Wire

Russische PSYOP’s in Oekraïne: Texonto richt zich op Oekraïners met desinformatie, ontdekt ESET Research

©ESET
SET Research ontdekte onlangs Operatie Texonto, een campagne voor desinformatie/psychologische operaties (PSYOP's) waarbij spam-mails als belangrijkste tool worden gebruikt. Met berichten verzonden in twee PSYOP golven, probeerden de aan Rusland gelinkte dreigingsactoren Oekraïense burgers te beïnvloeden en te demoraliseren met desinformatie over de oorlog. De eerste golf had plaats in november 2023 en de tweede eind december 2023. De inhoud van de mails ging over verwarmingsonderbrekingen, medicijn- en voedseltekorten, typische thema’s van Russische propaganda. Bovendien ontdekte ESET in oktober 2023 een spearphishing-campagne die zich richtte op een Oekraïens defensiebedrijf, en in november 2023 een campagne gericht op een EU-agentschap, waarbij valse Microsoft-inlogpagina’s werden gebruikt. Het doel van beide was het stelen van inloggegevens voor Microsoft Office 365-accounts. Door de overeenkomsten in de netwerkinfrastructuur die bij deze PSYOP's en phishing-operaties werden gebruikt, kan ESET Research met groot vertrouwen zeggen dat ze met elkaar verbonden zijn.

“Sinds het begin van de oorlog in Oekraïne zijn aan Rusland gelinkte groepen zoals Sandworm druk bezig met het ontwrichten van de Oekraïense IT-infrastructuur door wipers. De afgelopen maanden zagen we een toename in cyberspionage, vooral door de beruchte Gamaredon-groep. Operatie Texonto laat nog een ander gebruik van de technologie zien om de oorlog te beïnvloeden”, zegt Matthieu Faou, de ESET-onderzoeker die Operatie Texonto ontdekte.

“Het mengsel van spionage, informatie-operaties en nep-farma-berichten doen ons denken aan Callisto, een bekende aan Rusland gelinkte cyberspionagegroep, waarvan sommige leden in december 2023 het onderwerp waren van een aanklacht door het US Ministerie van Justitie. Callisto richt zich op overheidsfunctionarissen, personeel in denktanks en militair-gerelateerde organisaties via spearphishing-sites ontworpen om cloud-leveranciers na te bootsen. De groep voerde ook desinformatie-operaties uit, zoals een documentlek vlak voor de Britse verkiezingen van 2019. Het gebruiken van oude netwerkinfrastructuur leidt tot nep-farma-domeinen”, aldus Faou, die concludeert: “Hoewel er meerdere overeenkomsten op hoog niveau zijn tussen Operatie Texonto en Callisto, vonden we geen enkele technische overlap en schrijven we Operatie Texonto momenteel niet toe aan specifieke dreigingsactoren. Wegens de TTP’s, de doelgerichtheid en de verspreiding van berichten, schrijven we dit met veel vertrouwen toe aan een groep gelinkt aan Rusland.”

Een server  beheerd door de aanvallers en gebruikt  om PSYOPs mails te verzenden, werd twee weken later hergebruikt om typische Canadese farma-spam te verzenden. Deze illegale activiteiten zijn al lang erg populair bij de Russische cybercriminaliteitsgemeenschap. Ook domeinnamen kwamen boven die deel uitmaken van Operatie Texonto en verband houden met interne Russische onderwerpen, zoals Alexei Navalny, de bekende Russische oppositieleider die in de gevangenis stierf op 16 februari. Dit betekent dat Operatie Texonto waarschijnlijk spearphishing- of informatieoperaties omvat  gericht  op Russische dissidenten en aanhangers van de overleden  oppositieleider.

Het doel van de eerste golf van desinformatie-mails was twijfel zaaien bij de Oekraïners. In één mail staat: “Er kunnen deze winter verwarmingsonderbrekingen zijn.” Andere, zogezegd afkomstig van het Ministerie van Volksgezondheid, gaan over tekorten aan medicijnen. Er zou geen sprake zijn van kwaadaardige links of malware in deze golf, enkel desinformatie. Een domein, vermomd als het Oekraïense Ministerie van Landbouwbeleid en Voeding, adviseerde om niet-beschikbare medicijnen te vervangen door kruiden. Een andere mail van dit ministerie stelt voor om “duivenrisotto” te eten, met een foto van een levende en een gekookte duif. Dit bericht werd opzettelijk gemaakt om de lezers op te hitsen en te demoraliseren. Deze nepberichten komen overeen met klassieke Russische propaganda-thema’s. Ze proberen het Oekraïense volk te doen geloven dat ze door de oorlog geen medicijnen, voedsel noch verwarming zullen hebben.

Een maand na de eerste golf ontdekte ESET een tweede mailcampagne van PSYOPs, die zich niet enkel op Oekraïners richtte, maar ook op mensen in andere Europese landen. De doelwitten waren willekeurig en varieerden van de Oekraïense overheid tot een Italiaanse schoenenfabrikant. Volgens ESET-telemetrie ontvingen een honderdtal mensen mails tijdens deze golf. De tweede golf was donkerder. De aanvallers suggereerden dat mensen een been of arm moesten laten amputeren om aan militaire plichten te ontkomen. In zijn totaliteit heeft dit alle kenmerken van PSYOPs in oorlogstijd.

ESET-producten en onderzoek beschermen al vele jaren de Oekraïense IT-infrastructuur. Sinds het begin van de Russische invasie in februari 2022 heeft ESET Research een aanzienlijk aantal aanvallen van aan Rusland gelinkte groepen voorkomen en onderzocht.

Lees voor meer technische informatie over Operatie Texonto, de blog Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war op https://www.welivesecurity.com .

Tijdslijn van Operatie Texonto ©ESET

Dit artikel werd geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.

Gerelateerde artikelen

Volg ons

Ga jij apps uit alternatieve appstores installeren?

  • Nee, App Store of Play Store is goed genoeg (57%, 109 Votes)
  • Alleen als ik een app écht nodig heb (29%, 56 Votes)
  • Ja, ik wil apps van andere bronnen installeren (14%, 27 Votes)

Aantal stemmen: 194

Laden ... Laden ...
69% korting + 3 maanden gratis

69% korting + 3 maanden gratis

Bezoek NordVPN

Business