Операция Texonto: Как распространялась дезинформация в Украине и ЕС

27 февраля 2024
19:30
1823
Широкомасштабная дезинформационная кампания, направленная на население Украины, была раскрыта экспертами по безопасности из антивирусной компании Eset. По их словам, она связана с фишинговыми атаками, направленными на организации не только в Украине, но и в Европейском союзе.
Первая волна атак была перехвачена экспертами Eset в ноябре 2023 года, а вторая — в конце декабря 2023 года. Во время двух волн рассылки писем злоумышленники, связанные с Россией, пытались повлиять на население Украины заявлениями, которые должны были заставить их поверить, что Россия выигрывает войну.

«Содержание писем включало сообщения о перебоях в теплоснабжении, нехватке медикаментов и продуктов питания — темы, обычно используемые российской пропагандой», — отметил Роберт Шуман, глава пражского исследовательского офиса Eset.

По его словам, в октябре 2023 года эксперты по безопасности также обнаружили спирфишинговую кампанию, направленную на украинскую оборонную компанию, а затем на агентство Европейского союза в ноябре, в которой злоумышленники использовали поддельную страницу входа в Microsoft Office 365.

Спирфишинг очень похож на классический фишинг. Главное отличие в том, что злоумышленники не рассылают незапрошенные электронные письма беспорядочно, а выбирают конкретных людей или компании, чтобы сделать свои атаки как можно более эффективными.

«В данном случае целью злоумышленников была кража учетных записей сервиса», — отметил эксперт по безопасности, добавив, что атаки, скорее всего, связаны между собой, исходя из сходства сетевой инфраструктуры.

Кампания по дезинформации — это еще одно измерение войны, которая идет в киберпространстве. «С начала войны в Украине связанные с Россией группы атак, такие как группа Sandworm, сосредоточились на разрушении ИТ-инфраструктуры Украины с помощью вайперов», — говорит Шуман.

«Вайперы — это вредоносные коды, созданные не для получения финансовой выгоды, что является основным мотивом киберпреступности в наши дни, а как прямой инструмент для разрушения. В последние несколько месяцев мы вновь наблюдаем рост числа операций по кибершпионажу, возглавляемых печально известной атакующей группой Gamaredon. Операция Texonto показывает еще одно измерение использования киберпространства в войне», — отметил Шуман.

Эксперты по безопасности, однако, отметили, что кампания по дезинформации не была направлена на цели в Чешской Республике. «В настоящее время мы не видим в Чехии таких прямых операций, как Texonto. Скорее, мы видим дезинформационные кампании через третьих лиц, дезинформационные сайты или распространение ложной информации в социальных сетях», — пояснил Шуман.

«Однако в будущем нельзя исключать и более масштабных спам-кампаний, даже в случае с Чешской Республикой, особенно если атакующие группы выберут подходящую тему, которой обычно являются выборы», — предупредил эксперт по безопасности.

След ведет в Россию
Вся кампания по дезинформации имеет сходство с более ранними атаками связанной с Россией группы кибершпионажа Callisto.

«Сочетание кибершпионажа, информационных операций и фальшивых новостей о лекарствах напоминает деятельность Callisto, известной связанной с Россией группы кибершпионажа. Некоторым из ее членов Министерство юстиции США даже предъявило обвинения в декабре 2023 года. Жертвами Callisto становятся правительственные чиновники, сотрудники аналитических центров или организаций, ориентированных на военную тематику. Группа атакует жертв через сайты-шпионы, которые созданы для имитации известных поставщиков облачных услуг», — говорит Шуман.

«Однако группа Callisto также была замешана в дезинформационных кампаниях, таких как утечка документов незадолго до британских выборов 2019 года, и использует свою унаследованную сетевую инфраструктуру для создания поддельных доменов на медицинскую тематику. Тем не менее, несмотря на ряд значительных сходств между операцией Texonto и операциями группы Callisto, мы пока не нашли доказательств использования одних и тех же технологий, поэтому на данный момент не можем приписать операцию Texonto какой-либо конкретной группе злоумышленников», — добавил эксперт по безопасности.

Впрочем, судя по собранной информации, выбору жертв и распространению сообщений, Eset считает, что злоумышленники, скорее всего, связаны с Россией.
ЧИТАЙТЕ ПО ТЕМЕ :