Η ESET Research αποκαλύπτει την επιχείρηση Texonto

Η ESET Research αποκάλυψε πρόσφατα την επιχείρηση Texonto, μια εκστρατεία παραπληροφόρησης / ψυχολογικών επιχειρήσεων (PSYOPs) που χρησιμοποιεί ως κύρια μέθοδο διανομής μηνυμάτων spam ηλεκτρονικού ταχυδρομείου. Με μηνύματα που στάλθηκαν σε δύο κύματα, οι φορείς απειλών που πρόσκεινται στη Ρωσία προσπάθησαν να επηρεάσουν και να αποθαρρύνουν τους Ουκρανούς πολίτες με μηνύματα παραπληροφόρησης για θέματα που σχετίζονται με τον πόλεμο. Το πρώτο κύμα στάλθηκε τον Νοέμβριο του 2023 και το δεύτερο στα τέλη Δεκεμβρίου 2023. Τα περιεχόμενα των μηνυμάτων αφορούσαν προβλήματα σχετικά με τη θέρμανση, ελλείψεις φαρμάκων και τροφίμων, τα οποία είναι τυπικά θέματα της ρωσικής προπαγάνδας.

«Από την έναρξη του πολέμου στην Ουκρανία, ομάδες hacker που πρόσκεινται στη Ρωσία, όπως η Sandworm, έχουν ασχοληθεί με την καταστροφή της ουκρανικής υποδομής πληροφορικής, χρησιμοποιώντας wipers. Τους τελευταίους μήνες, έχουμε παρατηρήσει μια έξαρση των επιχειρήσεων κυβερνοκατασκοπείας, ιδίως από τη διαβόητη ομάδα Gamaredon. Η επιχείρηση Texonto δείχνει μια ακόμα χρήση τεχνολογιών για τον επηρεασμό του πολέμου», λέει ο ερευνητής της ESET Matthieu Faou, ο οποίος ανακάλυψε την επιχείρηση Texonto.

«Το περίεργο μείγμα κατασκοπείας, επιχειρήσεων πληροφοριών και ψεύτικων μηνυμάτων δεν μπορεί παρά να μας θυμίσει τη γνωστή ομάδα κυβερνοκατασκοπείας Callisto που πρόσκειται στη Ρωσία, ορισμένα μέλη της ομάδας αποτέλεσαν αντικείμενο κατηγορητηρίου από το Υπουργείο Δικαιοσύνης των ΗΠΑ τον Δεκέμβριο του 2023. Η Callisto επικεντρώνει τις επιθέσεις της σε κυβερνητικούς αξιωματούχους, προσωπικό σε think tanks και οργανισμούς που σχετίζονται με τις ένοπλες δυνάμεις μέσω ιστοσελίδων spearphishing που έχουν σχεδιαστεί για να μιμούνται γνωστούς παρόχους cloud.

Η ομάδα έχει επίσης πραγματοποιήσει επιχειρήσεις παραπληροφόρησης, όπως τη διαρροή εγγράφων λίγο πριν από τις βουλευτικές εκλογές του 2019 στο Ηνωμένο Βασίλειο. Τέλος, η αξιοποίηση των παλαιών υποδομών του δικτύου της οδηγεί σε ψεύτικες ιστοσελίδες φαρμακευτικών εταιρειών», συνεχίζει ο Faou. Ωστόσο, καταλήγει: «Ενώ υπάρχουν αρκετές ομοιότητες μεταξύ της επιχείρησης Texonto και των επιχειρήσεων της Callisto, δεν έχουμε βρει καμία τεχνική επικάλυψη και προς το παρόν, δεν αποδίδουμε την επιχείρηση Texonto σε συγκεκριμένο φορέα απειλής. Όμως, δεδομένων των TTPs, της στόχευσης και της διάδοσης των μηνυμάτων, αποδίδουμε την επιχείρηση με μεγάλη βεβαιότητα σε ομάδα που πρόσκειται στη Ρωσία».

Αυτή η κατηγορία παράνομων επιχειρήσεων είναι πολύ δημοφιλής στη ρωσική κοινότητα του κυβερνοεγκλήματος εδώ και πολύ καιρό. Αποκαλύφθηκαν, επίσης, domain names που αποτελούν μέρος της επιχείρησης Texonto και ασχολούνται με εσωτερικά θέματα της Ρωσίας, όπως ο Alexei Navalny, ο γνωστός ηγέτης της ρωσικής αντιπολίτευσης που βρισκόταν στη φυλακή και πέθανε στις 16 Φεβρουαρίου. Αυτό σημαίνει ότι η επιχείρηση Texonto περιλαμβάνει πιθανότατα spearphishing ή επιχειρήσεις παραπληροφόρησης με στόχο Ρώσους αντιφρονούντες και υποστηρικτές του εκλιπόντος ηγέτη της αντιπολίτευσης.

Ο στόχος του πρώτου κύματος μηνυμάτων ηλεκτρονικού ταχυδρομείου παραπληροφόρησης ήταν να σπείρει την αμφιβολία στο μυαλό των Ουκρανών. Για παράδειγμα, ένα μήνυμα ηλεκτρονικού ταχυδρομείου αναφέρει: «Μπορεί να υπάρξουν διακοπές στη θέρμανση αυτό το χειμώνα». Άλλα μηνύματα, που υποτίθεται ότι προέρχονται από το Υπουργείο Υγείας της Ουκρανίας, αναφέρουν ελλείψεις φαρμάκων. Δεν φαίνεται να υπήρχαν κακόβουλοι σύνδεσμοι ή κακόβουλο λογισμικό σε αυτό το συγκεκριμένο κύμα, παρά μόνο παραπληροφόρηση.

Ένα domain που παριστάνει το Υπουργείο Αγροτικής Πολιτικής και Τροφίμων της Ουκρανίας συνέστησε την αντικατάσταση των φαρμάκων με βότανα. Σε ένα ακόμη μήνυμα ηλεκτρονικού ταχυδρομείου «από» το Υπουργείο, προτείνουν την κατανάλωση «περιστεριού με ρύζι». Τα έγγραφα αυτά δημιουργήθηκαν σκόπιμα για να εκνευρίσουν και να αποκαρδιώσουν τους αναγνώστες.

Τεύχος 464