Ukraine im Visier eines russischen Fehlinformations- und Datensammelangriffs

Sicherheitsforscher haben eine neue „Einflussoperation“ gegen die Ukraine entdeckt, die Spam-E-Mails nutzt, um Desinformationen über den Krieg zu verbreiten. Die als Operation Texonto bekannte Aktivität wurde mit mit Russland verbündeten Bedrohungsakteuren in Verbindung gebracht.

Im Oktober 2023 zielte eine Spear-Phishing-Kampagne gegen ein ukrainisches Verteidigungsunternehmen und eine Agentur der Europäischen Union darauf ab, mithilfe gefälschter Landingpages Microsoft-Anmeldedaten abzugreifen, die Ähnlichkeiten mit dem Bedrohungsakteur COLDRIVER aufwiesen.

Die Operation Texonto fand im November und Dezember 2023 in zwei Wellen statt, wobei E-Mail-Nachrichten mit PDF-Anhängen verwendet wurden, in denen es um Heizunterbrechungen, Medikamentenknappheit und Lebensmittelknappheit ging. Die Novemberwelle konzentrierte sich auf Hunderte von Empfängern in der Ukraine, darunter Regierungsbehörden, Energieunternehmen und Einzelpersonen.

Fehlinformationen und dunkle Vorschläge der russischen Hacker

Die E-Mails wurden von einer Domain gesendet, die vorgab, das Ministerium für Agrarpolitik und Ernährung der Ukraine zu sein, und enthielten Inhalte über Arzneimittelknappheit unter Verwendung des Logos des Gesundheitsministeriums der Ukraine, was auf ein mögliches Versehen der Angreifer hindeutet.

Die zweite Welle, die am 25. Dezember 2023 begann, weitete ihr Ziel über die Ukraine hinaus auf Ukrainischsprachige in anderen europäischen Ländern aus. Diese Botschaften wünschten den Empfängern zwar schöne Feiertage, nahmen jedoch eine düsterere Wendung und suggerierten den Empfängern, einen Arm oder ein Bein zu amputieren, um einem Militäreinsatz zu entgehen, und eine beunruhigende Aussage ermutigte zu einem „glücklichen Leben“ nach einem kurzen Moment des Schmerzes.

Kurioserweise wurde derselbe E-Mail-Server später für die Verbreitung eines Apothekenbetrugs umfunktioniert. Es wird vermutet, dass Bedrohungsakteure aus finanziellen Gründen beschlossen haben, ihre Infrastruktur zu monetarisieren, nachdem sie erkannt hatten, dass ihre Domains von Verteidigern entdeckt worden waren.