Dijital güvenlik şirketi ESET, ana dağıtım metodu olarak spam e-postaları kullanan bir dezenformasyon -psikolojik operasyon (PSYOPs) kampanyası olan Texonto Operasyonu’nu ortaya çıkardı. Rusya’ya bağlı tehdit aktörleri, iki dalga halinde gönderilen iletilerle Ukrayna vatandaşlarını etkilemeye ve onları Rusya’nın savaşı kazandığına inandırmaya çalıştı. Birinci dalga Kasım 2023’te, ikincisi ise Aralık 2023’ün sonunda gerçekleşti.
E-postaların içeriği, Rus propagandasının bilindik temaları olan doğalgaz kesintileri, ilaç ve besin kıtlığı ile ilgiliydi. ESET ayrıyeten Ekim 2023’te Ukraynalı savunma şirketini amaç alan bir kimlik avı kampanyası ve Kasım 2023’te standart görünümlü düzmece Microsoft oturum açma sayfaları kullanan AB ajansını maksat alan bir kampanya tespit etti. Her ikisinin de emeli Microsoft Office 365 hesaplarının kimlik bilgilerini çalmaktı. ESET araştırması PSYOP’larda ve oltalama operasyonlarında kullanılan ağ altyapısındaki benzerlikler nedeniyle yüksek olasılıkla bunların temaslı olduğu üzerinde duruyor.
ESET araştırmacısı Matthieu Faou şu açıklamada bulundu:“Ukrayna’daki savaşın başlamasından bu yana, Sandworm üzere Rusya’ya bağlı kümeler, siliciler kullanarak Ukrayna’nın BT altyapısını bozmakla meşguldü. Son aylarda, bilhassa berbat şöhretli Gamaredon kümesi tarafından gerçekleştirilen siber casusluk operasyonlarında bir artış gözlemledik. Texonto Operasyonu, savaşı etkilemeye yönelik teknolojilerin bir öbür kullanımını gösteriyor. Casusluk, bilgi operasyonları ve düzmece ilaç iletilerinin garip karışımı bize yalnızca, birtakım üyeleri Aralık 2023’te ABD Adalet Bakanlığı tarafından bir iddianameye husus olan, Rusya’ya bağlı tanınmış bir siber casusluk kümesi olan Callisto’yu hatırlatabilir. Callisto, yaygın bulut sağlayıcılarını taklit etmek üzere tasarlanmış spearphishing web siteleri aracılığıyla hükümet yetkililerini, niyet kuruluşlarındaki çalışanı ve orduyla ilgili kuruluşları maksat almaktadır. Küme ayrıyeten 2019 Birleşik Krallık genel seçimlerinin çabucak öncesinde bir evrak sızıntısı üzere dezenformasyon operasyonları yürütmüştür. Son olarak, eski ağ altyapısını kullanarak düzmece ilaç alan isimleri oluşturuyor.
Texonto Operasyonu ile Callisto operasyonları ortasında birkaç üst seviye benzerlik noktası olsa da rastgele bir teknik örtüşme bulamadık ve şu anda Texonto Operasyonu’nu muhakkak bir tehdit aktörüne atfetmiyoruz. Bununla birlikte, TTP’ler, hedefleme ve iletilerin yayılması göz önüne alındığında, operasyonu yüksek itimatla Rusya ile uyumlu bir kümeye atfediyoruz.”
Saldırganlar tarafından işletilen ve PSYOPs e-postalarını göndermek için kullanılan bir e-posta sunucusu, iki hafta sonra tipik Kanada eczane spam’lerini göndermek için yine kullanıldı. Bu yasadışı iş kategorisi Rus siber cürüm topluluğu içinde uzun müddettir çok tanınan. Yapılan birkaç incelemede, Texonto Operasyonu’nun bir modülü olan ve mahpus cezasını çekmekteyken 16 Şubat 2024 tarihinde ölen tanınmış Rus muhalefet başkanı Alexei Navalny üzere Rusya’nın iç mevzularıyla ilgili alan isimleri da ortaya çıktı. Bu da Texonto Operasyonu’nun muhtemelen Rus muhalifleri amaç alan spearphishing ya da bilgi operasyonlarını içerdiği manasına geliyor.
İlk dalga dezenformasyon e-postalarının hedefi Ukraynalıların zihinlerine kuşku tohumları ekmekti; örneğin bir e-postada “Bu kış doğalgaz kesintileri olabilir” deniyor. Sıhhat Bakanlığı’ndan geldiği argüman edilen öteki e-postalarda ise ilaç probleminden bahsediliyor. Bu dalgada rastgele bir makûs niyetli irtibat yahut makus hedefli yazılım yok üzere görünüyor, yalnızca dezenformasyon var. Ukrayna Tarım Siyaseti ve Besin Bakanlığı üzere görünen bir alan ismi, mevcut olmayan ilaçların şifalı bitkilerle değiştirilmesini tavsiye ediyor. Bakanlıktan “gelen” bir öbür e-postada ise canlı bir güvercin ve pişmiş bir güvercin fotoğrafıyla “güvercin risotto” yenmesi öneriliyor. Bu evraklar, okuyucuları kızdırmak ve morallerini bozmak gayesiyle kasıtlı olarak oluşturulmuştur. Genel olarak, bu düzmece bildiriler yaygın Rus propaganda temalarıyla uyumludur. Ukrayna halkını Rusya-Ukrayna savaşı nedeniyle ilaç, besin ve ısınma imkanlarının olmayacağına inandırmaya çalışıyorlar.
İlk dalgadan yaklaşık bir ay sonra ESET, yalnızca Ukraynalıları değil, öteki Avrupa ülkelerindeki insanları da amaç alan ikinci bir PSYOPs e-posta kampanyası tespit etti. Gayeler, Ukrayna hükümetinden bir İtalyan ayakkabı üreticisine kadar uzanan rastgele bir yelpazede yer alıyor. ESET telemetrisine nazaran, bu dalgada birkaç yüz kişi e-posta aldı. İkinci dalga daha karanlık iletiler içeriyor ve saldırganlar insanlara askeri konuşlanmadan kaçınmak için bir bacak ya da kollarını kesmelerini öneriyor. Genel olarak, savaş vaktindeki PSYOP’ların tüm özelliklerine sahip.
ESET eserleri ve araştırmaları uzun yıllardır Ukrayna BT altyapısını koruyor. Şubat 2022’de Rus işgalinin başlamasından bu yana ESET Araştırma, Rusya’ya bağlı kümeler tarafından başlatılan kıymetli sayıda saldırıyı önledi ve araştırdı.
Kaynak: (BYZHA) Beyaz Haber Ajansı
