Dijital güvenlik şirketi ESET, ana dağıtım sistemi olarak spam e-postaları kullanan bir dezenformasyon -psikolojik operasyon (PSYOPs) kampanyası olan Texonto Operasyonu’nu ortaya çıkardı. Rusya’ya bağlı tehdit aktörleri, iki dalga halinde gönderilen bildirilerle Ukrayna vatandaşlarını etkilemeye ve onları Rusya’nın savaşı kazandığına inandırmaya çalıştı. Birinci dalga Kasım 2023’te, ikincisi ise Aralık 2023’ün sonunda gerçekleşti.
E-postaların içeriği, Rus propagandasının bilindik temaları olan doğalgaz kesintileri, ilaç ve besin kıtlığı ile ilgiliydi. ESET ayrıyeten Ekim 2023’te Ukraynalı savunma şirketini gaye alan bir kimlik avı kampanyası ve Kasım 2023’te standart görünümlü geçersiz Microsoft oturum açma sayfaları kullanan AB ajansını amaç alan bir kampanya tespit etti. Her ikisinin de emeli Microsoft Office 365 hesaplarının kimlik bilgilerini çalmaktı. ESET araştırması PSYOP’larda ve oltalama operasyonlarında kullanılan ağ altyapısındaki benzerlikler nedeniyle yüksek olasılıkla bunların irtibatlı olduğu üzerinde duruyor.
ESET araştırmacısı Matthieu Faou şu açıklamada bulundu:“Ukrayna’daki savaşın başlamasından bu yana, Sandworm üzere Rusya’ya bağlı kümeler, siliciler kullanarak Ukrayna’nın BT altyapısını bozmakla meşguldü. Son aylarda, bilhassa berbat şöhretli Gamaredon kümesi tarafından gerçekleştirilen siber casusluk operasyonlarında bir artış gözlemledik. Texonto Operasyonu, savaşı etkilemeye yönelik teknolojilerin bir öteki kullanımını gösteriyor. Casusluk, bilgi operasyonları ve geçersiz ilaç bildirilerinin garip karışımı bize yalnızca, birtakım üyeleri Aralık 2023’te ABD Adalet Bakanlığı tarafından bir iddianameye mevzu olan, Rusya’ya bağlı tanınmış bir siber casusluk kümesi olan Callisto’yu hatırlatabilir. Callisto, yaygın bulut sağlayıcılarını taklit etmek üzere tasarlanmış spearphishing web siteleri aracılığıyla hükümet yetkililerini, fikir kuruluşlarındaki çalışanı ve orduyla ilgili kuruluşları maksat almaktadır. Küme ayrıyeten 2019 Birleşik Krallık genel seçimlerinin çabucak öncesinde bir evrak sızıntısı üzere dezenformasyon operasyonları yürütmüştür. Son olarak, eski ağ altyapısını kullanarak geçersiz ilaç alan isimleri oluşturuyor.
Texonto Operasyonu ile Callisto operasyonları ortasında birkaç üst seviye benzerlik noktası olsa da rastgele bir teknik örtüşme bulamadık ve şu anda Texonto Operasyonu’nu makul bir tehdit aktörüne atfetmiyoruz. Bununla birlikte, TTP’ler, hedefleme ve iletilerin yayılması göz önüne alındığında, operasyonu yüksek itimatla Rusya ile uyumlu bir kümeye atfediyoruz.”
Saldırganlar tarafından işletilen ve PSYOPs e-postalarını göndermek için kullanılan bir e-posta sunucusu, iki hafta sonra tipik Kanada eczane spam’lerini göndermek için tekrar kullanıldı. Bu yasadışı iş kategorisi Rus siber kabahat topluluğu içinde uzun müddettir çok tanınan. Yapılan birkaç incelemede, Texonto Operasyonu’nun bir kesimi olan ve mahpus cezasını çekmekteyken 16 Şubat 2024 tarihinde ölen tanınmış Rus muhalefet başkanı Alexei Navalny üzere Rusya’nın iç mevzularıyla ilgili alan isimleri da ortaya çıktı. Bu da Texonto Operasyonu’nun muhtemelen Rus muhalifleri maksat alan spearphishing ya da bilgi operasyonlarını içerdiği manasına geliyor.
İlk dalga dezenformasyon e-postalarının maksadı Ukraynalıların zihinlerine kuşku tohumları ekmekti; örneğin bir e-postada “Bu kış doğalgaz kesintileri olabilir” deniyor. Sıhhat Bakanlığı’ndan geldiği tez edilen öteki e-postalarda ise ilaç ezasından bahsediliyor. Bu dalgada rastgele bir berbat niyetli irtibat yahut berbat emelli yazılım yok üzere görünüyor, yalnızca dezenformasyon var. Ukrayna Tarım Siyaseti ve Besin Bakanlığı üzere görünen bir alan ismi, mevcut olmayan ilaçların şifalı bitkilerle değiştirilmesini tavsiye ediyor. Bakanlıktan “gelen” bir öbür e-postada ise canlı bir güvercin ve pişmiş bir güvercin fotoğrafıyla “güvercin risotto” yenmesi öneriliyor. Bu dokümanlar, okuyucuları kızdırmak ve morallerini bozmak maksadıyla kasıtlı olarak oluşturulmuştur. Genel olarak, bu uydurma iletiler yaygın Rus propaganda temalarıyla uyumludur. Ukrayna halkını Rusya-Ukrayna savaşı nedeniyle ilaç, besin ve ısınma imkanlarının olmayacağına inandırmaya çalışıyorlar.
İlk dalgadan yaklaşık bir ay sonra ESET, yalnızca Ukraynalıları değil, öteki Avrupa ülkelerindeki insanları da amaç alan ikinci bir PSYOPs e-posta kampanyası tespit etti. Gayeler, Ukrayna hükümetinden bir İtalyan ayakkabı üreticisine kadar uzanan rastgele bir yelpazede yer alıyor. ESET telemetrisine nazaran, bu dalgada birkaç yüz kişi e-posta aldı. İkinci dalga daha karanlık bildiriler içeriyor ve saldırganlar insanlara askeri konuşlanmadan kaçınmak için bir bacak ya da kollarını kesmelerini öneriyor. Genel olarak, savaş vaktindeki PSYOP’ların tüm özelliklerine sahip.
ESET eserleri ve araştırmaları uzun yıllardır Ukrayna BT altyapısını koruyor. Şubat 2022’de Rus işgalinin başlamasından bu yana ESET Araştırma, Rusya’ya bağlı kümeler tarafından başlatılan kıymetli sayıda saldırıyı önledi ve araştırdı.
Kaynak: (BYZHA) Beyaz Haber Ajansı