Ukraina celem rosyjskiej dezinformacji i ataku polegającego na gromadzeniu danych

Badacze zajmujący się bezpieczeństwem odkryli nową „operację wywierania wpływu” wymierzoną w Ukrainę, która wykorzystuje wiadomości e-mail będące spamem do rozpowszechniania dezinformacji związanej z wojną. Działanie to, znane jako operacja Texonto, zostało powiązane z ugrupowaniami zagrażającymi powiązanymi z Rosją.

W październiku 2023 r. przeprowadzono kampanię phishingu typu spear-phishing, której celem była ukraińska firma z branży obronnej i agencja Unii Europejskiej, a której celem było zebranie danych logowania Microsoft przy użyciu fałszywych stron docelowych, przypominających ugrupowanie zagrażające COLDRIVER.

Operacja Texonto przebiegała dwuetapowo w listopadzie i grudniu 2023 r. i obejmowała wiadomości e-mail z załącznikami w formacie PDF omawiające przerwy w dostawie ciepła, niedobory leków i żywności. Listopadowa fala skupiła się na setkach odbiorców na Ukrainie, w tym na jednostkach rządowych, przedsiębiorstwach energetycznych i osobach prywatnych.

Dezinformacja i ciemne sugestie rosyjskich hakerów

E-maile zostały wysłane z domeny podszywającej się pod Ministerstwo Polityki Agrarnej i Żywności Ukrainy i zawierały treść dotyczącą niedoborów leków, opatrzoną logo Ministerstwa Zdrowia Ukrainy, wskazującą na potencjalne przeoczenie ze strony napastników.

Druga fala, która rozpoczęła się 25 grudnia 2023 r., rozszerzyła swój cel poza Ukrainę, włączając osoby mówiące po ukraińsku w innych krajach europejskich. Życząc odbiorcom wesołych świąt, wiadomości te przybrały mroczniejszy charakter, sugerując odbiorcom amputację ręki lub nogi, aby uniknąć służby wojskowej, z niepokojącym stwierdzeniem zachęcającym do „szczęśliwego życia” po krótkiej chwili bólu.

Co ciekawe, ten sam serwer e-mail został później wykorzystany do propagowania oszustwa związanego z aptekami. Podejrzewa się, że ugrupowania zagrażające zdecydowały się zarabiać na swojej infrastrukturze w celu uzyskania korzyści finansowych po tym, jak zdały sobie sprawę, że ich domeny zostały wykryte przez obrońców.