- Een Russische dreigingsactor heeft oorlogsgerelateerde desinformatie verspreid onder Oekraïense lezers via spam e-mails.
- De spearphishingcampagne was gericht op een Oekraïens defensiebedrijf en een EU-agentschap.
- Vanwege de overeenkomsten in de netwerkinfrastructuur die werd gebruikt in deze PSYOP's en phishing-operaties, kan ESET met grote zekerheid zeggen dat ze aan elkaar gelinkt zijn.
- Operatie Texonto lijkt losjes op de activiteiten van de Russische Callisto APT-groep; ESET Research heeft echter niet genoeg bewijs om de operaties toe te schrijven aan een specifieke groep.
- In de eerste golf desinformatiemails in november 2023 probeerden de aan Rusland gelieerde dreigingsactoren de Oekraïense burgers te beïnvloeden en te demoraliseren met desinformatieberichten over oorlogsgerelateerde onderwerpen. De tweede golf in december 2023 was nog donkerder van toon.
Sliedrecht, 21 februari 2024 – ESET-onderzoekers hebben onlangs Operation Texonto ontdekt, een desinformatie/psychologische operatie (PSYOP’s) campagne waarbij spam e-mails als belangrijkste distributiemethode werden gebruikt. Via berichten in twee PSYOP-golven probeerden de Russische dreigingsactoren Oekraïense burgers te beïnvloeden en hen te laten geloven dat Rusland de oorlog aan het winnen is. De eerste golf vond plaats in november 2023 en de tweede eind december 2023. De inhoud van de e-mails ging over verwarmingsonderbrekingen, medicijntekorten en voedseltekorten, wat typische thema's zijn van Russische propaganda.
Daarnaast detecteerde ESET in oktober 2023 een spearphishingcampagne gericht op een Oekraïens defensiebedrijf en in november 2023 een campagne gericht op een EU-agentschap waarbij gebruik werd gemaakt van nep-inlogpagina's van Microsoft. Het doel van beide campagnes was het stelen van inloggegevens voor Microsoft Office 365-accounts. Door de overeenkomsten in de netwerkinfrastructuur die werd gebruikt in zowel de PSYOPs als de phishingoperaties, kan ESET met grote zekerheid zeggen dat ze aan elkaar gelinkt zijn.
"Sinds het begin van de oorlog in Oekraïne zijn groepen die aan Rusland gelieerd zijn, zoals Sandworm, druk bezig geweest met het verstoren van de Oekraïense IT-infrastructuur met behulp van wipers. In de afgelopen maanden hebben we een toename waargenomen in cyberspionage operaties, vooral door de beruchte Gamaredon groep. Operatie Texonto toont nog een ander gebruik van technologieën om te proberen de oorlog te beïnvloeden," zegt ESET-onderzoeker Matthieu Faou, die Operatie Texonto ontdekte.
"Het vreemde brouwsel van spionage, informatieoperaties en valse farmaceutische berichten kan ons alleen maar doen denken aan Callisto, een bekende, aan Rusland gelieerde cyberspionagegroep, waarvan sommige leden in december 2023 het onderwerp waren van een aanklacht door het Amerikaanse ministerie van Justitie. Callisto richt zich op overheidsfunctionarissen, medewerkers van denktanks en militaire organisaties via spearphishingwebsites die zijn ontworpen om veelgebruikte cloudproviders na te bootsen. De groep heeft ook desinformatieoperaties uitgevoerd, zoals het lekken van documenten vlak voor de algemene verkiezingen van 2019 in het Verenigd Koninkrijk. Tot slot leidt het gebruik van de oude netwerkinfrastructuur tot nepfarmaceutische domeinen," vervolgt Faou. Hij concludeert echter: "Hoewel er verschillende punten van overeenkomst op hoog niveau zijn tussen Operatie Texonto en Callisto-operaties, hebben we geen technische overlap gevonden en schrijven we Operatie Texonto momenteel niet toe aan een specifieke dreigingsactor. Echter, gezien de tactiek, techniek, procedures (TTP's), het doelwit en de verspreiding van berichten, schrijven we de operatie met grote zekerheid toe aan een groep die Rusland als partner heeft."
Een e-mailserver, beheerd door de aanvallers en gebruikt om de PSYOPs e-mails te versturen, werd twee weken later opnieuw gebruikt om typische Canadese apotheekspam te versturen. Deze categorie illegale zaken is al lange tijd erg populair binnen de Russische cybercriminaliteit. Een paar andere pivots onthulden ook domeinnamen die deel uitmaken van Operatie Texonto en gerelateerd zijn aan interne Russische onderwerpen, zoals Alexei Navalny, de bekende Russische oppositieleider die in de gevangenis zat en overleed op 16-02-2024. Dit betekent dat Operatie Texonto waarschijnlijk spearphishing of informatieoperaties omvat die gericht zijn op Russische dissidenten en aanhangers van de overleden oppositieleider.
Het doel van de eerste golf desinformatie e-mails was om twijfel te zaaien in de hoofden van de Oekraïners; een e-mail zegt bijvoorbeeld "Er kunnen deze winter onderbrekingen zijn in de verwarming. Andere e-mails zijn zogenaamd afkomstig van het Ministerie van Volksgezondheid en gaan over medicijntekorten. Het lijkt er niet op dat er kwaadaardige links of malware in deze specifieke golf zaten, alleen desinformatie. Een domein dat zich voordeed als het Ministerie van Landbouwbeleid en Voedsel van Oekraïne raadde aan om medicijnen die niet beschikbaar waren te vervangen door kruiden. In weer een andere e-mail "van" het ministerie raden ze aan om "duivenrisotto" te eten met een foto van een levende duif en een gekookte duif. Deze documenten zijn met opzet gemaakt om de lezers op te hitsen en te demoraliseren. Over het geheel genomen sluiten deze nepberichten aan bij veelvoorkomende Russische propaganda. Ze proberen de Oekraïense bevolking te laten geloven dat ze geen medicijnen, voedsel en verwarming meer zullen hebben vanwege de oorlog tussen Rusland en Oekraïne.
Ongeveer een maand na de eerste golf detecteerde ESET een tweede PSYOPs e-mailcampagne die niet alleen gericht was op Oekraïners, maar ook op mensen in andere Europese landen. De doelwitten zijn enigszins willekeurig, variërend van de Oekraïense overheid tot een Italiaanse schoenenfabrikant. Volgens telemetrie van ESET ontvingen een paar honderd mensen e-mails in deze golf. De tweede golf was donkerder in zijn berichtgeving, waarbij de aanvallers mensen suggereerden een been of arm te amputeren om militaire inzet te voorkomen. In het algemeen heeft het alle kenmerken van PSYOPs tijdens oorlogstijd.
ESET’s oplossingen en onderzoek beschermen de Oekraïense IT-infrastructuur al vele jaren. En sinds het begin van de Russische invasie in februari 2022 heeft ESET Research een aanzienlijk aantal aanvallen van aan Rusland gelieerde groepen voorkomen en onderzocht.
Bekijk voor meer technische informatie over Operatie Texonto de blogpost "Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war" op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws van ESET Research.
Tijdlijn van Operatie Texonto
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X (voorheen Twitter).