Russische aanvallers zetten psychologische operaties in tegen Oekraïne

Operation Texonto is een desinformatie/psychologische operatie (PSYOP’s) campagne waarbij spam e-mails als belangrijkste distributiemethode is gebruikt. Via berichten in twee PSYOP-golven probeerden de Russische dreigingsactoren Oekraïense burgers te beïnvloeden en hen te laten geloven dat Rusland de oorlog aan het winnen is. De eerste golf vond plaats in november 2023 en de tweede eind december 2023. De inhoud van de e-mails ging over verwarmingsonderbrekingen, medicijntekorten en voedseltekorten, wat typische thema's zijn van Russische propaganda.

Spearphishing

Daarnaast detecteerde ESET in oktober 2023 een spearphishingcampagne gericht op een Oekraïens defensiebedrijf en in november 2023 een campagne gericht op een EU-agentschap waarbij gebruik werd gemaakt van nep-inlogpagina's van Microsoft. Het doel van beide campagnes was het stelen van inloggegevens voor Microsoft Office 365-accounts. Door de overeenkomsten in de netwerkinfrastructuur die werd gebruikt in zowel de PSYOPs als de phishingoperaties, kan ESET met grote zekerheid zeggen dat ze aan elkaar gelinkt zijn.

"Sinds het begin van de oorlog in Oekraïne zijn groepen die aan Rusland gelieerd zijn, zoals Sandworm, druk bezig geweest met het verstoren van de Oekraïense IT-infrastructuur met behulp van wipers. In de afgelopen maanden hebben we een toename waargenomen in cyberspionage operaties, vooral door de beruchte Gamaredon groep. Operatie Texonto toont nog een ander gebruik van technologieën om te proberen de oorlog te beïnvloeden," zegt ESET-onderzoeker Matthieu Faou, die Operatie Texonto ontdekte.

"Het vreemde brouwsel van spionage, informatieoperaties en valse farmaceutische berichten kan ons alleen maar doen denken aan Callisto, een bekende, aan Rusland gelieerde cyberspionagegroep, waarvan sommige leden in december 2023 het onderwerp waren van een aanklacht door het Amerikaanse ministerie van Justitie. Callisto richt zich op overheidsfunctionarissen, medewerkers van denktanks en militaire organisaties via spearphishingwebsites die zijn ontworpen om veelgebruikte cloudproviders na te bootsen. De groep heeft ook desinformatieoperaties uitgevoerd, zoals het lekken van documenten vlak voor de algemene verkiezingen van 2019 in het Verenigd Koninkrijk. Tot slot leidt het gebruik van de oude netwerkinfrastructuur tot nepfarmaceutische domeinen," vervolgt Faou. Hij concludeert echter: "Hoewel er verschillende punten van overeenkomst op hoog niveau zijn tussen Operatie Texonto en Callisto-operaties, hebben we geen technische overlap gevonden en schrijven we Operatie Texonto momenteel niet toe aan een specifieke dreigingsactor. Echter, gezien de tactiek, techniek, procedures (TTP's), het doelwit en de verspreiding van berichten, schrijven we de operatie met grote zekerheid toe aan een groep die Rusland als partner heeft."

Dezelfde e-mailserver in Canada ingezet

Een e-mailserver, beheerd door de aanvallers en gebruikt om de PSYOPs e-mails te versturen, werd twee weken later opnieuw gebruikt om typische Canadese apotheekspam te versturen. Deze categorie illegale zaken is al lange tijd erg populair binnen de Russische cybercriminaliteit. Een paar andere pivots onthulden ook domeinnamen die deel uitmaken van Operatie Texonto en gerelateerd zijn aan interne Russische onderwerpen, zoals Alexei Navalny, de bekende Russische oppositieleider die in de gevangenis zat en overleed op 16-02-2024. Dit betekent dat Operatie Texonto waarschijnlijk spearphishing of informatieoperaties omvat die gericht zijn op Russische dissidenten en aanhangers van de overleden oppositieleider.

Het doel van de eerste golf desinformatie e-mails was om twijfel te zaaien in de hoofden van de Oekraïners; een e-mail waarschuwt bijvoorbeeld: "Er kunnen deze winter onderbrekingen zijn in de verwarming." Andere e-mails zijn zogenaamd afkomstig van het Ministerie van Volksgezondheid en gaan over medicijntekorten. Het lijkt er niet op dat er kwaadaardige links of malware in deze specifieke golf zaten, alleen desinformatie. Een domein dat zich voordeed als het Ministerie van Landbouwbeleid en Voedsel van Oekraïne raadde aan om medicijnen die niet beschikbaar waren te vervangen door kruiden. In weer een andere e-mail "van" het ministerie raden ze aan om "duivenrisotto" te eten met een foto van een levende duif en een gekookte duif. Deze documenten zijn met opzet gemaakt om de lezers op te hitsen en te demoraliseren. Over het geheel genomen sluiten deze nepberichten aan bij veelvoorkomende Russische propaganda. Ze proberen de Oekraïense bevolking te laten geloven dat ze geen medicijnen, voedsel en verwarming meer zullen hebben vanwege de oorlog tussen Rusland en Oekraïne.

Ook andere Europese landen zijn doelwit

Ongeveer een maand na de eerste golf detecteerde ESET een tweede PSYOPs e-mailcampagne die niet alleen gericht was op Oekraïners, maar ook op mensen in andere Europese landen. De doelwitten zijn enigszins willekeurig, variërend van de Oekraïense overheid tot een Italiaanse schoenenfabrikant. Volgens telemetrie van ESET ontvingen een paar honderd mensen e-mails in deze golf. De tweede golf was donkerder in zijn berichtgeving, waarbij de aanvallers mensen suggereerden een been of arm te amputeren om militaire inzet te voorkomen. In het algemeen heeft het alle kenmerken van PSYOPs tijdens oorlogstijd.

ESET meldt sinds het begin van de Russische invasie in februari 2022 een aanzienlijk aantal aanvallen van aan Rusland gelieerde groepente hebben voorkomen en onderzocht. Meer technische informatie over Operatie Texonto is beschikbaar in de blogpost 'Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war'.