Операция Texonto: Как распространялась дезинформация в Украине и ЕС

Первая волна атак была перехвачена экспертами Eset в ноябре 2023 года, а вторая — в конце декабря 2023 года. Во время двух волн рассылки писем злоумышленники, связанные с Россией, пытались повлиять на население Украины заявлениями, которые должны были заставить их поверить, что Россия выигрывает войну.

«Содержание писем включало сообщения о перебоях в теплоснабжении, нехватке медикаментов и продуктов питания — темы, обычно используемые российской пропагандой», — отметил Роберт Шуман, глава пражского исследовательского офиса Eset.

По его словам, в октябре 2023 года эксперты по безопасности также обнаружили спирфишинговую кампанию, направленную на украинскую оборонную компанию, а затем на агентство Европейского союза в ноябре, в которой злоумышленники использовали поддельную страницу входа в Microsoft Office 365.

«В данном случае целью злоумышленников была кража учетных записей сервиса», — отметил эксперт по безопасности, добавив, что атаки, скорее всего, связаны между собой, исходя из сходства сетевой инфраструктуры.

Кампания по дезинформации — это еще одно измерение войны, которая идет в киберпространстве. «С начала войны в Украине связанные с Россией группы атак, такие как группа Sandworm, сосредоточились на разрушении ИТ-инфраструктуры Украины с помощью вайперов», — говорит Шуман.

Эксперты по безопасности, однако, отметили, что кампания по дезинформации не была направлена на цели в Чешской Республике. «В настоящее время мы не видим в Чехии таких прямых операций, как Texonto. Скорее, мы видим дезинформационные кампании через третьих лиц, дезинформационные сайты или распространение ложной информации в социальных сетях», — пояснил Шуман.

«Однако в будущем нельзя исключать и более масштабных спам-кампаний, даже в случае с Чешской Республикой, особенно если атакующие группы выберут подходящую тему, которой обычно являются выборы», — предупредил эксперт по безопасности.

След ведет в Россию
Вся кампания по дезинформации имеет сходство с более ранними атаками связанной с Россией группы кибершпионажа Callisto.

«Сочетание кибершпионажа, информационных операций и фальшивых новостей о лекарствах напоминает деятельность Callisto, известной связанной с Россией группы кибершпионажа. Некоторым из ее членов Министерство юстиции США даже предъявило обвинения в декабре 2023 года. Жертвами Callisto становятся правительственные чиновники, сотрудники аналитических центров или организаций, ориентированных на военную тематику. Группа атакует жертв через сайты-шпионы, которые созданы для имитации известных поставщиков облачных услуг», — говорит Шуман.

«Однако группа Callisto также была замешана в дезинформационных кампаниях, таких как утечка документов незадолго до британских выборов 2019 года, и использует свою унаследованную сетевую инфраструктуру для создания поддельных доменов на медицинскую тематику. Тем не менее, несмотря на ряд значительных сходств между операцией Texonto и операциями группы Callisto, мы пока не нашли доказательств использования одних и тех же технологий, поэтому на данный момент не можем приписать операцию Texonto какой-либо конкретной группе злоумышленников», — добавил эксперт по безопасности.

Впрочем, судя по собранной информации, выбору жертв и распространению сообщений, Eset считает, что злоумышленники, скорее всего, связаны с Россией.