Az ESET biztonsági szolgáltató kutatói feltárták egy kétágú, hibrid háborús kibertámadást, amely pszichooperációs és hitelesítési adatok ellopását célzó kampányokat foglal magában, Ukrajna polgárai és vállalkozásai ellen.
Kutatók Felfedik Az Oroszokkal Összhangban Álló Pszichooperációs Kampányt, Az ‘Operáció Texonto’
Az ESET biztonsági szolgáltató kutatói megerősítették, hogy felfedeztek egy kiberpszichooperációs kampányt, amelyet ‘Operáció Texonto’ néven azonosítottak, miután elemeztek két hullámnyi pszichooperációs üzenetet, amelyeket 2023 novemberében és decemberében küldtek. A tartalmak tipikus orosz propagandatémák köré épültek, mint például a gyógyszer- és élelmiszerhiány, valamint az ukrán polgárok fűtésének megszakítása. A cél úgy tűnik, hogy az ukrán polgárokat meggyőzzék, Oroszország nyeri a háborút.
A háborúval kapcsolatos dezinformációt spam e-mailek útján terjesztették. Októberben a kutatók egy lándzsás phishing kampányt is láttak, amely az ukrán szervezeteket, beleértve egy védelmi vállalatot, és az EU ügynökségeit célozta meg. Ennek célja a Microsoft Office 365 fiókok bejelentkezési adatainak ellopása volt. Az ESET szerint “a PSYOPs és a phishing műveletekben használt hálózati infrastruktúra hasonlóságai miatt” nagy biztonsággal állítható, hogy ezek összekapcsolódnak.
Az Operáció Texontót Magas Biztonsággal Oroszbarát Műveletekhez Tulajdonítják
Az Operáció Texonto-t, amelyet az ESET Kutatás “magas biztonsággal egy Oroszországgal összhangban álló csoportnak” tulajdonít, úgy tűnik, hogy hasonlít az előző műveletekre, amelyeket egy Oroszországgal összhangban álló fejlett tartós fenyegetéscsoport, a Callisto hajtott végre. Azonban az ezen legújabb kibertámadások felfedezéséért felelős ESET kutató, Matthieu Faou szerint technikai átfedés hiányában “jelenleg nem tulajdonítjuk az Operáció Texonto-t egy konkrét fenyegetési szereplőnek.”
Faou szerint az ESET az utóbbi hónapokban növekedést látott a kiberkémkedési műveletekben. “A kémkedés, információs műveletek és hamis gyógyszertár üzenetek furcsa keveréke,” mondja Faou, “csak emlékeztetni tud minket a Callistóra, egy jól ismert Oroszországgal összhangban álló kiberkémkedési csoportra, amelynek néhány tagja az Egyesült Államok Igazságügyi Minisztériumának 2023 decemberében kelt vádiratának tárgya volt.”
A hamis gyógyszertár üzenetek aspektusa érdekes, mivel ugyanazt az e-mail szervert, amelyet a támadók a pszichooperációs üzenetek küldésére használtak, két héttel később kanadai gyógyszertár spam küldésére is használták. A bűnözési és politikai tevékenységek közötti határvonalak elmosódása korántsem szokatlan, különösen Oroszországban, mint országban.
Galamb Risottót Ajánl a Dezinformációs Kampány az Ukránoknak
Úgy tűnik, nem tartalmazott semmilyen malware-t vagy rosszindulatú linket az első hullámnyi e-mail. “Egy olyan domain, amely az Ukrán Agrárpolitikai és Élelmezésügyi Minisztériumnak adta ki magát, azt javasolta, hogy a nem elérhető gyógyszereket helyettesítsék gyógynövényekkel,” mondja Faou, egy másik pedig azt javasolta, hogy “fogyasszanak galamb risottót”, beleértve “egy élő galamb és egy sült galamb fotóját.” Az ESET szerint a második hullám sötétebb volt, üzenetekkel, amelyek “arról tanácsoltak az embereknek, hogy amputáljanak egy lábat vagy egy karjukat, hogy elkerüljék a katonai bevetést.”
