TM_464

10 7|3|2024 #464 Η ESET Research α ποκάλυψε πρόσφατα την επιχείρηση Texonto, μια εκστρατεία παραπληροφόρησης / ψυχολογικών επιχειρήσεων (PSYOPs) που χρησιμοποιεί ως κύρια μέθοδο διανομής μηνυμάτων spam ηλεκτρονικού ταχυδρομείου. Με μηνύματα που στάλθηκαν σε δύο κύματα, οι φορείς απειλών που πρόσκεινται στη Ρωσία προσπάθησαν να επηρεάσουν και να αποθαρρύνουν τους Ουκρανούς πολίτες με μηνύματα πα- ραπληροφόρησης για θέματα που σχετίζονται με τον πόλεμο. Το πρώτο κύμα στάλθηκε τον Νοέμβριο του 2023 και το δεύτερο στα τέλη Δεκεμβρίου 2023. Τα περιεχόμενα των μηνυ- μάτων αφορούσαν προβλήματα σχετικά με τη θέρμανση, ελλείψεις φαρμάκων και τροφί- μων, τα οποία είναι τυπικά θέματα της ρωσικής προπαγάνδας. «Από την έναρξη του πολέμου στην Ουκρανία, ομάδες hacker που πρόσκεινται στη Ρωσία, όπως η Sandworm, έχουν ασχοληθεί με την καταστροφή της ουκρανικής υποδομής πλη- ροφορικής, χρησιμοποιώντας wipers. Τους τελευταίους μήνες, έχουμε παρατηρήσει μια έξαρση των επιχειρήσεων κυβερνοκατασκο- πείας, ιδίως από τη διαβόητη ομάδα Gamaredon. Η επιχείρηση Texonto δείχνει μια ακόμα χρήση τεχνολογιών για τον επηρεα- σμό του πολέμου», λέει ο ερευνητής της ESET Matthieu Faou, ο οποίος ανακάλυψε την επιχείρηση Texonto. «Το περίεργο μείγμα κατασκοπείας, επιχειρήσεων πληροφορι- ών και ψεύτικων μηνυμάτων δεν μπορεί παρά να μας θυμίσει τη γνωστή ομάδα κυβερνοκατασκοπείας Callisto που πρόσκειται στη Ρωσία, ορισμένα μέλη της ομάδας αποτέλεσαν αντικείμενο κατηγορητηρίου από το Υπουργείο Δικαιοσύνης των ΗΠΑ τον Δεκέμβριο του 2023. Η Callisto επικεντρώνει τις επιθέσεις της σε κυβερνητικούς αξιωματούχους, προσωπικό σε think tanks και οργανισμούς που σχετίζονται με τις ένοπλες δυνάμεις μέσω ιστοσελίδων spearphishing που έχουν σχεδιαστεί για να μιμού- νται γνωστούς παρόχους cloud. Η ομάδα έχει επίσης πραγματοποιήσει επιχειρήσεις παραπλη- ροφόρησης, όπως τη διαρροή εγγράφων λίγο πριν από τις βουλευτικές εκλογές του 2019 στο Ηνωμένο Βασίλειο. Τέλος, η αξιοποίηση των παλαιών υποδομών του δικτύου της οδηγεί σε ψεύτικες ιστοσελίδες φαρμακευτικών εταιρειών», συνεχίζει ο Faou. Ωστόσο, καταλήγει: «Ενώ υπάρχουν αρκετές ομοιότη- τες μεταξύ της επιχείρησης Texonto και των επιχειρήσεων της Callisto, δεν έχουμε βρει καμία τεχνική επικάλυψη και προς το παρόν, δεν αποδίδουμε την επιχείρηση Texonto σε συγκεκριμέ- νο φορέα απειλής. Όμως, δεδομένων των TTPs, της στόχευσης και της διάδοσης των μηνυμάτων, αποδίδουμε την επιχείρηση με μεγάλη βεβαιότητα σε ομά- δα που πρόσκειται στη Ρωσία». Αυτή η κατηγορία παράνομων επιχειρήσεων εί- ναι πολύ δημοφιλής στη ρωσική κοινότητα του κυβερνοεγκλήματος εδώ και πολύ καιρό. Απο- καλύφθηκαν, επίσης, domain names που αποτε- λούν μέρος της επιχείρησης Texonto και ασχο- λούνται με εσωτερικά θέματα της Ρωσίας, όπως ο Alexei Navalny, ο γνωστός ηγέτης της ρωσικής αντιπολίτευσης που βρισκόταν στη φυλακή και πέθανε στις 16 Φεβρουαρίου. Αυτό σημαίνει ότι η επιχείρηση Texonto περιλαμβάνει πιθανότατα spearphishing ή επιχειρήσεις παραπληροφόρη- σης με στόχο Ρώσους αντιφρονούντες και υπο- στηρικτές του εκλιπόντος ηγέτη της αντιπολίτευσης. Ο στόχος του πρώτου κύματος μηνυμάτων ηλεκτρονικού τα- χυδρομείου παραπληροφόρησης ήταν να σπείρει την αμφι- βολία στο μυαλό των Ουκρανών. Για παράδειγμα, ένα μήνυμα ηλεκτρονικού ταχυδρομείου αναφέρει: «Μπορεί να υπάρξουν διακοπές στη θέρμανση αυτό το χειμώνα». Άλλα μηνύματα, που υποτίθεται ότι προέρχονται από το Υπουργείο Υγείας της Ουκρανίας, αναφέρουν ελλείψεις φαρμάκων. Δεν φαίνεται να υπήρχαν κακόβουλοι σύνδεσμοι ή κακόβουλο λογισμικό σε αυτό το συγκεκριμένο κύμα, παρά μόνο παραπληροφόρηση. Ένα domain που παριστάνει το Υπουργείο Αγροτικής Πολι- τικής και Τροφίμων της Ουκρανίας συνέστησε την αντικα- τάσταση των φαρμάκων με βότανα. Σε ένα ακόμη μήνυμα ηλεκτρονικού ταχυδρομείου «από» το Υπουργείο, προτείνουν την κατανάλωση «περιστεριού με ρύζι». Τα έγγραφα αυτά δη- μιουργήθηκαν σκόπιμα για να εκνευρίσουν και να αποκαρδι- ώσουν τους αναγνώστες. Η ESET Research αποκαλύπτει την επιχείρηση Texonto