Οι παράγοντες απειλών που συνδέονται με τη Ρωσία χρησιμοποίησαν τόσο τα PysOps όσο και δόρυ-phishing να στοχεύσει χρήστες για αρκετούς μήνες στο τέλος του 2023 σε μια καμπάνια πολλαπλών κυμάτων με στόχο τη διάδοση παραπληροφόρησης στην Ουκρανία και την κλοπή των διαπιστευτηρίων του Microsoft 365 σε όλη την Ευρώπη.
Η επιχείρηση - που ονομάστηκε Operation Texonto - ήρθε σε δύο διακριτά κύματα, το πρώτο τον Οκτώβριο-Νοέμβριο του 2023 και το δεύτερο τον Νοέμβριο-Δεκέμβριο του 2023, ανακάλυψαν ερευνητές από την ESET. Η καμπάνια χρησιμοποίησε ένα ευρύ φάσμα τακτικών pysop και ανεπιθύμητων μηνυμάτων ως κύρια μέθοδο διανομής, αποκάλυψαν σε ένα blog post δημοσιεύθηκε στις 22 Φεβρουαρίου.
Χρονολογικά, η πρώτη εκστρατεία ήταν μια επίθεση spear-phishing που είχε στόχο μια ουκρανική αμυντική εταιρεία τον Οκτώβριο του 2023 και έναν οργανισμό της ΕΕ τον Νοέμβριο του 2023. Η δεύτερη ήταν μια εκστρατεία παραπληροφόρησης που επικεντρώθηκε κυρίως σε ουκρανικούς στόχους χρησιμοποιώντας θέματα σχετικά με διακοπές θέρμανσης, ελλείψεις φαρμάκων και ελλείψεις τροφίμων - «τυπικά θέματα της ρωσικής προπαγάνδας εκστρατείας», είπαν οι ερευνητές.
Αν και είχαν διαφορετικούς στόχους, και οι δύο χρησιμοποιούσαν παρόμοια υποδομή δικτύου, με τον τρόπο που η ESET συνέδεσε τα δύο. Στη συνέχεια, σε μια μικρή ανατροπή, μια διεύθυνση URL που σχετίζεται με το Operation Texonto επρόκειτο να στείλει τυπικά καναδικά ανεπιθύμητα φαρμακεία σε μια ξεχωριστή καμπάνια που έλαβε χώρα τον Ιανουάριο.
Υβριδικός πόλεμος Ρωσίας-Ουκρανίας
Εκστρατείες απειλών έχουν χρησιμοποιηθεί από παράγοντες απειλών που είναι ευθυγραμμισμένοι με τη Ρωσία, όπως π.χ Sandworm και Gamaredon in ένας κυβερνοπόλεμος με την Ουκρανία αυτό είναι τρέχουν ταυτόχρονα με τη διετή επίγεια επιχείρηση, σύμφωνα με την ESET. Sandworm κυρίως χρησιμοποιημένοι υαλοκαθαριστήρες προς την διαταράσσει την ουκρανική υποδομή πληροφορικής στις αρχές του πολέμου, ενώ ο Gamaredon πρόσφατα ενέτεινε τις επιχειρήσεις κατασκοπείας στον κυβερνοχώρο.
«Η επιχείρηση Texonto δείχνει ακόμη μια χρήση τεχνολογιών για να προσπαθήσει να επηρεάσει τον πόλεμο», έγραψαν οι ερευνητές στην ανάρτηση, αν και δεν απέδωσαν την επιχείρηση σε συγκεκριμένο παράγοντα. «Βρήκαμε μερικές τυπικές ψεύτικες σελίδες σύνδεσης της Microsoft, αλλά το πιο σημαντικό, υπήρχαν δύο κύματα pysops μέσω email πιθανώς να προσπαθήσουν να επηρεάσουν τους Ουκρανούς πολίτες και να τους κάνουν να πιστέψουν ότι η Ρωσία θα κερδίσει».
Το Operation Texonto καταδεικνύει επίσης άλλες αξιοσημείωτες αποκλίσεις από την τυπική κακόβουλη δραστηριότητα, σημειώνει ο Matthieu Faou, ο ερευνητής της ESET που ηγήθηκε της έρευνας, σε ένα email στο Dark Reading.
«Αυτό που είναι ενδιαφέρον στην υπόθεση Operation Texonto είναι ότι ο ίδιος παράγοντας απειλής εμπλέκεται τόσο σε παραπληροφόρηση όσο και σε εκστρατείες spear-phishing, ενώ οι περισσότεροι από τους φορείς απειλών κάνουν το ένα ή το άλλο», παρατηρεί. «Ως εκ τούτου, είναι σαφές ότι πρόκειται για προγραμματισμένο pysop και όχι απλώς για κάποιον που δημοσιεύει παραπληροφόρηση στο Διαδίκτυο».
