גורמי איומים הקשורים לרוסיה העסיקו גם PysOps וגם דיוג חנית למקד למשתמשים במשך מספר חודשים בסוף שנת 2023 בקמפיין רב-גלים שמטרתו הפצת מידע מוטעה באוקראינה וגניבת אישורי Microsoft 365 ברחבי אירופה.
המבצע - שכונה מבצע טקסונטו - הגיע בשני גלים ברורים, הראשון באוקטובר-נובמבר 2023 והשני בנובמבר-דצמבר 2023, כך גילו חוקרים מ-ESET. הקמפיין השתמש במגוון מגוון של טקטיקות pysop ודואר זבל כשיטת ההפצה העיקרית שלו, הם חשפו בפוסט בבלוג פורסם ב-22 בפברואר.
מבחינה כרונולוגית, הקמפיין הראשון היה מתקפת דיוג חנית שכוונה לחברת הגנה אוקראינית באוקטובר 2023 וסוכנות האיחוד האירופי בנובמבר 2023. השני היה מסע דיסאינפורמציה שהתמקד בעיקר במטרות אוקראיניות תוך שימוש בנושאים הקשורים להפרעות חימום, מחסור בסמים, מחסור במזון - "נושאים אופייניים לקמפיין הקשור לתעמולה רוסית", אמרו החוקרים.
למרות שהיו להם מטרות שונות, שניהם השתמשו בתשתית רשת דומה, וכך חיברה ESET בין השניים. ואז, בתפנית קצת בעלילה, כתובת אתר הקשורה למבצע טקסונטו הייתה לשלוח דואר זבל טיפוסי לבית מרקחת קנדי במסע פרסום נפרד שהתרחש בינואר.
מלחמה היברידית רוסיה-אוקראינה
קמפיינים לאיומים הופעלו על ידי גורמי איומים בעלי ערך רוסי כגון סנדוורם ו גמרדון in מלחמת סייבר עם אוקראינה זה לרוץ במקביל עם המבצע הקרקעי של שנתיים, על פי ESET. תולעת חול במיוחד מגבים משומשים ל לשבש את תשתית ה-IT האוקראינית בתחילת המלחמה, בעוד גמרדון לאחרונה הגביר את פעולות ריגול הסייבר.
"מבצע טקסונטו מראה שימוש נוסף בטכנולוגיות כדי לנסות להשפיע על המלחמה", כתבו החוקרים בפוסט, למרות שהם לא ייחסו את הפעולה לשחקן ספציפי. "מצאנו כמה דפי התחברות מזויפים טיפוסיים של מיקרוסופט, אבל הכי חשוב, היו שני גלים של pysops באמצעות מיילים כנראה כדי לנסות להשפיע על אזרחים אוקראינים ולגרום להם להאמין שרוסיה תנצח."
מבצע טקסונטו גם מדגים סטיות בולטות אחרות מפעילות זדונית טיפוסית, מציין מתיאו פאו, חוקר ESET שמוביל את החקירה, בדוא"ל ל-Dark Reading.
"מה שמעניין בתיק מבצע טקסונטו הוא שאותו שחקן איום עוסק גם בדיסאינפורמציה וגם בקמפיינים של דיוג חנית, בעוד שרוב שחקני האיומים עושים זה או אחר", הוא מציין. "ככזה, ברור שזהו פיסופ מתוכנן ולא רק מישהו שמפרסם מידע מוטעה באינטרנט."
הקמפיין מראה גם התרחקות משימוש בערוצים נפוצים כמו טלגרם או אתרים מזויפים כדי להעביר את המסרים הזדוניים, ציינו החוקרים.
שני גלים ברורים
הסימן הראשון למבצע הגיע באוקטובר כאשר עובדים שעבדו בחברת הגנה אוקראינית גדולה קיבלו א דוא"ל התחזות לכאורה ממחלקת ה-IT. ההודעה הזהירה כי ייתכן שתיבת הדואר שלהם תוסר וכי כדי להיכנס, עליהם ללחוץ על קישור לגרסת אינטרנט של תיבת הדואר ולהיכנס באמצעות האישורים שלהם.
הקישור מוביל במקום זאת לדף דיוג, אשר חוקרי ESET שיערו מתחום אחר השייך לפעולה שהוגשה ל-VirusTotal כי מדובר בדף התחברות מזויף של Microsoft לגניבת אישורי Microsoft 365, למרות שהם לא הצליחו לאחזר את דף ההתחזות עצמו.
הגל הבא של הקמפיין היה מבצע הפיסופים הראשון, ששלח מֵידָע מַטעֶה מיילים עם קובץ PDF מצורף לפחות לכמה מאות אנשים העובדים עבור ממשלת אוקראינה וחברות אנרגיה, כמו גם אזרחים בודדים.
