створеними PDF-документами, які були дещо переконливими, то друга кампанія є більш примітивною і темною за своїми меседжами. Особливо тривожним є другий шаблон листа, в якому зловмисники пропонують людям ампутувати ногу або руку, щоб уникнути розгортання військових сил. Загалом, ця кампанія має всі ознаки ІПСО під час війни», — вказують експерти.
Дослідники також з’ясували, що мережа, яка стояла за цими хвилями дезінформації, згодом брала участь в розсиланні класичного фішингового спаму, який маскувався під фейкові канадські аптеки.
«Канадський аптечний спам — це бізнес, яким історично займаються російські кіберзлочинці», — пояснюють експерти ESET. «Хоча ми не знаємо, чому оператори кампаній ІПСО вирішили повторно використати один зі своїх серверів для розсилки фальшивого аптечного спаму, цілком ймовірно, що вони зрозуміли, що їхню інфраструктуру було виявлено. Отже, вони могли вирішити спробувати монетизувати вже спалену інфраструктуру або для власної вигоди, або для фінансування майбутніх шпигунських операцій чи PSYOP-кампаній.»
Експерти говорять, що з початку російського повномасштабного вторгнення в Україну, пов’язані з рф угруповання, такі як Sandworm, займаються руйнуванням української ІТ-інфраструктури.
Операція Texonto — це ще один прояв використання технологій у спробі вплинути на війну. Вона мала на меті деморалізувати українців за допомогою дезінформаційних повідомлень, пов’язаних із війною росії проти України.
