Redazione RHC : 27 Febbraio 2024 12:37
ESET, leader europeo globale nel mercato della cybersecurity, ha recentemente scoperto l’Operazione Texonto. Si tratta di una campagna di disinformazione/operazioni psicologiche (PSYOP) che utilizza le e-mail di spam come metodo di distribuzione principale. Attraverso i messaggi inviati in due ondate, gli attori delle minacce di matrice filo-russa hanno cercato di influenzare e demoralizzare i cittadini ucraini con messaggi di disinformazione legati al conflitto.
La prima ondata ha avuto luogo nel novembre 2023 e la seconda alla fine di dicembre 2023. I contenuti delle e-mail riguardavano l’interruzione del riscaldamento, la carenza di farmaci e di cibo, temi tipici della propaganda russa. Inoltre, nell’ottobre 2023, ESET ha rilevato una campagna di spearphishing che ha colpito un’azienda ucraina nel settore della difesa. Ha preso di mira un’agenzia dell’UE nel novembre 2023, utilizzando pagine di login Microsoft contraffatte ma dall’aspetto realistico.
L’obiettivo di entrambe era la sottrazione delle credenziali degli account Microsoft Office 365. Le similitudini nell’infrastruttura di rete utilizzata nelle operazioni di PSYOP e phishing, spingono i ricercatori a ritenere che vi sia un collegamento tra le due.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
“Dall’inizio del conflitto, gruppi allineati alla Russia come Sandworm sono stati impegnati a distruggere l’infrastruttura IT ucraina tramite l’utilizzo di wipers. Negli ultimi mesi abbiamo osservato un aumento delle operazioni di cyberspionaggio, soprattutto da parte del famigerato gruppo Gamaredon. L’operazione Texonto mostra l’ennesimo uso delle tecnologie per cercare di influenzare l’andamento del conflitto”, afferma Matthieu Faou, ricercatore ESET che ha scoperto l’operazione Texonto.
“Lo strano mix di spionaggio, operazioni informative e falsi messaggi sulla carenza di farmaci non può che ricordarci Callisto, un noto gruppo di cyberspionaggio allineato alla Russia. Ha visto alcuni suoi membri oggetto di un’accusa da parte del Dipartimento di Giustizia degli Stati Uniti nel dicembre 2023. Callisto tende a colpire i funzionari governativi, il personale di think tank e le organizzazioni militari attraverso siti web di spearphishing progettati per imitare i comuni cloud provider.”
Il gruppo ha anche condotto operazioni di disinformazione, come la fuga di documenti in vista delle elezioni generali del Regno Unito del 2019. Infine, sfruttando la vecchia infrastruttura di rete ha creato domini farmaceutici falsi”, continua Faou. Tuttavia, conclude: “Sebbene vi siano diversi punti di somiglianza tra l’operazione Texonto e le operazioni di Callisto, non abbiamo riscontrato alcuna sovrapposizione tecnica e al momento non possiamo attribuire l’operazione Texonto a uno specifico attore di minacce. In ogni caso, visti i TTP, gli obiettivi e la diffusione dei messaggi, possiamo affermare con certezza che l’operazione è stata condotta da un gruppo filo-russo”.
Un server di posta elettronica gestito dagli aggressori e utilizzato per inviare le e-mail PSYOP, è stato riutilizzato a gennaio di quest’anno per inviare lo spam tipico delle aziende farmaceutiche canadesi. Questa categoria di attività illegali è da tempo molto popolare nella comunità della criminalità informatica russa. Alcuni altri pivot hanno inoltre rivelato nomi di dominio che fanno parte dell’Operazione Texonto e che sono legati a temi interni alla Russia.
Questo significa che probabilmente l’Operazione Texonto si estende anche a nomi di dominio di altri paesi e che l’Operazione Texonto probabilmente include operazioni di spearphishing o di informazione rivolte ai dissidenti russi e ai sostenitori del defunto leader dell’opposizione.
L’obiettivo della prima ondata di e-mail di disinformazione era quello di seminare dubbi nelle menti degli ucraini; ci sono esempi di e-mail che avvisano che “Quest’inverno potrebbero esserci interruzioni del riscaldamento”. Altre apparentemente provenienti dal Ministero della Salute, che parlano di carenza di medicinali. Non risulta che questa ondata specifica fosse accompagnata da link malevoli o malware, pare che fosse mirata sulla sola disinformazione.
Un dominio mascherato da Ministero della Politica Agraria e dell’Alimentazione ucraino raccomandava di sostituire le medicine non disponibili con erbe. In un’altra e-mail del ‘Ministero’, si suggeriva di cibarsi con ‘risotto al piccione’ con immagini inquietanti di un piccione vivo e di uno cotto. Questi documenti sono stati creati di proposito per turbare e demoralizzare i lettori. Nel complesso, questi messaggi fake sono in linea con i temi tipici della propaganda russa. Si cerca di far credere agli ucraini che non avranno farmaci, cibo e riscaldamento a causa del conflitto.
Circa un mese dopo la prima ondata, ESET ha rilevato una seconda campagna di e-mail PSYOPs che ha preso di mira non solo gli ucraini, ma anche utenti di altri Paesi europei. Gli obiettivi risultano essere casuali e vanno dal governo ucraino a un produttore di scarpe italiano. Secondo la telemetria di ESET, alcune centinaia di persone hanno ricevuto e-mail durante questa ondata che è stata più oscura nella messaggistica, con gli aggressori che suggerivano ai destinatari di amputarsi una gamba o un braccio per evitare l’impiego militare. Nel complesso, si è trattato di un attacco che presenta le caratteristiche delle PSYOP in tempo di guerra.
I prodotti e la ricerca di ESET proteggono l’infrastruttura informatica ucraina da molti anni. E dall’inizio dell’invasione russa nel febbraio 2022, ESET Research ha prevenuto e indagato su un numero significativo di attacchi lanciati da gruppi filo russi.
Per maggiori informazioni sulle tecniche relative all’Operazione Texonto, consultare il blogpost “Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war” su WeLiveSecurity.com.
La Casa Bianca ha avviato un’indagine dopo che ignoti hanno avuto accesso al telefono personale del capo dello staff presidenziale degli Stati Uniti, Susie Wiles, e hanno utilizzato i dati per ...
Se c’è un nome che nel 2025 continua a campeggiare con crescente insistenza nei report di incident response, nei feed di threat intelligence e nei blog degli analisti di cybersicurezza, &#...
Il 66% dei docenti italiani afferma di non essere formato per insegnare l’IA e la cybersecurity. Se consideriamo le sole scuole pubbliche, la percentuale aumenta drasticamente al 76%. La domand...
Il Sottosegretario alla Presidenza del Consiglio, Alfredo Mantovano, ha partecipato questa mattina, alla Loggia dei Mercanti di Ancona, all’incontro “La cybersicurezza per lo sviluppo so...
Microsoft vuole rivoluzionare il modo in cui vengono gestiti gli aggiornamenti su Windows. L’azienda ha annunciato una nuova piattaforma di orchestrazione degli aggiornamenti che punta a trasfo...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006