לעומת זאת, בניגוד למסע הדיוג שתואר קודם לכן, המטרה של הודעות דוא"ל אלה הייתה גרידא דיסאינפורמציה כדי לזרוע ספק במוחותיהם של האוקראינים, במקום להפיץ קישורים זדוניים.
הודעות דוא"ל בקמפיין הודיעו לנמענים על מחסור פוטנציאלי במזון, חימום וסמים, כאשר אחד מרחיק לכת ומציע שהם אוכלים "ריזוטו יונים" ואפילו סיפק תמונות של יונה חיה ויונה מבושלת ש"מראה שהמסמכים האלה נוצרו בכוונה כדי להרגיז את הקוראים", ציינו החוקרים.
"בסך הכל, המסרים מתיישבים עם נושאי התעמולה הרוסית הנפוצים", הם כתבו. "הם מנסים לגרום לאנשים אוקראינים להאמין שלא יהיו להם סמים, אוכל וחימום בגלל מלחמת רוסיה-אוקראינה".
השלב השני של גל pysops התרחש בדצמבר והתרחב למדינות אחרות באירופה, עם מערך אקראי של כמה מאות מטרות החל מממשלת אוקראינה ועד ליצרן נעליים איטלקי, אך עדיין כתוב באוקראינית. החוקרים גילו שתי תבניות דוא"ל שונות בקמפיין ששלחו ברכות חג עוקצניות לאוקראינים במאמץ נוסף לזלזל ולהרתיע אותם.
תחומים זדוניים וטקטיקות הגנה
החוקרים עקבו בעיקר אחר תחומים כדי לעמוד בקצב של פושעי הסייבר המעורבים במבצע טקסונטו, מה שהוביל אותם לכמה נתיבים מעניינים. אחת מהן הייתה למסע פרסום ספאם של בתי מרקחת קנדי טיפוסי שלכאורה לא קשור, שהשתמש בשרת דוא"ל שהופעל על ידי התוקפים, "קטגוריה של עסקים לא חוקיים [שהיתה] פופולרית מאוד בקהילת פשעי הסייבר הרוסית", אמרו.
שמות דומיינים אחרים הקשורים לקמפיין שיקפו אירועים עדכניים יותר כמו מותו של אלכסיי נבלני, מנהיג האופוזיציה הרוסי הידוע שמת ב-16 בפברואר בכלא. קיומם של אותם תחומים - כולל navalny-votes[.]net, navalny-votesmart[.]net, ו-navalny-votes[.]net - "פירושו שמבצע טקסונטו כולל כנראה דיוג חנית או פעולות מידע המכוונות למתנגדי משטר רוסים." כתבו החוקרים.
ESET כללה מגוון אינדיקטורים של פשרה (IOCs), כולל דומיינים, כתובות דוא"ל וטכניקות MITER ATT&CK בדוח שלהם. החוקרים ממליצים גם לארגונים לאפשר חזק אימות שני גורמים - כמו אפליקציית אימות טלפון או מפתח פיזי - כדי להתגונן מפני התקפות דיוג חנית שמכוונות ל-Office 365, אומר פאו.
בנוגע להגנה מפני ניסיונות של שחקנים זדוניים להפיץ דיסאינפורמציה באינטרנט, "ההגנה הטובה ביותר היא להשתמש בהלך הרוח הביקורתי שלנו ולא לסמוך על מידע כלשהו באינטרנט", הוא מוסיף.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 16
- 2023
- 22
- 7
- a
- יכול
- פי
- לרוחב
- פעילות
- שחקנים
- כתובות
- מוסיף
- נגד
- סוכנות
- מכוון
- מטרות
- ליישר
- גם
- an
- ו
- אחר
- כל
- האפליקציה
- נראה
- ARE
- מערך
- AS
- המשויך
- At
- לתקוף
- המתקפות
- ניסיונות
- רָחוֹק
- BE
- כי
- היה
- תאמינו
- שייכות
- הטוב ביותר
- קצת
- בלוג
- שניהם
- עסקים
- אבל
- by
- הגיע
- מבצע
- קמפיינים
- קנדי
- מקרה
- קטגוריה
- ערוצים
- אזרחים
- ברור
- קליק
- Common
- קהילה
- חברות
- חברה
- פשרה
- מבושל
- מדינות
- נוצר
- אישורים
- קריטי
- נוֹכְחִי
- סייבר