Η καμπάνια δείχνει επίσης μια απομάκρυνση από τη χρήση κοινών καναλιών όπως το Telegram ή ψεύτικες ιστοσελίδες για τη μετάδοση των κακόβουλων μηνυμάτων, σημείωσαν οι ερευνητές.
Δύο διακριτά κύματα
Το πρώτο σημάδι της επιχείρησης ήρθε τον Οκτώβριο όταν οι υπάλληλοι που εργάζονταν σε μια μεγάλη ουκρανική αμυντική εταιρεία έλαβαν α email ηλεκτρονικού "ψαρέματος" υποτίθεται από το τμήμα Πληροφορικής. Το μήνυμα προειδοποιούσε ότι το γραμματοκιβώτιό τους ενδέχεται να αφαιρεθεί και ότι για να συνδεθούν, πρέπει να κάνουν κλικ σε έναν σύνδεσμο προς μια έκδοση Web του γραμματοκιβωτίου και να συνδεθούν χρησιμοποιώντας τα διαπιστευτήριά τους.
Αντίθετα, ο σύνδεσμος οδηγεί σε μια σελίδα phishing, την οποία οι ερευνητές της ESET υπέθεσαν από έναν άλλο τομέα που ανήκε στη λειτουργία που υποβλήθηκε στο VirusTotal ότι ήταν μια ψεύτικη σελίδα σύνδεσης της Microsoft για την κλοπή των διαπιστευτηρίων του Microsoft 365, αν και δεν μπόρεσαν να ανακτήσουν την ίδια τη σελίδα phishing.
Το επόμενο κύμα της εκστρατείας ήταν η πρώτη επιχείρηση pysops, η οποία έστειλε παραπληροφόρηση μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένο PDF σε τουλάχιστον μερικές εκατοντάδες άτομα που εργάζονται για την ουκρανική κυβέρνηση και τις εταιρείες ενέργειας, καθώς και μεμονωμένους πολίτες.
Ωστόσο, σε αντίθεση με την καμπάνια ηλεκτρονικού ψαρέματος που περιγράφηκε προηγουμένως, ο στόχος αυτών των μηνυμάτων ηλεκτρονικού ταχυδρομείου φάνηκε να είναι καθαρά παραπληροφόρηση για να σπείρουν αμφιβολίες στο μυαλό των Ουκρανών, αντί να διαδώσουν κακόβουλους συνδέσμους.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου στην εκστρατεία ενημέρωσαν τους παραλήπτες για πιθανές ελλείψεις φαγητού, θέρμανσης και φαρμάκων, με έναν να φθάνει στο σημείο να προτείνει να τρώνε «ριζότο περιστεριών» και μάλιστα παρείχε φωτογραφίες ενός ζωντανού περιστεριού και ενός μαγειρεμένου περιστεριού που «δείχνει ότι αυτά τα έγγραφα δημιουργήθηκαν σκόπιμα για να ενοχλήσουν τους αναγνώστες», σημείωσαν οι ερευνητές.
«Συνολικά, τα μηνύματα ευθυγραμμίζονται με κοινά θέματα ρωσικής προπαγάνδας», έγραψαν. «Προσπαθούν να κάνουν τον Ουκρανό να πιστέψει ότι δεν θα έχει ναρκωτικά, φαγητό και θέρμανση λόγω του πολέμου Ρωσίας-Ουκρανίας».
Η δεύτερη φάση του κύμα pysops εμφανίστηκε τον Δεκέμβριο και επεκτάθηκε σε άλλες ευρωπαϊκές χώρες, με μια τυχαία σειρά από μερικές εκατοντάδες στόχους που κυμαίνονται από την ουκρανική κυβέρνηση έως έναν Ιταλό κατασκευαστή υποδημάτων, αλλά εξακολουθεί να είναι γραμμένος στα ουκρανικά. Οι ερευνητές ανακάλυψαν δύο διαφορετικά πρότυπα email στην εκστρατεία που έστελναν σαρκαστικούς εορταστικούς χαιρετισμούς στους Ουκρανούς σε μια άλλη προσπάθεια να τους απαξιώσουν και να τους αποθαρρύνουν.
Κακόβουλοι τομείς και αμυντικές τακτικές
Οι ερευνητές παρακολούθησαν κυρίως τομείς για να συμβαδίσουν με τους κυβερνοεγκληματίες που εμπλέκονται στην επιχείρηση Texonto, κάτι που τους οδήγησε σε μερικά ενδιαφέροντα μονοπάτια. Το ένα αφορούσε μια φαινομενικά άσχετη αλλά τυπική καναδική καμπάνια ανεπιθύμητης αλληλογραφίας φαρμακείων που χρησιμοποιούσε έναν διακομιστή email που λειτουργούσαν οι εισβολείς, μια «κατηγορία παράνομων επιχειρήσεων [που] ήταν πολύ δημοφιλής στη ρωσική κοινότητα εγκλήματος στον κυβερνοχώρο», είπαν.
