Oekraïne doelwit van Russische desinformatie en data-oogstaanval
Beveiligingsonderzoekers hebben een nieuwe 'invloedsoperatie' ontdekt, gericht op Oekraïne, waarbij spam-e-mails worden gebruikt om desinformatie over de oorlog te verspreiden. De activiteit, bekend als Operatie Texonto, is in verband gebracht met dreigingsactoren die banden hebben met Rusland.
In oktober 2023 had een spearphishing-campagne gericht op een Oekraïens defensiebedrijf en een agentschap van de Europese Unie tot doel Microsoft-inloggegevens te verzamelen met behulp van valse landingspagina's, die overeenkomsten vertoonden met de COLDRIVER-dreigingsactor.
Operatie Texonto verliep in november en december 2023 in twee golven, waarbij gebruik werd gemaakt van e-mailberichten met pdf-bijlagen waarin verwarmingsonderbrekingen, medicijntekorten en voedseltekorten werden besproken. De golf van november richtte zich op honderden ontvangers in Oekraïne, waaronder overheidsinstanties, energiebedrijven en individuen.
Verkeerde informatie en duistere suggesties van de Russische hackers
De e-mails werden verzonden vanaf een domein dat zich voordeed als het Ministerie van Landbouwbeleid en Voedselvoorziening van Oekraïne, met inhoud over geneesmiddelentekorten waarin het logo van het Ministerie van Volksgezondheid van Oekraïne werd gebruikt, wat duidt op mogelijk toezicht door de aanvallers.
De tweede golf, die op 25 december 2023 begon, breidde zijn doel uit tot buiten Oekraïne en omvatte Oekraïense sprekers in andere Europese landen. Hoewel deze berichten de ontvangers fijne feestdagen wensten, namen ze een donkerdere wending, waarbij werd gesuggereerd dat ontvangers een arm of been moesten amputeren om militaire inzet te voorkomen, met een verontrustende verklaring die een ‘gelukkig leven’ aanmoedigde na een kort moment van pijn.
Vreemd genoeg werd dezelfde e-mailserver later opnieuw gebruikt om apotheekzwendel te verspreiden. Er wordt vermoed dat bedreigingsactoren ervoor kozen hun infrastructuur te gelde te maken voor financieel gewin nadat ze zich realiseerden dat hun domeinen door verdedigers waren gedetecteerd.
