Doradzali Ukraińcom amputację nóg, by uniknąć wojska. Zdemaskowano dużą akcję dezinformacyjną Rosjan

Operacja Texonto

Wedle informacji opublikowanych na stronie ESET, operacja składała się z całej masy działań dezinformacyjnych mających wpływać na psychikę (morale) Ukraińców. To coraz częściej używana w cyberwojnie broń znana pod angielskim skrótem PSYOP (psychological operations - operacje psychologiczne). Spreparowane treści rozsyłane są przy pomocy spamowych wiadomości e-mail – często z kont podszywających się pod wiarygodne domeny.

„Za pomocą takich komunikatów związanych tematycznie z wojną, wysyłanych w dwóch falach, powiązane z Rosją ugrupowania próbowały wpłynąć na obywateli Ukrainy i obniżyć ich morale. Pierwsza fala działań miała miejsce w listopadzie 2023 r., a druga pod koniec grudnia 2023 r” – informuje ESET.

Jeden z e-maili informował, że: „Tej zimy mogą wystąpić przerwy w ogrzewaniu”. Inne, rzekomo wysyłane przez Ministerstwo Zdrowia, dotyczyły niedoborów leków. Domena podszywająca się pod Ministerstwo Polityki Agrarnej i Żywności Ukrainy zalecała zastąpienie rzekomo brakujących leków ziołami. W kolejnym mailu z tej serii sugerowano jedzenie potraw z gołębi, dołączając do informacji zdjęcia żywego i gotowanego gołębia.

W nazwach domen, będących częścią operacji Texonto, wykorzystywano m.in. nazwisko Aleksieja Nawalnego. Oznacza to, że operacja Texonto prawdopodobnie objęła także ukierunkowane działania pishingowe i dezinformacyjne wymierzone w rosyjskich dysydentów i zwolenników zmarłego przywódcy opozycji.

Około miesiąc po pierwszej fali, analitycy ESET wykryli drugą kampanię e-mailową PSYOP, skierowaną nie tylko do Ukraińców, ale także do mieszkańców innych krajów europejskich. Fałszywe informacje trafiły zarówno do ukraińskiego rządu, jak i włoskiego producenta obuwia. Przekaz miał jeszcze mocniej wpływać na odbiorców, sugerowano m.in. amputację nogi lub ręki, jako rozwiązanie pozwalające uniknąć wysłania do front. „Tego typu komunikaty są charakterystyczne dla cyberoperacji psychologicznych prowadzonych podczas konfliktów zbrojnych i mają m.in. na celu podkopywać morale poszczególnych grup”.

Ponadto w październiku 2023 r. ESET wykrył ukierunkowaną kampanię phishingową, której celem była ukraińska firma z branży obronnej, a w listopadzie 2023 kampanię skierowaną do agencji UE, wykorzystującą sfabrykowane strony logowania Microsoft. Celem tych działań była kradzież danych uwierzytelniających do kont Microsoft Office 365. Zdaniem analityków ESET, ze względu na podobieństwa w infrastrukturze sieciowej wykorzystywanej we wszystkich tych działaniach, można założyć, że były one powiązane.

Cyberoperacje psychologiczne

– Od początku agresji na Ukrainę, grupy sprzymierzone z Rosją, takie jak Sandworm, koncentrowały się na zakłócaniu funkcjonowania ukraińskiej infrastruktury IT za pomocą złośliwego oprogramowania do usuwania danych (ang. wiper). W ostatnich miesiącach zaobserwowaliśmy wzrost liczby operacji cyberszpiegowskich, zwłaszcza prowadzonych przez niesławną grupę Gamaredon. Operacja Texonto to kolejny etap wykorzystywania technologii do wywierania wpływu na przebieg wojny – mówi Matthieu Faou, badacz ESET, który odkrył Operację Texonto.

Kompilacja działań szpiegowskich, operacji dezinformacyjnych i fałszywych wiadomości o tematyce farmaceutycznej może przypominać działania Callisto, dobrze znanej grupy cyberszpiegowskiej, sprzymierzonej z Rosją. Niektórzy jej członkowie zostali oskarżeni przez Departament Sprawiedliwości USA w grudniu 2023 r. Callisto atakuje urzędników rządowych, pracowników ośrodków doradczych i organizacje związane z wojskiem za pośrednictwem witryn zaprojektowanych tak, aby naśladować popularnych dostawców usług w chmurze. Grupa prowadziła także operacje dezinformacyjne, takie jak rzekomy wyciek dokumentów tuż przed wyborami powszechnymi w Wielkiej Brytanii w 2019 r. Przy pomocy swojej starej infrastruktury sieciowej kieruje także do fałszywych domen farmaceutycznych.

– Chociaż istnieje kilka zasadniczych podobieństw między operacjami Texonto i Callisto, nie znaleźliśmy żadnego technicznego punktu styku. Obecnie nie przypisujemy więc operacji Texonto żadnemu konkretnemu ugrupowaniu cyberprzestępczemu. Biorąc jednak pod uwagę techniki, taktyki, procedury (TTP), wycelowane działania i rozpowszechniane komunikaty, z dużą pewnością można założyć, że działania te prowadziła grupa sprzymierzona z Rosją – uzupełnia Matthieu Faou.