Άλλα ονόματα τομέα που σχετίζονται με την εκστρατεία αντικατοπτρίζουν πιο πρόσφατα τρέχοντα γεγονότα, όπως ο θάνατος του Αλεξέι Ναβάλνι, του γνωστού ηγέτη της Ρωσικής αντιπολίτευσης που πέθανε στις 16 Φεβρουαρίου στη φυλακή. Η ύπαρξη αυτών των τομέων — συμπεριλαμβανομένων των navalny-votes[.]net, navalny-votesmart[.]net και navalny-voting[.]net — «σημαίνει ότι η Επιχείρηση Texonto πιθανώς περιλαμβάνει spear-phishing ή επιχειρήσεις πληροφοριών που στοχεύουν Ρώσους αντιφρονούντες». έγραψαν οι ερευνητές.
Η ESET συμπεριέλαβε μια σειρά δεικτών συμβιβασμού (IOC), συμπεριλαμβανομένων τομέων, διευθύνσεων ηλεκτρονικού ταχυδρομείου και τεχνικών MITER ATT&CK στην έκθεσή της. Οι ερευνητές συνιστούν επίσης ότι οι οργανισμοί επιτρέπουν την ισχυρή έλεγχος ταυτότητας δύο παραγόντων — όπως μια εφαρμογή ελέγχου ταυτότητας τηλεφώνου ή ένα φυσικό κλειδί — για άμυνα έναντι επιθέσεων spear-phishing που στοχεύουν το Office 365, λέει ο Faou.
Όσον αφορά την άμυνα ενάντια στις προσπάθειες κακόβουλων παραγόντων να διαδώσουν παραπληροφόρηση στο διαδίκτυο, «η καλύτερη προστασία είναι να χρησιμοποιούμε την κριτική μας νοοτροπία και να μην εμπιστευόμαστε οποιαδήποτε πληροφορία στο Διαδίκτυο», προσθέτει.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- :έχει
- :είναι
- :δεν
- $UP
- 16
- 2023
- 22
- 7
- a
- Ικανός
- Σύμφωνα με
- απέναντι
- δραστηριότητα
- φορείς
- διευθύνσεις
- Προσθέτει
- κατά
- πρακτορείο
- Απευθύνεται
- στόχοι
- ευθυγράμμιση
- Επίσης
- an
- και
- Άλλος
- κάθε
- app
- Εμφανίστηκε
- ΕΙΝΑΙ
- Παράταξη
- AS
- συσχετισμένη
- At
- επίθεση
- Επιθέσεις
- Προσπάθειες
- μακριά
- BE
- επειδή
- ήταν
- Πιστεύω
- ανήκουν
- ΚΑΛΎΤΕΡΟΣ
- Κομμάτι
- Μπλοκ
- και οι δύο
- επιχείρηση
- αλλά
- by
- ήρθε
- Εκστρατεία
- Καμπάνιες
- καναδικός
- περίπτωση
- κατηγορία
- κανάλια
- Οι πολίτες
- καθαρός
- κλικ
- Κοινός
- κοινότητα
- Εταιρείες
- εταίρα
- συμβιβασμός
- μαγειρεμένα
- χώρες
- δημιουργήθηκε
- Διαπιστεύσεις
- κρίσιμης
- Ρεύμα
- στον κυβερνοχώρο
- εγκλήματος στον κυβερνοχώρο
- εγκληματίες του κυβερνοχώρου
- σκοτάδι
- Σκοτεινή ανάγνωση
- Θάνατος
- Δεκέμβριος
- Υπερασπίζοντας
- Άμυνα
- καταδεικνύει
- Τμήμα
- περιγράφεται
- DID
- έχασαν τη ζωή τους
- διαφορετικές
- ανακάλυψαν
- παραπληροφόρηση
- δυσφημώ
- διακριτή
- διανομή
- διάφορα
- do
- έγγραφα
- τομέα
- ΟΝΟΜΑΤΑ ΤΟΜΕΩΝ
- domains
- αμφιβάλλω
- κάτω
- φάρμακο
- Ναρκωτικά
- μεταγλωττισμένο
- Νωρίς
- τρώνε
- προσπάθεια
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- μισθωτών
- υπαλλήλους
- ενεργοποιήσετε
- τέλος
- ενέργεια
- ασχολούνται
- κατασκοπεία
- EU
- Ευρώπη
- ευρωπαϊκός
- ΕΥΡΩΠΑΙΚΕΣ ΧΩΡΕΣ
- Even
- εκδηλώσεις
- ύπαρξη
- επεκτάθηκε
- απομίμηση
- μακριά
- Φεβρουάριος
- λίγοι
- Όνομα
- επικεντρώθηκε
- τροφή
- Για
- Βρέθηκαν
- από
- γκολ
- μετάβαση
- Κυβέρνηση
- Χαιρετισμοί
- Έδαφος
- είχε
- Έχω
- he
- Αργία
- Πως
- Ωστόσο
- HTTPS
- εκατό
- Υβριδικό
- παράνομος
- το σημαντικότερο
- in
- περιλαμβάνονται
- περιλαμβάνει
- Συμπεριλαμβανομένου
- δείκτες
- ατομικές
- επιρροή
- πληροφορίες
- ενημερώνεται
- Υποδομή
- αντί
- ενδιαφέρον
- Internet
- έρευνα
- συμμετέχουν
- IT
- ιταλικός
- ΤΟΥ
- εαυτό
- Ιανουάριος
- μόλις
- Διατήρηση
- Κλειδί
- ξεκινήσει
- οδηγήσει
- ηγέτης
- Οδηγεί
- ελάχιστα
- Led
- LINK
- συνδέονται
- ΣΥΝΔΕΣΜΟΙ
- ζουν
- κούτσουρο
- Σύνδεση
- Κυρίως
- κυρίως
- μεγάλες
- κάνω
- κακόβουλο
- Κατασκευαστής
- Ενδέχεται..