- פשעי אינטרנט
- עברייני אינטרנט
- כהה
- קריאה אפלה
- מוות
- דֵצֶמבֶּר
- הגנה
- גופי בטחון
- מדגים
- מַחלָקָה
- מְתוּאָר
- DID
- מת
- אחר
- גילה
- מֵידָע מַטעֶה
- לִזַלזֵל
- מובהק
- הפצה
- שונה
- do
- מסמכים
- תחום
- שמות דומיינים
- תחומים
- ספק
- מטה
- תרופה
- סמים
- דיבוב
- מוקדם
- לאכול
- מאמץ
- אמייל
- מיילים
- מוּעֳסָק
- עובדים
- לאפשר
- סוף
- אנרגיה
- מאורס
- ריגול
- EU
- אירופה
- אֵירוֹפִּי
- מדינות אירופה
- אֲפִילוּ
- אירועים
- קיום
- מורחב
- מְזוּיָף
- רחוק
- פבואר
- מעטים
- ראשון
- מרוכז
- מזון
- בעד
- מצא
- החל מ-
- מטרה
- הולך
- ממשלה
- ברכות
- קרקע
- היה
- יש
- he
- חַג
- איך
- אולם
- HTTPS
- חמישים ק"ג
- היברידי
- לא חוקי
- חשוב
- in
- כלול
- כולל
- כולל
- אינדיקטורים
- בנפרד
- להשפיע
- מידע
- הודעה
- תשתית
- במקום
- מעניין
- אינטרנט
- חקירה
- מעורב
- IT
- איטלקית
- שֶׁלָה
- עצמו
- יָנוּאָר
- רק
- שמור
- מפתח
- לשגר
- עוֹפֶרֶת
- מנהיג
- מוביל
- הכי פחות
- הוביל
- קשר
- צמוד
- קישורים
- חי
- היכנס
- התחבר
- ראשי
- בעיקר
- גדול
- לעשות
- זדוני
- יַצרָן
- מאי..
- אומר
- הודעה
- הודעות
- שיטה
- מיקרוסופט
- אכפת לי
- הלך רוח
- מידע שגוי
- חודשים
- יותר
- רוב
- המהלך
- צריך
- שמות
- רשת
- הבא
- יַקִיר
- בייחוד
- ציין
- הערות
- נוֹבֶמבֶּר
- מתבונן
- התרחשה
- אוֹקְטוֹבֶּר
- of
- Office
- on
- ONE
- באינטרנט
- מופעל
- מבצע
- תפעול
- התנגדות
- or
- להזמין
- ארגונים
- אחר
- שלנו
- יותר
- מקיף
- עמוד
- דפים
- שבילים
- אֲנָשִׁים
- שלב
- דיוג
- קמפיין דיוג
- טלפון
- תמונות
- גופני
- מתוכנן
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- עלילה
- פופולרי
- הודעה
- פוטנציאל
- קוֹדֶם
- מאסר
- כנראה
- תעמולה
- .
- מתן
- אַך וְרַק
- אקראי
- רכס
- טִוּוּחַ
- במקום
- הקוראים
- קריאה
- קיבלו
- לאחרונה
- לאחרונה
- נמענים
- להמליץ
- משתקף
- קָשׁוּר
- הוסר
- לדווח
- חוקר
- חוקרים
- גילה
- רוסיה
- מלחמת רוסיה-אוקראינה
- רוסי
- s
- אמר
- אותו
- אומר
- שְׁנִיָה
- לִכאוֹרָה
- לשלוח
- נשלח
- נפרד
- שרת
- כמה
- מחסור
- הופעות
- סִימָן
- דומה
- So
- עד כה
- כמה
- מישהו
- לזרוע
- דואר זבל
- ספציפי
- ממומן
- התפשטות
- הפצת
- עוד
- חזק
- הוגש
- כזה
- להציע
- טקטיקה
- יעד
- ממוקד
- מיקוד
- מטרות
- טכניקות
- טכנולוגיות
- מברק
- תבניות
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- נושאים
- אז
- שם.
- אלה
- הֵם
- אלה
- אם כי?
- איום
- איום שחקנים
- ל
- נושאים
- סומך
- לנסות
- מנסה
- לפתול
- שתיים
- טיפוסי
- אוקראינה
- אוקראיני
- האוקראינים
- כתובת האתר
- להשתמש
- מְשׁוּמָשׁ
- משתמשים
- באמצעות
- גרסה
- מאוד
- באמצעות
- מִלחָמָה
- מוזהר
- היה
- גל
- גלים
- we
- אינטרנט
- אתרים
- טוֹב
- מוכר
- היו
- היו
- מה
- מה
- מתי
- אשר
- בזמן
- מי
- יצטרך
- לנצח
- עם
- בתוך
- נצחנות
- עובד
- כתוב
- כתב
- עוד
- זפירנט