Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении дезинформационной и психологической операции (ИПСО) под названием Texonto, которая распространялась в виде спама. С помощью дезинформационных сообщений российские киберпреступники пытались убедить украинских граждан в дефиците лекарств, продуктов и перебоях с отоплением, которые являются типичными темами для российской пропаганды.
Первая волна произошла в ноябре 2023 года, вторая — в конце декабря 2023 года. Кроме того, в октябре 2023 года ESET обнаружила фишинговую активность, нацеленную на украинскую оборонную компанию, а в ноябре 2023 года – на агентство ЕС с использованием стандартных поддельных страниц Microsoft для входа. В обоих случаях целью киберпреступников была кража данных для аккаунтов Microsoft Office 365. Сходство сетевой инфраструктуры, которая используется в этих психологических и фишинговых операциях, может свидетельствовать об их связи.
«С начала войны в Украине группы киберпреступников, связанные с россией, такие как Sandworm, были сосредоточены на атаках на украинскую ИТ-инфраструктуру с помощью программ для уничтожения данных. В последние месяцы фиксировался рост операций кибершпионажа, особенно со стороны уже известной группы Gamaredon. Операция Texonto демонстрирует еще одно использование технологий для попытки повлиять на ход войны», — комментирует Маттье Фау, исследователь ESET.
«Странное сочетание шпионажа, информационных операций и фейковых сообщений о лекарствах напоминает известную кибершпионскую группу Callisto, связанную с россией. Злоумышленники нацеливаются на государственных чиновников, сотрудников аналитических центров и военных организаций с помощью веб-сайтов, замаскированных под обычных облачных провайдеров. Хотя есть несколько похожих моментов между операциями Texonto и Callisto, технические сходства не обнаружены. Однако, учитывая использованные техники, цели и распространение сообщений, можно утверждать лишь, что эта группа киберпреступников также связана с россией», — продолжает исследователь ESET.
Сервер электронной почты злоумышленников, с помощью которого отправлялись письма ИПСО, через две недели повторно использовался для рассылки типичного для Канады спама, связанного с темой лекарств. Такая вредоносная деятельность уже давно популярна среди российских киберпреступников. Также обнаружены доменные имена, которые являются частью операции Texonto и связанные с внутренними российскими темами, например, с Алексеем Навальным. К Texonto, вероятно, относятся фишинг и психологические операции, направленные и на его приверженцев.
Цель первой волны дезинформационных писем – распространить сомнения у украинцев, например, в одном электронном письме речь идет о перебоях с отоплением этой зимой, в то время как у других якобы от Министерства здравоохранения – о дефиците лекарств. Вероятно, что в этой волне не было опасных ссылок или вредоносного программного обеспечения, только дезинформация.
Один домен, замаскированный под Министерство аграрной политики и продовольства Украины, рекомендовал заменить недоступное лекарство травами. Очередное письмо якобы от министерства предлагает кушать голубиное ризотто и содержит фото живого и вареного голубя. Эти документы специально создавались, чтобы разозлить и деморализовать читателей. В целом эти фейковые сообщения совпадают с распространенными темами российской пропаганды. Они пытаются заставить украинцев поверить, что у них отсутствуют лекарства, еда и отопление из-за российско-украинской войны.
Приблизительно через месяц после первой волны исследователи ESET обнаружили вторую психологическую кампанию, нацеленную не только на украинцев, но и на жителей других европейских стран. Цели злоумышленников разные – от представителей украинского правительства до итальянского производителя обуви. По данным телеметрии ESET, в этой волне письма получили несколько сотен человек. Во время второй волны сообщений злоумышленники предлагали пользователям ампутировать ногу или руку для избегания военной службы. В общем, эта активность обладает всеми характеристиками психологической операции во время войны.
В связи с увеличением фейковых новостей специалисты ESET рекомендуют анализировать информацию в Интернете и не делать поспешных выводов. В случае появления подозрительных или громких заявлений, полезных врагу, проверяйте информацию на официальных сайтах соответствующих госучреждений. Также будьте осторожны с провокационными сообщениями, которые часто являются способом заманить вас открыть фишинговую ссылку, ввести учетные данные или загрузить вредоносную программу.
Продукты ESET уже много лет защищают украинскую ИТ-инфраструктуру, а с начала полномасштабного вторжения в феврале 2022 года исследователи ESET предотвратили и расследовали значительное количество атак, совершенных группами, связанными с россией. Специалисты ESET продолжают следить за ситуацией в киберпространстве с целью защиты организаций и своевременного реагирования на инциденты кибербезопасности.
В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.