Важливо знати: російські хакери атакують Україну дезінформацією та збором облікових даних

Четвер, 29 лютого 2024 17:01

Словацька компанія ESET, що спеціалізується на кібербезпеці, опублікувала звіт про кібератаку під кодовою назвою “Операція Texonto”, яка була спрямована на українців, які живуть в Україні та за кордоном. Цілями атаки могли бути як звичайні користувачі, так і державні та військові установи.

ESET пов’язує цю діяльність із суб’єктами загроз російського походження, а також виявила фішингову кампанію, спрямовану на українську оборонну компанію в жовтні 2023 року та агентство Європейського Союзу в листопаді 2023 року, яка мала на меті зібрати облікові дані для входу в систему Microsoft за допомогою фальшивих цільових сторінок.

Операція “Texonto”, як була закодована вся кампанія, не була пов’язана з конкретним суб’єктом загрози, хоча деякі її елементи, зокрема, фішингові атаки, перегукуються з операцією COLDRIVER, яка має історію збору облікових даних через фальшиві сторінки для входу в систему.

 

Перша хвиля дезінформації

Операція з дезінформації відбувалася у дві хвилі в листопаді та грудні 2023 року, а електронні повідомлення містили вкладення у форматі PDF та вміст, пов’язаний з перебоями в опаленні, дефіцитом ліків та продуктів харчування.

Листопадова хвиля була спрямована на щонайменше кілька сотень одержувачів в Україні, включаючи уряд, енергетичні компанії та приватних осіб. Наразі невідомо, як було створено список адресатів.

“Цікаво відзначити, що електронний лист був відправлений з домену, замаскованого під Міністерство аграрної політики та продовольства України, в той час як його зміст стосується дефіциту ліків, а в PDF-файлі неправомірно використовується логотип Міністерства охорони здоров’я України”, – йдеться у звіті ESET, переданому виданню The Hacker News. Можливо, це помилка зловмисників або, принаймні, свідчить про те, що вони не подбали про всі деталі”.

Окрім ua-minagro[.]com, у цій хвилі для надсилання електронних листів використовувалося п’ять додаткових доменів:

uaminagro[.]com

minuaregion[.]org

minuaregionbecareful[.]com

uamtu[.]com

minagroua[.]org

minuaregion[.]org

minuaregionbecareful[.]com

Вони маскуються під Міністерство з питань реінтеграції тимчасово окупованих територій України, законний сайт якого minre.gov.ua.

ESET в своєму звіті наводить ще два шаблони повідомлень електронної пошти, кожен з яких має окремий текст листа та PDF-додатки нібито від Мінрегіону та Міністерства сільського господарства:

 

Цієї зими можуть спостерігатися перебої з опаленням. Рівень температури в будинках може бути нижче допустимих значень на кілька градусів. У деяких випадках можливо навіть відключення опалення, об’єкти енергетичної безпеки знаходяться під постійною загрозою. У зв’язку з цим, радимо взяти до уваги наступні рекомендації.

Агресія Росії призвела до значних втрат в аграрному секторі України. Землі забруднені мінами, пошкоджені снарядами, окопами і рухом військової техніки. У великій кількості пошкоджено та знищено сільськогосподарську техніку, знищено зерносховища. До стабілізації обстановки Міністерство аграрної політики та продовольства рекомендує вам урізноманітнити раціон стравами з доступних дикорослих трав. Вживання свіжих, соковитих листя трав у вигляді салатів є найбільш простим, корисним і доступним. Пам’ятайте, що збирати рослини слід далеко від міст і селищ, а також від жвавих трас. Пропонуємо вам кілька корисних і простих у приготуванні рецептів.

 

Другу хвилю дезінформації спрямували також на українців за кордоном

Друга дезінформаційна електронна кампанія, яка розпочалася 25 грудня 2023 року, вирізняється тим, що розширила свою цільову аудиторію за межі України, включивши україномовних користувачів в інших європейських країнах. Усі повідомлення були написані українською та російською мовами та надіслані різноманітним адресатам – від українського уряду до італійського виробника взуття.

У цих повідомленнях, хоча одержувачам і бажали щасливих свят, вони були написані в похмурому тоні, аж до пропозиції ампутувати одну з рук або ніг, щоб уникнути розгортання військових сил. “Кілька хвилин болю, але потім – щасливе життя!”, – йдеться в електронному листі.

ESET повідомила, що один з доменів, який використовувався для поширення фішингових листів у грудні 2023 року, infonotification[.]com, також займався розсилкою сотень спам-повідомлень, починаючи з 7 січня 2024 року, перенаправляючи потенційних жертв на фальшивий веб-сайт канадської аптеки.

Достеменно невідомо, чому цей поштовий сервер був перепрофільований для поширення аптечної афери, але є підозра, що зловмисники вирішили монетизувати свою інфраструктуру для отримання фінансової вигоди після того, як зрозуміли, що їхні домени були виявлені захисниками.

“Операція “Texonto” демонструє ще одне використання технологій для спроб вплинути на війну”, – зазначили в компанії.

Ця подія сталася після того, як компанія Meta у своєму щоквартальному звіті про ворожі загрози повідомила, що викрила на своїх платформах три мережі з Китаю, М’янми та України, які займалися скоординованою неавтентичною поведінкою.

Хоча жодна з цих мереж не була з росії, компанія Graphika, що займається аналізом соціальних мереж, повідомила, що обсяги публікацій у російських державних ЗМІ скоротилися на 55% порівняно з довоєнним рівнем, а активність користувачів впала на 94% порівняно з дворічною давністю.

“З початку війни російські державні ЗМІ зосередилися на неполітичному інформаційно-розважальному контенті та саморекламних наративах про росію”, – йдеться в повідомленні. Це може відображати ширші позаплатформні зусилля, спрямовані на задоволення внутрішньої російської аудиторії після того, як багато західних країн заблокували ці ЗМІ у 2022 році”.

 

Щоб не стати жертвою дезінформації дотримуйтесь правил інформаційної гігієни:

  • перевіряйте усю спожиту інформацію через офіційні джерела;
  • не поширюйте «зраду». Особливо ту, що побудована на теоріях змови та поширюється ворожими Telegram-каналами;
  • не вступайте у політичні дискусії в коментарях з ботами, це сіє лише розбрат та паніку;
  • відрізняйте думки експертів від думок звичайних людей, «анонімних авторитетів», що полюбляють маніпулятивні висловлювання;
  • підвищуйте свої знання з медіаграмотності та пропонуйте це робити близьким, пояснюйте як це зробити на практиці;
  • не реагуйте на сенсаційні заголовки – «клікбейтні назви», інформацію часто перебільшують, а новину можуть видалити через годину;
  • захистіть свої соцмережі: встановлюйте складні паролі, не додавайте в друзі невідомі акаунти, увімкніть двоетапну аутентифікацію;
  • жодним чином не поширюйте інформацію про переміщення українських військ, так ви здаєте наші війська ворогу!

Ці прості правила допоможуть кожному зробити свій внесок у загальну перемогу. Тримаймо інформаційний супротив ворогу разом.

 

Джерело: Державний центр кіберзахисту Держспецзв’язку

Усі новини