ESET Deutschland: Russische #Desinformationskampagne und #Phishing Kampagne nimmt Ukrainer in ganz Europa ins Visier
Jena, 21. Februar 2024
Seit 2 Jahren tobt der Krieg in der #Ukraine – auf dem Schlachtfeld und online. Wie der #ESET #Forscher Matthieu Faou und sein Team nun herausfanden, hat eine russische Hackergruppe eine großangelegte Kampagne zur psychologischen Kriegsführung (Psyops) gegen Ukrainer in ihrem Heimatland und der gesamten Europäischen Union gestartet: Von Oktober bis Dezember 2023 verschickten die Hacker hunderte täuschend echt aussehende E Mails, die von der ukrainischen Regierung zu stammen schienen. Diese Propaganda Nachrichten dienten dabei nur einem Zweck: die ukrainische Bevölkerung zu demoralisieren und Wut auf ihre Regierung zu schüren.
Die Aktionen der bis heute unbekannten Gruppe hat ESET unter dem Namen »#Operation #Texonto« zusammengefasst.
»Seit Beginn des Krieges greifen professionelle staatlich finanzierte Hackergruppen die IT Infrastruktur in der Ukraine an. Die Art der Angriffe hat sich in den letzten beiden Jahren von reinen Störangriffen zu Cyberspionage Aktionen verändert«, sagt ESET Forscher Matthieu Faou, der die Machenschaften der Hackergruppe entdeckt hat. »Die aktuelle Psyops Kampagne stellt eine weitere Form der Cyberkriegsführung dar. Sie ist die digitale Weiterentwicklung von Propagandaflugblättern und anderen Mitteln zur Demoralisierung.«
Psyops Welle November 2023: von traditionellen #Heilmethoden und #Taubenrisotto
Die 1. Welle an Desinformations Mails erreichte hunderte Ukrainer am 20. November 2023, darunter Regierungsangestellte, Mitarbeiter im Energiesektor sowie Privatleute. Die angeblich vom ukrainischen #Landwirtschaftsministerium stammenden Nachrichten prognostizierten Engpässe bei der Medikamentenversorgung, Lebensmittelversorgung und #Wärmeversorgung infolge des Krieges und ukrainischer Importstopps. An die E Mails angefügt waren verschiedene »hilfreiche« #PDF Dokumente, die auf die anstehenden Engpässe vorbereiten sollten: So sollten traditionelle Heilpraktiken den Mangel an #Medikamenten abmildern. Bei knapper werdenden Nahrungsmitteln riet das Dokument, auf gesunde und leicht verfügbare Alternativen umzusteigen Rezepte für Brennnesselsuppe und #Taubenrisotto inklusive. Ukrainern, die im Zuge russischer Bombardements auf Kraftwerke frieren müssen, gibt ein anderes PDF Tipps zur effizienten Wärmedämmung. Insgesamt entsprechen die gefälschten Nachrichten den üblichen russischen Propagandathemen.
#Psyops Welle Dezember 2023: Liebesgrüße aus Moskau
Die nächste Flut an Demoralisierungsmails erreichte am 25. Dezember hunderte Menschen in der Ukraine und der gesamten EU, unter anderem Mitglieder der ukrainischen Regierung und Ukrainisch sprechende Menschen in Österreich. Empfänger erhielten zwei unterschiedliche Nachrichten mit Neujahrsgrüßen: In der ersten E Mail vom 25. Dezember 2023 wünschte der Absender den Ukrainern alles Gute für das neue Jahr. Er beschwor den Empfänger, nur gemeinsam könne man die US Satanisten und ihre Schergen vom russischen Boden verjagen und Altrussland (Kiewer Rus) wieder aufleben lassen ein mittelalterliches Großreich, auf das sich Putin auch in seinem Interview mit Tucker Carlson bezog.
Die 2. E Mail vom 26. Dezember 2023 ist ungleich düsterer: Nach den Neujahrsgrüßen folgt der Rat, sich für den Kriegsdienst untauglich zu machen, indem man sich Gliedmaßen amputiert: ein paar Minuten Schmerz für ein sorgenfreies Leben, so der Text.
Weitere Aktionen der Gruppe
Schon vor den beiden Psyops Wellen kam es ab Oktober bis November 2023 zu Spearphishing Angriffen auf ein ukrainisches Verteidigungsunternehmen und eine EU Agentur. Drahtzieher war dieselbe Hackergruppe. Mit gefälschten E Mails vom IT Support versuchten die Hacker, an Login Daten für #Microsoft #Office 365 von hochrangigen Mitarbeitern zu gelangen.
Nach der Psyops beziehungsweise Phishing Kampagne verschickte die dafür genutzte IT Infrastruktur im Januar dieses Jahres noch »klassische« #Spam Nachrichten: Mit diesen E Mails erreichte die Hackergruppe zahllose Menschen weltweit und vertrieb ein verschreibungspflichtiges Potenzmittel im Namen einer Apotheke aus Kanada. Hierbei handelt es sich um eine typische hochlukrative Masche, wie sie seit über zehn Jahren von russischen Hackern genutzt wird. Mit dieser Aktion wollten die Cyberkriminellen das letzte bisschen Profit aus der mittlerweile aufgedeckten IT Infrastruktur herauspressen.
Weitere technische Informationen über die Operation Texonto gibt es im #Blogpost »Operation Texonto: Desinformationskampagne gegen Ukrainer«, mehr …