ESET décortique l’opération de désinformation Texonto qui cible des Ukrainiens

0
  • Un acteur malveillant aligné sur la Russie a diffusé de fausses informations liées à la guerre à des ressortissants ukrainiens par le biais de spams.
  • Une campagne d’hameçonnage ciblée (spearphishing) visait une entreprise de défense ukrainienne et une agence de l’UE.
  • En raison des similitudes des infrastructure réseau utilisée dans ces PSYOPs (opérations de manipulation psychologique) et ces opérations d’hameçonnage, les résultats des recherche d’ESET permettent d’affirmer qu’elles sont liées.
  • L’opération Texonto ressemble vaguement aux activités du groupe Callisto APT aligné sur les intérêts de la Russie. Cependant, ESET Research ne dispose pas suffisamment de preuves pour attribuer les opérations à un groupe spécifique.
  • Lors de la première vague d’e-mails de désinformation en novembre 2023, un groupe aligné sur les intérêts de la Russie a tenté de semer le doute dans l’esprit des Ukrainiens, en essayant de les convaincre que la Russie était en train de gagner la guerre. La deuxième vague en décembre 2023, était encore plus morbide.

Tunisie-Tribune (ESET) – ESET Research a récemment découvert l’opération Texonto, une campagne psychologique à visée de désinformation (PSYOPs) utilisant les spams comme principale méthode de distribution. Par le biais de messages envoyés en deux vagues, les acteurs alignés sur les intérêts de la Russie ont tenté d’influencer les citoyens ukrainiens et de leur faire croire que la Russie était en train de gagner la guerre.

La première vague a eu lieu en novembre 2023 et la seconde fin décembre 2023. Le contenu des courriels portait sur les interruptions de chauffage, les pénuries de médicaments et les pénuries alimentaires, qui sont des thèmes typiques de la propagande russe. De plus, en octobre 2023, ESET a détecté une campagne de spearphishing ciblant une entreprise de défense ukrainienne.

Une autre ciblait en novembre 2023 une agence de l’UE sur la base de fausses pages de connexion Microsoft. L’objectif de ces campagnes était de voler les informations d’identification des comptes Microsoft Office 365. En raison des similitudes dans l’infrastructure réseau utilisée dans ces PSYOPs et ces opérations d’hameçonnage, les résultats de la recherche d’ESET permettent d’affirmer avec une grande confiance qu’elles sont liées.

« Depuis le début de la guerre en Ukraine, des groupes alignés avec la Russie, tels que Sandworm, s’emploient à perturber l’infrastructure informatique ukrainienne à l’aide wipers (logiciels d’effacement de données). Ces derniers mois, nous avons observé une recrudescence des opérations de cyber espionnage, notamment de la part du tristement célèbre groupe Gamaredon. L’opération Texonto montre une nouvelle utilisation des technologies pour tenter d’influencer la guerre », explique Matthieu Faou, chercheur chez ESET, qui a découvert l’opération Texonto.

« L’étrange mélange d’espionnage, d’opérations d’information et de faux messages pharmaceutiques ne peut que nous rappeler Callisto, un groupe de cyber espionnage bien connu aligné sur la Russie, dont certains membres ont fait l’objet d’une inculpation par le ministère américain de la Justice en décembre 2023. Callisto cible les responsables gouvernementaux, le personnel des groupes de réflexion et les organisations liées à l’armée via des sites Web de spearphishing conçus pour imiter les fournisseurs de cloud connus. « Bien qu’il existe plusieurs similitudes entre les opérations Texonto et Callisto, nous n’avons trouvé aucun chevauchement technique, et nous n’attribuons actuellement pas l’opération Texonto à un acteur malveillant spécifique. Cependant, compte tenu des TTP, du ciblage et de la diffusion des messages, nous attribuons l’opération avec un degré de confiance élevé à un groupe aligné avec les intérêts de la Russie. »

Un serveur de messagerie, exploité par les attaquants et utilisé pour envoyer les courriels des PSYOPs, a été réutilisé deux semaines plus tard pour envoyer des courriels typiques des pharmacies canadiennes. Cette pratique est très populaire au sein de la communauté cybercriminelle russe depuis un certain temps. Quelques autres pivots ont également révélé des noms de domaine qui font partie de l’opération Texonto et qui sont liés à des sujets internes à la Russie, tels qu’Alexeï Navalny, le célèbre leader de l’opposition russe, qui était en prison et est décédé le 16 février 2024. Cela signifie que l’opération Texonto comprend probablement des opérations de spearphishing ou d’information ciblant des dissidents russes et les partisans du défunt leader de l’opposition.

L’objectif de la première vague d’e-mails de désinformation était de semer le doute dans l’esprit des Ukrainiens. Par exemple, un courriel dit : « Il pourrait y avoir des interruptions de chauffage cet hiver. » D’autres, prétendument du ministère de la Santé, parlent de pénuries de médicaments. Il ne semble pas qu’il y ait eu de liens malveillants ou de logiciels malveillants dans cette vague spécifique, seulement de la désinformation. Un domaine se faisant passer pour le ministère de la Politique agricole et de l’Alimentation de l’Ukraine a recommandé de remplacer les médicaments indisponibles par des herbes. Dans un autre courriel de ce faux ministère, ils suggèrent de manger du « risotto au pigeon ».

Environ un mois après la première vague, ESET a détecté une deuxième campagne d’e-mails PSYOPs ciblant non seulement les Ukrainiens, mais aussi les habitants d’autres pays européens.

Les cibles sont quelque peu aléatoires, allant du gouvernement ukrainien à un fabricant de chaussures italien. Selon la télémétrie d’ESET, quelques centaines de personnes ont reçu des e-mails au cours de cette vague. Le message de la deuxième vague a été encore plus morbide, les attaquants suggérant aux gens d’amputer une jambe ou un bras pour éviter un déploiement militaire. Dans l’ensemble, il présente toutes les caractéristiques des PSYOPs en temps de guerre.

Les produits et la recherche ESET protègent l’infrastructure informatique ukrainienne depuis de nombreuses années. Et depuis le début de l’invasion russe en février 2022, ESET Research a empêché et enquêté sur un nombre important d’attaques lancées par des groupes alignés sur la Russie.