Wojna psychologiczna, szpiegostwo i zastraszanie. Tak cyberprzestępcy powiązani z Rosją dezinformowali i próbowali wykradać dane
Grupa cyberprzestępców powiązanych z Rosją prowadziła operację psychologiczną, której celem było zdemoralizowanie obywateli Ukrainy, także tych, żyjących poza swoim krajem – wynika ze śledztwa WeLiveSecurity, grupy doświadczonych badaczy cyberprzestępczości. Zdaniem autorów opracowania od początku wojny na Ukrainie grupy powiązane z Rosją zwiększyły liczbę operacji cyberszpiegowskich i dezinformacyjnych oraz rozpoczęły wojnę psychologiczną (PSYOP). Ta ostatnia była prowadzona pod kryptonimem „operacja Texonto”.
W ramach działań jako główną metodę rozpowszechniania dezinformacji wykorzystywano spam, przy czym cyberprzestępcy nie korzystali z popularnych mediów społecznościowych czy fałszywych stron internetowych. Koncentrowali się wyłącznie na e-mailach.
Jako pierwsza na trop spearphishingu wpadła specjalizująca się w cyberbezpieczeństwie słowacka firma ESET, której pracownicy tworzą WeLiveSecurity. W październiku 2023 r ESET odkryła tego typu praktykę wymierzoną w dużą, ukraińską firmę z branży zbrojeniowej. Jej pracownicy dostali maile pochodzące rzekomo z działu IT. Celem była kradzież danych uwierzytelniających. Podobny atak przeprowadzono na jedną z unijnych instytucji.
Spearphishing to bardziej wysublimowana forma phishingu. Cyberprzestępcy przed przystąpieniem do właściwego ataku wykonują pracę wywiadowczą, by zdobyć jak najwięcej informacji o grupie osób będących celem oszustwa i tym samym zwiększyć swoją skuteczność.
W listopadzie 2023 roku zaczęła się operacja psychologiczna. Była to pierwsza fala dezinformacyjnych e-maili z załącznikami wysłanych do co najmniej kilkuset odbiorców na Ukrainie – organizacji rządowych, firm energetycznych i osób prywatnych. Treść e-maili dotyczyła przerw w ogrzewaniu, niedoborów leków i żywności, czyli typowych tematów rosyjskiej propagandy. Załączniki były sfałszowane i udawały dokumenty przygotowane przez ukraińskie ministerstwa: zdrowia, rolnictwa czy regionów.
W sumie było kilka szablonów e-maili. W jednym z nich napisano, że „rosyjskie wojsko systematycznie ostrzeliwuje infrastrukturę obiektów energetycznych (…) W niektórych przypadkach możliwe jest nawet wyłączenie ogrzewania”. W kolejnym straszono brakiem leków, przed czym ostrzegało rzekome ministerstwo zdrowia. A fałszywe ministerstwo rolnictwa polecało zbieranie ziół na łąkach, bo „agresja Rosji doprowadziła do znacznych strat w sektorze rolnym Ukrainy (…) wiele maszyn rolniczych zostało uszkodzonych a spichlerze zniszczono”.
Druga fala PSYOP przypadła na grudzień 2023 roku. Tym razem celem byli nie tylko mieszkańcy Ukrainy, ale także Ukraińcy znajdujący się poza swoim krajem.
Zdaniem autorów śledztwa pierwsza fala była dobrze przygotowana, z opracowanymi, fałszywymi dokumentami. Druga była mniej wiarygodna i mroczniejsza w przekazie. Dodatkowo wykorzystano te same domeny nie tylko do dezinformacji, ale także do kanadyjskiego spamu aptecznego, który jest bardzo popularny wśród rosyjskich cyberprzestępców.
Niewykluczone, że grupa prowadząca operację Texonto wiedziała, że ich infrastruktura została zdemaskowana. „W związku z tym mogli zdecydować się na próbę spieniężenia już spalonej infrastruktury albo dla własnego zysku, albo w celu sfinansowania przyszłych operacji szpiegowskich lub PSYOP” – stwierdzają autorzy śledztwa.
Operacja Texonto była podobna do działalności grupy Callisto, oskarżonej przez amerykański Departament Sprawiedliwości pod koniec 2023 r. o cyberszpiegostwo. Ale – jak podkreśla WeLiveSecurity – mimo podobieństw nie udało znaleźć jednoznacznych powiązań i dowodów na cyberszpiegostwo w ramach operacji Texonto.
22.02.2024