Ukraina målrettet av russisk feilinformasjon og datainnsamlingsangrep

Sikkerhetsforskere har oppdaget en ny "påvirkningsoperasjon" rettet mot Ukraina som bruker spam-e-poster for å spre desinformasjon relatert til krigen. Aktiviteten, kjent som Operasjon Texonto, har vært knyttet til trusselaktører på linje med Russland.

I oktober 2023 hadde en spyd-phishing-kampanje rettet mot et ukrainsk forsvarsselskap og et EU-byrå som mål å samle inn påloggingsinformasjon fra Microsoft ved å bruke falske landingssider, med likheter med COLDRIVER-trusselaktøren.

Operasjon Texonto utspant seg i to bølger i november og desember 2023, ved å bruke e-postmeldinger med PDF-vedlegg som diskuterte oppvarmingsavbrudd, narkotikamangel og matmangel. Novemberbølgen fokuserte på hundrevis av mottakere i Ukraina, inkludert offentlige enheter, energiselskaper og enkeltpersoner.

Feilinformasjon og mørke forslag fra de russiske hackerne

E-postene ble sendt fra et domene som utgir seg for å være Ukrainas departement for jordbrukspolitikk og mat, med innhold om narkotikamangel ved å bruke logoen til Ukrainas helsedepartement, noe som indikerer en potensiell tilsyn av angriperne.

Den andre bølgen, som startet 25. desember 2023, utvidet målet utover Ukraina til å inkludere ukrainsktalende i andre europeiske nasjoner. Mens de ønsket mottakerne en god høytid, tok disse meldingene en mørkere vending, og antydet at mottakerne amputerte en arm eller et ben for å unngå militær utplassering, med en urovekkende uttalelse som oppmuntret til et "lykkelig liv" etter et kort øyeblikk med smerte.

Merkelig nok ble den samme e-postserveren senere brukt til å spre en apoteksvindel. Det er mistanke om at trusselaktører valgte å tjene penger på infrastrukturen sin for økonomisk vinning etter å ha innsett at deres domener hadde blitt oppdaget av forsvarere.