Rusya’ya bağlı tehdit aktörleri, iki dalga halinde gönderilen SPAM mesajlarla Ukrayna vatandaşlarını etkilemeye ve onları Rusya’nın savaşı kazandığına inandırmaya çalıştı. İlk dalga Kasım 2023’te, ikincisi ise Aralık 2023’ün sonunda gerçekleşti.
SPAM E-postaların içeriği, Rus propagandasının bilindik temaları olan doğalgaz kesintileri, ilaç ve gıda kıtlığı ile ilgiliydi.
Ekim 2023’te Ukraynalı savunma şirketini hedef alan bir kimlik avı kampanyası ve Kasım 2023’te standart görünümlü sahte Microsoft oturum açma sayfaları kullanan AB ajansını hedef alan bir kampanya tespit edilmişti.
Her ikisinin de amacı Microsoft Office 365 hesaplarının kimlik bilgilerini çalmaktı. Güvenlik araştırması PSYOP’larda ve oltalama operasyonlarında kullanılan ağ altyapısındaki benzerlikler nedeniyle yüksek olasılıkla bunların bağlantılı olduğu üzerinde duruyor.
Ukrayna’daki savaşın başlamasından bu yana, Sandworm gibi Rusya’ya bağlı gruplar, siliciler kullanarak Ukrayna’nın BT altyapısını bozmakla meşguldü. Son aylarda, özellikle kötü şöhretli Gamaredon grubu tarafından gerçekleştirilen siber casusluk operasyonlarında bir artış gözlemlendi.
Texonto Operasyonu, savaşı etkilemeye yönelik teknolojilerin bir başka kullanımını gösteriyor. Casusluk, bilgi operasyonları ve sahte ilaç mesajlarının garip karışımı bize sadece, bazı üyeleri Aralık 2023’te ABD Adalet Bakanlığı tarafından bir iddianameye konu olan, Rusya’ya bağlı tanınmış bir siber casusluk grubu olan Callisto’yu hatırlatabilir.
Callisto, yaygın bulut sağlayıcılarını taklit etmek üzere tasarlanmış spearphishing web siteleri aracılığıyla hükümet yetkililerini, düşünce kuruluşlarındaki personeli ve orduyla ilgili kuruluşları hedef almaktadır. Grup ayrıca 2019 Birleşik Krallık genel seçimlerinin hemen öncesinde bir belge sızıntısı gibi dezenformasyon operasyonları yürütmüştür. Son olarak, eski ağ altyapısını kullanarak sahte ilaç alan adları oluşturuyor.
Saldırganlar tarafından işletilen ve PSYOPs SPAM e-postalarını göndermek için kullanılan bir e-posta sunucusu, iki hafta sonra tipik Kanada eczane spam’lerini göndermek için yeniden kullanıldı.
Bu yasadışı iş kategorisi Rus siber suç topluluğu içinde uzun süredir çok popüler. Yapılan birkaç incelemede, Texonto Operasyonu’nun bir parçası olan ve hapis cezasını çekmekteyken 16 Şubat 2024 tarihinde ölen tanınmış Rus muhalefet lideri Alexei Navalny gibi Rusya’nın iç konularıyla ilgili alan adları da ortaya çıktı.
Bu da Texonto Operasyonu’nun muhtemelen Rus muhalifleri hedef alan spearphishing ya da bilgi operasyonlarını içerdiği anlamına geliyor.
İlk dalga dezenformasyon SPAM e-postalarının amacı Ukraynalıların zihinlerine şüphe tohumları ekmekti; örneğin bir e-postada “Bu kış doğalgaz kesintileri olabilir” deniyor.
Sağlık Bakanlığı’ndan geldiği iddia edilen diğer e-postalarda ise ilaç sıkıntısından bahsediliyor. Bu dalgada herhangi bir kötü niyetli bağlantı veya kötü amaçlı yazılım yok gibi görünüyor, sadece dezenformasyon var.
Ukrayna Tarım Politikası ve Gıda Bakanlığı gibi görünen bir alan adı, mevcut olmayan ilaçların şifalı bitkilerle değiştirilmesini tavsiye ediyor. Bakanlıktan “gelen” bir başka SPAM e-postada ise canlı bir güvercin ve pişmiş bir güvercin fotoğrafıyla “güvercin risotto” yenmesi öneriliyor.
Bu belgeler, okuyucuları kızdırmak ve morallerini bozmak amacıyla kasıtlı olarak oluşturulmuştur. Genel olarak, bu sahte mesajlar yaygın Rus propaganda temalarıyla uyumludur. Ukrayna halkını Rusya-Ukrayna savaşı nedeniyle ilaç, gıda ve ısınma imkanlarının olmayacağına inandırmaya çalışıyorlar.
İlk dalgadan yaklaşık bir ay sonra, sadece Ukraynalıları değil, diğer Avrupa ülkelerindeki insanları da hedef alan ikinci bir PSYOPs e-posta kampanyası tespit edildi. Hedefler, Ukrayna hükümetinden bir İtalyan ayakkabı üreticisine kadar uzanan rastgele bir yelpazede yer alıyor.
İkinci dalga daha karanlık mesajlar içeriyor ve saldırganlar insanlara askeri konuşlanmadan kaçınmak için bir bacak ya da kollarını kesmelerini öneriyor. Genel olarak, savaş zamanındaki PSYOP’ların tüm özelliklerine sahip.
Huawei FreeBuds Pro 3 inceleme