Článek
První vlnu útoků zachytili experti z Esetu v listopadu 2023, druhá vlna se poté uskutečnila na konci prosince 2023. Během dvou vln rozesílání těchto e-mailů se útočníci navázaní na Rusko pokusili ovlivnit ukrajinské obyvatele tvrzeními, která měla vést k domnění, že Rusko vyhrává válku na Ukrajině.
„Obsahem e-mailů byly zprávy o přerušení dodávek tepla, nedostatku léků a jídla, což jsou témata typicky využívaná ruskou propagandou,“ podotkl Robert Šuman, vedoucí pražské výzkumné pobočky Esetu.
V říjnu 2023 podle něj bezpečnostní experti objevili také spearphishingovou kampaň zacílenou na ukrajinskou obrannou společnost a v listopadu poté na agenturu Evropské unie, při které útočníci využili napodobeninu přihlašovací stránky ke službě Microsoft Office 365.
Kyberkriminalita citelně narůstá, bije na poplach policie
Spearphishing v hlavní roli
Spearphishing je velmi podobný klasickému phishingu. Hlavní rozdíl je v tom, že útočníci nevyžádané e-maily nerozesílají náhodně, ale cílí je na konkrétní osoby či firmy, aby byly jejich útoky co nejefektivnější.
„Cílem útočníků bylo v tomto případě odcizit účty k této službě,“ podotkl bezpečnostní expert s tím, že na základě podobností v síťové infrastruktuře, které se objevily během těchto dezinformačních a phishingových kampaní, jsou spolu patrně jednotlivé útoky propojeny.
Operace Texonto ukazuje další rozměr využití kyberprostoru v probíhající válce na Ukrajině.
Dezinformační kampaň je dalším rozměrem války, která zuří i v kyberprostoru. „Od začátku války na Ukrajině se útočné skupiny napojené na Rusko, jako například skupina Sandworm, zaměřily na zničení ukrajinské IT infrastruktury za použití wiperů,“ uvedl Šuman.
„Wipery jsou škodlivé kódy určené nikoliv k dosažení finančního zisku, což je v dnešní době hlavním motivem kyberkriminality, ale jsou přímým nástrojem k destrukci. V posledních několika měsících jsme byli zase svědky nárůstu kyberšpionážních operací pod vedením neblaze proslulé útočné skupiny Gamaredon. Operace Texonto pak ukazuje další rozměr využití kyberprostoru ve válce,“ podotkl Šuman.
Bezpečnostní experti nicméně upozornili, že dezinformační kampaň nebyla zacílena na cíle v České republice. „Tento typ přímých operací, jako je Texonto, v současnosti neevidujeme v Česku. Spíše zde vidíme dezinformační kampaně prostřednictvím třetích osob, dezinformačních webů nebo šíření nepravdivých informací na sociálních sítích,“ vysvětlil Šuman.
„Větší spamovou kampaň ovšem nelze do budoucna vyloučit ani v případě České republiky, zvlášť pokud by se útočným skupinám naskytlo správné téma, kterým obecně bývají například volby,“ varoval bezpečnostní expert.
Stopy vedou do Ruska
Celá dezinformační kampaň má podobné znaky jako dřívější útoky kyberšpionážní skupiny Callisto, která je napojena na Rusko.
„Kombinace kybernetické špionáže, informačních operací a falešných zpráv o léčivech připomíná aktivity skupiny Callisto, známé a na Rusko napojené kyberšpionážní skupiny. Někteří její členové byli v prosinci 2023 dokonce obžalováni ministerstvem spravedlnosti USA. Oběťmi skupiny Callisto jsou vládní činitelé, zaměstnanci think tanků nebo organizací zaměřených na armádní oblast. Skupina napadá oběti prostřednictvím spearphishingových webových stránek, které jsou navrženy tak, aby napodobovaly známé poskytovatele cloudových služeb,“ prohlásil Šuman.
„Skupina Callisto je ale také podepsána pod dezinformačními kampaněmi, například únikem dokumentů těsně před britskými volbami v roce 2019, a svou starou síťovou infrastrukturu využívá k vytváření falešných domén se zdravotnickou tematikou. Nicméně i přes několik významných podobností operace Texonto s operacemi skupiny Callisto jsme zatím nenašli důkazy o využití stejných technologií, a proto operaci Texonto nemůžeme v tuto chvíli připsat žádné konkrétní útočné skupině,“ doplnil bezpečnostní expert.
Na základě získaných informací, zacílení na oběti a šíření zpráv je ale podle Esetu pravděpodobné, že útočníci jsou napojeni na Rusko.
Nejvíce DDoS útoků na české cíle pochází z Ruska. Jsou stále kvalitnější
