Ukrajna orosz félreinformációs és adatgyűjtési támadás célpontja

Biztonsági kutatók új, Ukrajnát célzó „befolyásolási műveletet” fedeztek fel, amely spam e-maileket használ fel a háborúval kapcsolatos dezinformáció terjesztésére. A Texonto-hadművelet néven ismert tevékenységet Oroszországhoz kötődő fenyegetés szereplőivel hozták kapcsolatba.

2023 októberében egy ukrán védelmi vállalatot és egy európai uniós ügynökséget célzó lándzsás adathalász kampány célja a Microsoft bejelentkezési adatainak begyűjtése volt hamis nyitóoldalak segítségével, a COLDRIVER fenyegetés szereplőjéhez hasonló módon.

A Texonto hadművelet két hullámban bontakozott ki 2023 novemberében és decemberében, e-mail üzenetek felhasználásával, PDF-mellékletekkel, amelyek a fűtési szünetekről, a gyógyszerhiányról és az élelmiszerhiányról szóltak. A novemberi hullám Ukrajnában több száz címzettet érintett, köztük kormányzati szerveket, energiavállalatokat és magánszemélyeket.

Félretájékoztatás és sötét javaslatok az orosz hackerektől

Az e-maileket az Ukrajna Agrárpolitikai és Élelmiszerügyi Minisztériumának kiadó domainről küldték, és a kábítószerhiányról szóló tartalommal az ukrán egészségügyi minisztérium logóját használták, jelezve a támadók esetleges mulasztását.

A 2023. december 25-től induló második hullám Ukrajnán kívülre is kiterjesztette célját, és más európai nemzetek ukránul beszélőit is bevonta. Miközben boldog ünnepeket kívántak a címzetteknek, ezek az üzenetek sötétebb fordulatot vettek, és azt sugallták, hogy a címzettek amputálják a karjukat vagy a lábukat, hogy elkerüljék a katonai bevetést, egy nyugtalanító kijelentéssel, amely „boldog életre” buzdított egy rövid fájdalmas pillanat után.

Érdekes módon ugyanezt az e-mail szervert később egy gyógyszertári csalás terjesztésére használták fel. A gyanú szerint a fenyegetés szereplői úgy döntöttek, hogy pénzügyi haszonszerzés céljából pénzzé teszik infrastruktúrájukat, miután rájöttek, hogy domainjüket a védők észlelték.