- μέσα
- μήνυμα
- μηνύματα
- μέθοδος
- Microsoft
- νου
- Μύθος
- Κακή πληροφορία
- μήνες
- περισσότερο
- πλέον
- μετακινήσετε
- πρέπει
- ονόματα
- δίκτυο
- επόμενη
- αξιοσημείωτο
- ιδιαίτερα
- Σημειώνεται
- Notes
- Νοέμβριος
- Παρατηρεί
- συνέβη
- Οκτώβριος
- of
- Office
- on
- ONE
- διαδικτυακά (online)
- λειτουργεί
- λειτουργία
- λειτουργίες
- αντιπολίτευση
- or
- τάξη
- οργανώσεις
- ΑΛΛΑ
- δικός μας
- επί
- φόρμες
- σελίδα
- σελίδες
- μονοπάτια
- People
- φάση
- Phishing
- phishing καμπάνια
- τηλέφωνο
- Φωτογραφίες
- φυσικός
- προγραμματίζονται
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- οικόπεδο
- Δημοφιλής
- Θέση
- δυναμικού
- προηγουμένως
- φυλακή
- πιθανώς
- προπαγάνδα
- προστασία
- χορήγηση
- καθαρώς
- τυχαίος
- σειρά
- κυμαίνεται
- μάλλον
- αναγνώστες
- Ανάγνωση
- έλαβε
- πρόσφατος
- πρόσφατα
- παραλήπτες
- συνιστώ
- αντανακλάται
- σχετίζεται με
- Καταργήθηκε
- αναφέρουν
- ερευνητής
- ερευνητές
- Αποκαλυφθε'ντα
- Russia
- Πόλεμος Ρωσίας-Ουκρανίας
- ρωσικός
- s
- Είπε
- ίδιο
- λέει
- Δεύτερος
- φαινομενικώς
- στείλετε
- αποστέλλονται
- ξεχωριστό
- διακομιστής
- διάφοροι
- ελλείψεις
- Δείχνει
- υπογράψουν
- παρόμοιες
- So
- μέχρι τώρα
- μερικοί
- Κάποιος
- SOW
- το spam
- συγκεκριμένες
- ΧΟΡΗΓΟΥΜΕΝΟΙ
- διάδοση
- Διάδοση
- Ακόμη
- ισχυρός
- υποβάλλονται
- τέτοιος
- προτείνω
- τακτική
- στόχος
- στοχευμένες
- στόχευση
- στόχους
- τεχνικές
- Τεχνολογίες
- Telegram
- πρότυπα
- από
- ότι
- Η
- τους
- Τους
- θέματα
- τότε
- Εκεί.
- Αυτοί
- αυτοί
- εκείνοι
- αν και?
- απειλή
- απειλή
- προς την
- Θέματα
- Εμπιστευθείτε
- προσπαθώ
- προσπαθώντας
- συστροφή
- δύο
- τυπικός
- Ukraine
- Ουκρανικά
- Ουκρανοί
- URL
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- εκδοχή
- πολύ
- μέσω
- πόλεμος
- προειδοποίησε
- ήταν
- WAVE
- κύματα
- we
- ιστός
- ιστοσελίδες
- ΛΟΙΠΌΝ
- πολύ γνωστό
- ήταν
- δεν ήταν
- Τι
- Τι είναι
- πότε
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- θα
- νίκη
- με
- εντός
- Κέρδισε
- εργαζόμενος
- γραπτή
- Έγραψε
- ακόμη
- zephyrnet