Texonto, opération psychologique russe en Ukraine utilisant de la désinformation liée à la guerre, selon ESET Research
Publié le 20/02/2024 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• Un acteur menaçant lié à la Russie a utilisé de la désinformation à propos de la guerre, ciblant les Ukrainiens avec du spearphishing.
• La campagne visait une entreprise de défense ukrainienne et une agence européenne.
• En raison des similitudes dans l'infrastructure réseau utilisée dans ces PSYOP et opérations de phishing, les chercheurs d'ESET peuvent affirmer avec grande certitude qu'elles sont liées.
• L'opération Texonto ressemble aux activités du groupe Callisto APT lié à la Russie. ESET Research n’a pas assez de suffisamment de preuves pour attribuer les opérations à un groupe spécifique.
• En novembre 2023, lors de la première vague de mails de désinformation, un groupe aligné sur la Russie a tenté de semer le doute et la désinformation chez les Ukrainiens, avec des messages concernant la guerre. La deuxième vague, en décembre 2023, a été bien plus sombre.

BRATISLAVA, MONTREAL — Le 21 février 2024 6.00 AM — ESET Research a découvert récemment l’Operation Texonto, une campagne de désinformation/d’opérations psychologiques (PSYOP) utilisant du spam comme principale méthode de distribution. Via des messages à propos de la guerre distribués en deux vagues d’OPSYOP, les acteurs menaçants liés à la Russie ont tenté d’influencer les Ukrainiens. La première vague date de novembre 2023 et la deuxième de fin décembre 2023. Les mails parlaient de coupures de chauffage, de pénuries de médicaments et de pénuries alimentaires, thèmes typiques de la propagande russe. De plus, en octobre 2023, ESET a détecté une campagne de spearphishing ciblant une entreprise de défense ukrainienne et, en novembre 2023, une agence européenne en utilisant de fausses pages de connexion Microsoft Office 365. Grâce aux similitudes dans l'infrastructure réseau utilisée pour ces PSYOP et les opérations de phishing, les chercheurs d'ESET affirment avec grande certitude qu'elles sont liées.

« Depuis le début de la guerre en Ukraine, des groupes pro-russes tels que Sandworm ont perturbé l’infrastructure informatique ukrainienne à l’aide de wipers (effaceurs). Plus récemment, nous avons observé une recrudescence de cyber-espionnage, notamment par Gamaredon, un groupe tristement célèbre. L’opération Texonto montre une utilisation différente de la technologie pour influencer la guerre », explique Matthieu Faou, le chercheur d’ESET, qui a découvert Texonto.

« Le curieux mélange d’espionnage, d’opérations d’information et de faux mails pharmaceutiques nous rappelle Callisto, un groupe de cyber-espionnage proche de la Russie, dont certains membres ont été inculpés par le ministère de la Justice US en décembre 2023. Callisto cible les responsables gouvernementaux, le personnel de groupes de réflexion et des organisations militaires via des sites de spearphishing imitant les fournisseurs de cloud. Le groupe a mené des opérations de désinformation - une fuite de documents - juste avant les élections britanniques de 2019. L’utilisation de son ancienne infrastructure réseau conduit à de faux domaines pharmaceutiques », poursuit Faou et il conclut : « Bien qu’il y ait plusieurs points de similitude entre les opérations Texonto et Callisto, nous n’avons trouvé aucun chevauchement technique et actuellement nous n’attribuons pas l’opération Texonto à un acteur spécifique. Compte tenu des TTP, du ciblage et de la diffusion des messages, nous attribuons avec une grande confiance l’opération à un groupe aligné sur la Russie. »

Un serveur exploité par les attaquants et utilisé pour envoyer les mails PSYOP, a été réutilisé deux semaines plus tard pour envoyer du spam typique des pharmacies canadiennes. Ce type d’activités illégales est depuis longtemps très populaire parmi la communauté cybercriminelle russe.
D’autres ponts ont également révélé des noms de domaines faisant partie de l'opération Texonto et liés à des sujets internes à la Russie, comme Alexei Navalny, le leader de l'opposition russe décédé en prison ce 16 février. L’opération Texonto comprend probablement des opérations de spearphishing ou d’informations ciblant les dissidents russes et les partisans du défunt leader de l’opposition.

Le but de la première vague de mails était de semer le doute dans l’esprit des Ukrainiens. Un e-mail indique « Il pourrait y avoir des interruptions de chauffage cet hiver». D'autres, émanent du ministère de la Santé, parleraient de pénurie de médicaments. Il ne semble pas y avoir eu de liens malveillants ou de maliciels dans cette vague spécifique, rien que de la désinformation. Un domaine se faisant passer pour le ministère de l’Agriculture et de l'Alimentation a recommandé de remplacer les médicaments indisponibles par des plantes. Un autre e-mail « du ministère » suggérait de manger un « risotto au pigeon» avec la photo d'un pigeon vivant et d'un pigeon cuit. Ces documents étaient créés dans le but de démoraliser leurs lecteurs. Ces faux messages correspondent aux thèmes courants de la propagande russe. Ils tentaient de faire croire aux Ukrainiens qu’ils n’auraient plus ni médicaments, ni nourriture, ni chauffage à cause de la guerre.

Un mois après la première vague, ESET a détecté une deuxième campagne PSYOP par mail, ciblant non seulement les Ukrainiens, mais également des personnes dans d'autres pays européens. Les cibles étaient aléatoires, allant du gouvernement ukrainien à un fabricant de chaussures en Italie. Selon la télémétrie ESET, lors de cette vague quelques centaines de personnes ont reçu des mails. Le message de la deuxième vague était plus sombre, suggérant l’amputation d’une jambe ou d’un bras pour éviter l’enrôlement militaire. Il présentait toutes les caractéristiques des PSYOP en temps de guerre.

Depuis de nombreuses années, les produits et la recherche ESET protègent l'infrastructure informatique ukrainienne. Et depuis février 2022, le début de l’invasion russe, ESET Research a prévenu et enquêté sur un vaste nombre d’attaques lancées par des groupes alignés sur la Russie.

Pour plus d’informations techniques sur l’Opération Texonto, consultez le blog “Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war” sur https://www.weliveseurity.com.

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?