Эксперты по киберзащите из компании ESET опубликовали исследования о ряде российских специальных информационно-психологических операций, которые происходили осенью-зимой прошлого года. Похоже, они пытались атаковать украинских пользователей с помощью фишинга и кринжа.
Эксперты по киберзащите из компании ESET опубликовали исследования о ряде российских специальных информационно-психологических операций, которые происходили осенью-зимой прошлого года. Похоже, они пытались атаковать украинских пользователей с помощью фишинга и кринжа.
По словам специалистов ESET, эта операция называется Texonto и направлена на то, чтобы «посеять сомнения в сознании украинцев и украиноязычных за рубежом».
«Это дезинформационная/психологическая операция с использованием спама как основного метода распространения информации. Странно, но непохоже, что злоумышленники использовали распространенные каналы, такие как Telegram или фейковые вебсайты, чтобы донести свои сообщения. Мы обнаружили две разные волны, первую — в ноябре 2023 года, а вторую — в конце декабря 2023 года. Содержание электронных писем касалось перебоев с отоплением, дефицита лекарств и пищевых продуктов, типичных тем российской пропаганды», — говорят эксперты по киберзащите.
В дополнение к дезинформационной кампании исследователи обнаружили фишинговую кампанию, направленную на украинскую оборонную компанию в октябре 2023 года.
Целью обеих волн было воровство учетных данных для учетных записей Microsoft Office 365. Благодаря сходству сетевой инфраструктуры, которая использовалась в этих PSYOP и фишинговых операциях, они с большой долей уверенности связывают их между собой.
В октябре 2023 года работники крупной украинской оборонной компании получили фишинговое электронное письмо, якобы поступившее от их ИТ-отдела. Письма были отправлены с адреса, который, скорее всего, был создан специально для этой кампании, а тема письма была «Требуется одобрение: Запланированная инвентаризация».
Он имел такое содержимое:
Целью письма было побуждать перейти по этой злонамеренной ссылке, которая притворялась страницей login.microsoftonline.com. «Скорее всего, это была поддельная страница входа в систему Microsoft, предназначенная для кражи учетных данных жертв», — говорят эксперты.
20 ноября была обнаружена первая волна дезинформационных электронных писем с вложением PDF, которые были отправлены по меньшей мере нескольким сотням получателей в Украине. Письма получили люди, работающие в украинском правительстве, энергетических компаниях и даже частных лицах.
В отличие от ранее описанной фишинговой кампании целью этих писем было посеять сомнения в сознании украинцев: например, в одном из писем говорится, что «этой зимой могут быть перебои с отоплением».
«Похоже, что в этой конкретной волне не было ни одной вредоносной ссылки или вредоносного программного обеспечения, а только дезинформация», — считают исследователи.
Тема письма была: «Рекомендации Минздрава Украины на фоне дефицита лекарств», а само письмо было отправлено с адреса mozua@ua-minagro[.]com. Это домен, которым руководят злоумышленники, который использовался исключительно для рассылки дезинформационных писем в этой кампании. Домен маскируется под Министерство аграрной политики и продовольствия Украины, легальным доменом которого является minagro.gov.ua.
В письме используется логотип Министерства здравоохранения Украины и объясняется, что из-за войны в Украине наблюдается дефицит лекарств. Также говорится, что украинское правительство отказывается импортировать лекарства из россии и беларуси. На второй странице объясняется, как можно заменить некоторые лекарства растениями.
Интересно, что письмо было отправлено из домена, замаскированного под Министерство аграрной политики и продовольствия Украины, в то время как в тексте говорится о дефиците лекарств, а в PDF-файле неправомерно использован логотип Министерства здравоохранения Украины. «Возможно, это ошибка злоумышленников или, по крайней мере, свидетельствует, что они не позаботились обо всех деталях», — считают эксперты.
В других фейковых документах, якобы от госорганов Украины, россияне пугали перебоями со светом, отоплением, лекарствами и продуктами, и рекомендовали заменить их народной медициной, а вместо еды употреблять «сочные листья трав».
Так, фейковое «Министерство аграрной политики и продовольствия Украины» приводило рецепты витаминно-диетического супа из крапивы и советовали, как приготовить ризотто из голубя.
Приблизительно через месяц после первой волны исследователи обнаружили вторую кампанию дезинформации, направленную не только на украинцев, но и на жителей других европейских стран. Цели были несколько случайными — от украинского правительства до итальянского производителя обуви. Поскольку все электронные письма написаны на украинском языке, вполне вероятно, что иностранные мишени украиноязычные. По данным телеметрии ESET, несколько сот человек получили письма в этой второй волне.
В этой волне эксперты обнаружили два разных шаблона писем. У обоих «братья-россияне» не слишком маскировались и откровенно издевались. В них они поздравляли украинцев с новым годом, и советовали избавиться от одной конечности, чтобы избежать встречи с русскими солдатами.
«Если первая кампания ИПСО в ноябре 2023 года была достаточно хорошо подготовлена, со специально созданными PDF-документами, которые были несколько убедительными, то вторая кампания более примитивна и темна по своим месседжам. Особенно тревожен второй шаблон письма, в котором злоумышленники предлагают людям ампутировать ногу или руку, чтобы избежать развертывания военных сил. В общем, у этой кампании есть все признаки ИПСО во время войны», — указывают эксперты.
Исследователи также выяснили, что сеть, стоявшая за этими волнами дезинформации, впоследствии принимала участие в рассылке классического фишингового спама, маскировавшегося под фейковые канадские аптеки.
«Канадский аптечный спам — это бизнес, которым исторически занимаются российские киберпреступники», — объясняют эксперты ESET. «Хотя мы не знаем, почему операторы кампаний ИПСО решили повторно использовать один из своих серверов для рассылки фальшивого аптечного спама, по всей вероятности, они поняли, что их инфраструктура была обнаружена. Следовательно, они могли решить попытаться монетизировать уже сожженную инфраструктуру либо для собственной выгоды, либо для финансирования будущих шпионских операций или PSYOP-кампаний».
Эксперты говорят, что с начала российского полномасштабного вторжения в Украину, связанные с рф группировки, такие как Sandworm, занимаются разрушением украинской ИТ-инфраструктуры.
Операция Texonto — это еще одно проявление использования технологий в попытке повлиять на войну. Она имела целью деморализовать украинцев с помощью дезинформационных сообщений, связанных с войной россии против Украины.