META Jelentéseket Adott ki Orosz Eredetű Befolyásolási Kampányok Sikeres Leállításáról
A legújabb META Adversarial Threat Report is beszámol az Ukrajnában a háború kezdete óta zajló orosz befolyásolási kampányokról. “Csapataink továbbra is magas készültségben maradnak, hogy figyeljék az e háborúval kapcsolatos ellenséges változásokat,” mondja a jelentés, “mivel Ukrajna vagy az Ukrajnával kapcsolatos kérdések maradnak a legnagyobb fókuszban az orosz eredetű befolyásolási műveletekben.” A META azt jelenti, hogy az orosz állami média által közzétett posztok mennyisége 55%-kal, az elkötelezettségi szintek pedig 94%-kal csökkentek a háború előtti szintekhez képest, mióta megkezdődtek az érvényesítési intézkedések. “A rejtett befolyásolási műveletek esetében, 2022 óta kevesebb kísérletet láttunk bonyolult csaló személyiségek felépítésére a vékonyan leplezett, rövid életű hamis fiókok javára egy internetes spamelési kísérletben, abban reménykedve, hogy valami megmarad.” A META jelentése szerint 2024-ben is folytatódni fog a spam kampányok, amelyek “nagy mennyiségű fiókot vetnek be számos internetes szolgáltatáson és weboldalon” keresztül.
A digitális bűnözők már birtokba vették az X közösségi média szolgáltatás “Gold” minősítésű fiókjait, amelyek korábban a Twitter néven futottak, és azokat akár 2 000 dollárért értékesítik a Dark Weben. Erre utal a CloudSEK kutatás, amely felfedezte ezeknek a fiókoknak az előtérbe kerülését az underground online piacokon.
Az X-en a Gold jelvény azt bizonyítja, hogy a szolgáltatás megerősítette a fiók valódi hovatartozását, akár magas profilú szervezethez vagy hírességhez is. Ezt a lehetőséget egy évvel ezelőtt vezették be fizetős változatként, miután az X lecserélte a kék pipát, ami korábban az igazságosság jelképe volt, egy olyan jelvényre, amit bárki hozzáadhatott a profiljához, engedély nélkül.
A kiberbűnözők jelenleg a brute-force támadásokat és a malware-t alkalmazzák a jelszavak megszerzéséhez, hogy hozzáférjenek a meglévő Gold fiókokhoz – ezt állapította meg a CloudSEK kutatói csoport. Gyakran átveszik azokat a nem-Gold minősítésű fiókokat is, amelyek hosszú ideje inaktívak voltak, majd ellenőrzött státuszba emelik őket. Összességében több száz ilyen fiók kerül értékesítésre az underground fórumokon.
Azok, akik hajlandók fizetni, ezeket a fiókokat arra használják, hogy terjesszenek phishing linkeket, indítsanak dezinformációs kampányokat és hajtsanak végre pénzügyi csalásokat, vagy akár befolyásolják egy márka hírnevét a káros tartalmak megosztásával.
“A Dark Web piacokon szinte ellepték a Twitter Gold fiókokkal kapcsolatos hirdetések” – áll a cég által ezen a héten közzétett kutatásban.
“Az árak 35 dollártól indulnak egy alap fiókért, és akár 2 000 dollárig terjednek azokért, amelyeknek nagy a követői táboruk.”
A kutatók egy szeptemberi példával világítottak rá a veszélyre: A kiberbűnözők sikerrel támadták meg egy X nevű fiókot, amely a kriptovaluta Ethereum társalapítójához, Vitalik Buterinhez tartozott. Ezt követően olyan tweeteket tettek közzé, amelyek ingyenes nonfungibilis tokeneket (NFT-ket) ígértek, egy beágyazott, rosszindulatú linkkel, ami átirányította a felhasználókat egy hamis weboldalra, ahol megpróbálták kinyeretni a kriptovalutákat a pénztárcájukból.
“A hackerek közel 20 percig működtek a hamis bejegyzés közzététele után, és elképesztően 691 000 dollárt zsákmányoltak digitális eszközeikből” – derült ki az elemzésből.
Hogyan védekezhetünk az X fiókok elfoglalása ellen?
A bűnözők számára az ilyen nagy értékű fiókok megszerzésének lehetősége már legalább 2020 óta ismert, amikor a hackerek sikeresen feltörték a Twitter akkori belső hálózatait, hozzáférést szerezve ellenőrzött fiókokhoz, és tweeteket küldtek ki több magas profilú személy nevében.
Az szervezetek védelme érdekében ajánlott rendszeresen figyelni a Twitteren megjelenő márkanév említéseket, és szigorú jelszópolitikákat alkalmazni a fiókok elfoglalásának megelőzése érdekében – tanácsolta a CloudSEK. Az eredményes márkanévfigyelés magában foglalja a hamis profilok, engedély nélküli terméklisták, félrevezető hirdetések és rosszindulatú tartalmak azonosítását.
Forrás:https://www.darkreading.com
