Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення дезінформаційної та психологічної операції (ІПСО) під назвою Texonto, яка поширювалась у вигляді спаму. За допомогою дезінформаційних повідомлень російські кіберзлочинці намагалися переконати українських громадян у дефіциті ліків, продуктів та перебоях з опаленням, які є типовими темами для російської пропаганди.
Перша хвиля відбулась в листопаді 2023 року, друга – наприкінці грудня 2023 року. Крім того, у жовтні 2023 року ESET виявила фішингову активність, націлену на українську оборонну компанію, а в листопаді 2023 року – на агентство ЄС, із використанням стандартних підроблених сторінок Microsoft для входу. В обох випадках метою кіберзлочинців було викрадення даних для облікових записів Microsoft Office 365. Подібність мережевої інфраструктури, яка використовується в цих психологічних та фішингових операціях, може свідчити про їх зв’язок.
«З початку війни в Україні групи кіберзлочинців, пов’язані з росією, такі як Sandworm, були зосереджені на атаках на українську ІТ-інфраструктуру за допомогою програм для знищення даних. Останні місяці фіксувалося зростання операцій кібершпигунства, особливо з боку вже відомої групи Gamaredon. Операція Texonto демонструє ще одне використання технологій для спроби вплинути на хід війни», — коментує Маттьє Фау, дослідник ESET.
«Дивне поєднання шпигунства, інформаційних операцій та фейкових повідомлень про ліки нагадує відому кібершпигунську групу Callisto, пов’язану з росією. Зловмисники націлюються на державних чиновників, співробітників аналітичних центрів та військових організацій за допомогою вебсайтів, замаскованих під звичайних хмарних провайдерів. Хоч є кілька схожих моментів між операціями Texonto та Callisto, технічних подібностей не виявлено. Однак, враховуючи використані техніки, цілі та поширення повідомлень, можемо стверджувати лише, що ця група кіберзлочинців також повʼязана з росією», — продовжує дослідник ESET.
Сервер електронної пошти зловмисників, через який відправлялись листи ІПСО, через два тижні повторно використовувався для розсилки типового для Канади спаму, пов'язаного з темою ліків. Така шкідлива діяльність вже давно популярна серед російських кіберзлочинців. Також виявлено доменні імена, які є частиною операції Texonto та пов’язані з внутрішніми російськими темами, наприклад, з Олексієм Навальним. Тож до Texonto, ймовірно, належать фішинг та психологічні операції, спрямовані і на його прихильників.
Мета першої хвилі дезінформаційних листів ― поширити сумніви в українців, наприклад, в одному електронному листі йдеться про перебої з опаленням цієї зими, тоді як в інших нібито від Міністерства охорони здоров’я ― про дефіцит ліків. Ймовірно, що в цій хвилі не було небезпечних посилань або шкідливого програмного забезпечення, лише дезінформація.
Один домен, замаскований під Міністерство аграрної політики та продовольства України, рекомендував замінити недоступні ліки травами. Черговий лист нібито від міністерства пропонує їсти голубине ризото та містить фото живого та вареного голуба. Ці документи спеціально створювалися, щоб розлютити та деморалізувати читачів. Загалом ці фейкові повідомлення збігаються з поширеними темами російської пропаганди. Вони намагаються змусити українців повірити, що вони не матимуть ліків, їжі та опалення через російсько-українську війну.
Приблизно через місяць після першої хвилі дослідники ESET виявили другу психологічну кампанію, націлену не лише на українців, а й на жителів інших європейських країн. Цілі зловмисників різні ― від представників українського уряду до італійського виробника взуття. За даними телеметрії ESET, у цій хвилі листи отримали кілька сотень людей. Під час другої хвилі повідомлень зловмисники пропонували користувачам ампутувати ногу чи руку, щоб уникнути військової служби. Загалом, ця активність має всі характеристики психологічної операції під час війни.
У зв'язку зі збільшенням фейкових новин спеціалісти ESET рекомендують аналізувати інформацію в Інтернеті та не робити поспішних висновків. У разі появи підозрілих чи гучних заяв, які корисні ворогу, перевіряйте інформацію на офіційних сайтах відповідних держустанов. Також будьте обережні з провокативними повідомленнями, які часто є способом заманити вас відкрити фішингове посилання, ввести облікові дані або завантажити шкідливу програму.
Продукти ESET вже багато років захищають українську ІТ-інфраструктуру, а з початку повномасштабного вторгнення в лютому 2022 року дослідники ESET запобігли та розслідували значну кількість атак, здійснених групами, пов’язаними з росією. Спеціалісти ESET продовжують слідкувати за ситуацією в кіберпросторі з метою захисту організацій та вчасного реагування на інциденти кібербезпеки.
У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.