Seit zwei Jahren tobt der Krieg in der Ukraine – auf dem Schlachtfeld und online. Wie der ESET Forscher Matthieu Faou und sein Team nun herausfanden, hat eine russische Hackergruppe eine großangelegte Kampagne zur psychologischen Kriegsführung (Psyops) gegen Ukrainer in ihrem Heimatland und der gesamten Europäischen Union gestartet: Von Oktober bis Dezember 2023 verschickten die Hacker hunderte täuschend echt aussehende E-Mails, die von der ukrainischen Regierung zu stammen schienen. Diese Propaganda-Nachrichten dienten dabei nur einem Zweck: die ukrainische Bevölkerung zu demoralisieren und Wut auf ihre Regierung zu schüren.
Die Aktionen der bis heute unbekannten Gruppe hat ESET unter dem Namen „Operation Texonto“ zusammengefasst.
„Seit Beginn des Krieges greifen professionelle staatlich finanzierte Hackergruppen die IT-Infrastruktur in der Ukraine an. Die Art der Angriffe hat sich in den letzten beiden Jahren von reinen Störangriffen zu Cyberspionage-Aktionen verändert,“ sagt ESET Forscher Matthieu Faou, der die Machenschaften der Hackergruppe entdeckt hat. „Die aktuelle Psyops-Kampagne stellt eine weitere Form der Cyberkriegsführung dar. Sie ist die digitale Weiterentwicklung von Propagandaflugblättern und anderen Mitteln zur Demoralisierung.“
Psyops-Welle November 2023: Von traditionellen Heilmethoden und Taubenrisotto
Die erste Welle an Desinformations-Mails erreichte hunderte Ukrainer am 20. November 2023, darunter Regierungsangestellte, Mitarbeiter im Energiesektor sowie Privatleute. Die angeblich vom ukrainischen Landwirtschaftsministerium stammenden Nachrichten prognostizierten Engpässe bei der Medikamenten-, Lebensmittel- und Wärmeversorgung infolge des Krieges und ukrainischer Importstopps. An die E-Mails angefügt waren verschiedene „hilfreiche“ PDF-Dokumente, die auf die anstehenden Engpässe vorbereiten sollten: So sollten traditionelle Heilpraktiken den Mangel an Medikamenten abmildern. Bei knapper werdenden Nahrungsmitteln riet das Dokument, auf gesunde und leicht verfügbare Alternativen umzusteigen – Rezepte für Brennnesselsuppe und Taubenrisotto inklusive. Ukrainern, die im Zuge russischer Bombardements auf Kraftwerke frieren müssen, gibt ein anderes PDF Tipps zur effizienten Wärmedämmung. Insgesamt entsprechen die gefälschten Nachrichten den üblichen russischen Propagandathemen.
Psyops-Welle Dezember 2023: Liebesgrüße aus Moskau
Die nächste Flut an Demoralisierungsmails erreichte am 25. Dezember hunderte Menschen in der Ukraine und der gesamten EU, unter anderem Mitglieder der ukrainischen Regierung und Ukrainisch sprechende Menschen in Österreich. Empfänger erhielten zwei unterschiedliche Nachrichten mit Neujahrsgrüßen: In der ersten E-Mail vom 25. Dezember wünschte der Absender den Ukrainern alles Gute für das neue Jahr. Er beschwor den Empfänger, nur gemeinsam könne man die US-Satanisten und ihre Schergen vom russischen Boden verjagen und Altrussland (Kiewer Rus) wieder aufleben lassen – ein mittelalterliches Großreich, auf das sich Putin auch in seinem Interview mit Tucker Carlson bezog.
Die zweite Mail vom 26. Dezember ist ungleich düsterer: Nach den Neujahrsgrüßen folgt der Rat, sich für den Kriegsdienst untauglich zu machen, indem man sich Gliedmaßen amputiert: ein paar Minuten Schmerz für ein sorgenfreies Leben, so der Text.
Weitere Aktionen der Gruppe
Schon vor den beiden Psyops-Wellen kam es ab Oktober bis November 2023 zu Spearphishing-Angriffen auf ein ukrainisches Verteidigungsunternehmen und eine EU-Agentur. Drahtzieher war dieselbe Hackergruppe. Mit gefälschten E-Mails vom IT-Support versuchten die Hacker, an Login-Daten für Microsoft Office 365 von hochrangigen Mitarbeitern zu gelangen.
Nach der Psyops- bzw. Phishing-Kampagne verschickte die dafür genutzte IT-Infrastruktur im Januar dieses Jahres noch „klassische“ Spam-Nachrichten: Mit diesen E-Mails erreichte die Hackergruppe zahllose Menschen weltweit und vertrieb ein verschreibungspflichtiges Potenzmittel im Namen einer Apotheke aus Kanada. Hierbei handelt es sich um eine typische hochlukrative Masche, wie sie seit über zehn Jahren von russischen Hackern genutzt wird. Mit dieser Aktion wollten die Cyberkriminellen das letzte bisschen Profit aus der mittlerweile aufgedeckten IT-Infrastruktur herauspressen.
Weitere technische Informationen über die Operation Texonto finden Sie in dem Blogpost „Operation Texonto: Desinformationskampagne gegen Ukrainer“ auf WeLiveSecurity.com.