Spam e-postalar bu sefer savaş silahı olarak kullanıldı
Dijital güvenlik şirketi ESET, ana dağıtım metodu olarak spam e-postaları kullanan bir dezenformasyon -psikolojik operasyon (PSYOPs) kampanyası olan Texonto Operasyonu’nu ortaya çıkardı. Rusya’ya bağlı tehdit aktörleri, iki dalga halinde gönderilen iletilerle Ukrayna vatandaşlarını etkilemeye ve onları Rusya’nın savaşı kazandığına inandırmaya çalıştı. Birinci dalga Kasım 2023’te, ikincisi ise Aralık 2023’ün sonunda gerçekleşti.
Dijital güvenlik şirketi ESET, ana dağıtım formülü olarak spam e-postaları kullanan bir dezenformasyon -psikolojik operasyon (PSYOPs) kampanyası olan Texonto Operasyonu’nu ortaya çıkardı. Rusya’ya bağlı tehdit aktörleri, iki dalga halinde gönderilen bildirilerle Ukrayna vatandaşlarını etkilemeye ve onları Rusya’nın savaşı kazandığına inandırmaya çalıştı. Birinci dalga Kasım 2023’te, ikincisi ise Aralık 2023’ün sonunda gerçekleşti.
E-postaların içeriği, Rus propagandasının bilindik temaları olan doğalgaz kesintileri, ilaç ve besin kıtlığı ile ilgiliydi. ESET ayrıyeten Ekim 2023’te Ukraynalı savunma şirketini amaç alan bir kimlik avı kampanyası ve Kasım 2023’te standart görünümlü düzmece Microsoft oturum açma sayfaları kullanan AB ajansını gaye alan bir kampanya tespit etti. Her ikisinin de maksadı Microsoft Office 365 hesaplarının kimlik bilgilerini çalmaktı. ESET araştırması PSYOP’larda ve oltalama operasyonlarında kullanılan ağ altyapısındaki benzerlikler nedeniyle yüksek olasılıkla bunların ilişkili olduğu üzerinde duruyor.
ESET araştırmacısı Matthieu Faou şu açıklamada bulundu:“Ukrayna’daki savaşın başlamasından bu yana, Sandworm üzere Rusya’ya bağlı kümeler, siliciler kullanarak Ukrayna’nın BT altyapısını bozmakla meşguldü. Son aylarda, bilhassa makûs şöhretli Gamaredon kümesi tarafından gerçekleştirilen siber casusluk operasyonlarında bir artış gözlemledik. Texonto Operasyonu, savaşı etkilemeye yönelik teknolojilerin bir diğer kullanımını gösteriyor. Casusluk, bilgi operasyonları ve geçersiz ilaç iletilerinin garip karışımı bize yalnızca, kimi üyeleri Aralık 2023’te ABD Adalet Bakanlığı tarafından bir iddianameye husus olan, Rusya’ya bağlı tanınmış bir siber casusluk kümesi olan Callisto’yu hatırlatabilir. Callisto, yaygın bulut sağlayıcılarını taklit etmek üzere tasarlanmış spearphishing web siteleri aracılığıyla hükümet yetkililerini, niyet kuruluşlarındaki işçisi ve orduyla ilgili kuruluşları amaç almaktadır. Küme ayrıyeten 2019 Birleşik Krallık genel seçimlerinin çabucak öncesinde bir evrak sızıntısı üzere dezenformasyon operasyonları yürütmüştür. Son olarak, eski ağ altyapısını kullanarak geçersiz ilaç alan isimleri oluşturuyor.
Texonto Operasyonu ile Callisto operasyonları ortasında birkaç üst seviye benzerlik noktası olsa da rastgele bir teknik örtüşme bulamadık ve şu anda Texonto Operasyonu’nu muhakkak bir tehdit aktörüne atfetmiyoruz. Bununla birlikte, TTP’ler, hedefleme ve iletilerin yayılması göz önüne alındığında, operasyonu yüksek itimatla Rusya ile uyumlu bir kümeye atfediyoruz.”
Saldırganlar tarafından işletilen ve PSYOPs e-postalarını göndermek için kullanılan bir e-posta sunucusu, iki hafta sonra tipik Kanada eczane spam’lerini göndermek için tekrar kullanıldı. Bu yasadışı iş kategorisi Rus siber cürüm topluluğu içinde uzun müddettir çok tanınan. Yapılan birkaç incelemede, Texonto Operasyonu’nun bir kesimi olan ve mahpus cezasını çekmekteyken 16 Şubat 2024 tarihinde ölen tanınmış Rus muhalefet başkanı Alexei Navalny üzere Rusya’nın iç bahisleriyle ilgili alan isimleri da ortaya çıktı. Bu da Texonto Operasyonu’nun muhtemelen Rus muhalifleri maksat alan spearphishing ya da bilgi operasyonlarını içerdiği manasına geliyor.
İlk dalga dezenformasyon e-postalarının gayesi Ukraynalıların zihinlerine kuşku tohumları ekmekti; örneğin bir e-postada “Bu kış doğalgaz kesintileri olabilir” deniyor. Sıhhat Bakanlığı’ndan geldiği argüman edilen başka e-postalarda ise ilaç meşakkatinden bahsediliyor. Bu dalgada rastgele bir makûs niyetli temas yahut berbat gayeli yazılım yok üzere görünüyor, yalnızca dezenformasyon var. Ukrayna Tarım Siyaseti ve Besin Bakanlığı üzere görünen bir alan ismi, mevcut olmayan ilaçların şifalı bitkilerle değiştirilmesini tavsiye ediyor. Bakanlıktan “gelen” bir öteki e-postada ise canlı bir güvercin ve pişmiş bir güvercin fotoğrafıyla “güvercin risotto” yenmesi öneriliyor. Bu dokümanlar, okuyucuları kızdırmak ve morallerini bozmak maksadıyla kasıtlı olarak oluşturulmuştur. Genel olarak, bu uydurma bildiriler yaygın Rus propaganda temalarıyla uyumludur. Ukrayna halkını Rusya-Ukrayna savaşı nedeniyle ilaç, besin ve ısınma imkanlarının olmayacağına inandırmaya çalışıyorlar.
İlk dalgadan yaklaşık bir ay sonra ESET, yalnızca Ukraynalıları değil, öbür Avrupa ülkelerindeki insanları da gaye alan ikinci bir PSYOPs e-posta kampanyası tespit etti. Maksatlar, Ukrayna hükümetinden bir İtalyan ayakkabı üreticisine kadar uzanan rastgele bir yelpazede yer alıyor. ESET telemetrisine nazaran, bu dalgada birkaç yüz kişi e-posta aldı. İkinci dalga daha karanlık bildiriler içeriyor ve saldırganlar insanlara askeri konuşlanmadan kaçınmak için bir bacak ya da kollarını kesmelerini öneriyor. Genel olarak, savaş vaktindeki PSYOP’ların tüm özelliklerine sahip.
ESET eserleri ve araştırmaları uzun yıllardır Ukrayna BT altyapısını koruyor. Şubat 2022’de Rus işgalinin başlamasından bu yana ESET Araştırma, Rusya’ya bağlı kümeler tarafından başlatılan kıymetli sayıda saldırıyı önledi ve araştırdı.
Kaynak: (BYZHA) Beyaz Haber Ajansı