Spam e-postalar bu sefer savaş silahı olarak kullanıldı

Dijital güvenlik şirketi ESET, ana dağıtım usulü olarak spam e-postaları kullanan bir dezenformasyon -psikolojik operasyon (PSYOPs) kampanyası olan Texonto Operasyonu’nu ortaya çıkardı. Rusya’ya bağlı tehdit aktörleri, iki dalga halinde gönderilen bildirilerle Ukrayna vatandaşlarını etkilemeye ve onları Rusya’nın savaşı kazandığına inandırmaya çalıştı. Birinci dalga Kasım 2023’te, ikincisi ise Aralık 2023’ün sonunda gerçekleşti. 

E-postaların içeriği, Rus propagandasının bilindik temaları olan doğalgaz kesintileri, ilaç ve besin kıtlığı ile ilgiliydi. ESET ayrıyeten Ekim 2023’te Ukraynalı savunma şirketini gaye alan bir kimlik avı kampanyası ve Kasım 2023’te standart görünümlü düzmece Microsoft oturum açma sayfaları kullanan AB ajansını maksat alan bir kampanya tespit etti. Her ikisinin de gayesi Microsoft Office 365 hesaplarının kimlik bilgilerini çalmaktı. ESET araştırması PSYOP’larda ve oltalama operasyonlarında kullanılan ağ altyapısındaki benzerlikler nedeniyle yüksek olasılıkla bunların kontaklı olduğu üzerinde duruyor.

ESET araştırmacısı Matthieu Faou şu açıklamada bulundu:“Ukrayna’daki savaşın başlamasından bu yana, Sandworm üzere Rusya’ya bağlı kümeler, siliciler kullanarak Ukrayna’nın BT altyapısını bozmakla meşguldü. Son aylarda, bilhassa berbat şöhretli Gamaredon kümesi tarafından gerçekleştirilen siber casusluk operasyonlarında bir artış gözlemledik. Texonto Operasyonu, savaşı etkilemeye yönelik teknolojilerin bir diğer kullanımını gösteriyor. Casusluk, bilgi operasyonları ve uydurma ilaç bildirilerinin garip karışımı bize yalnızca, birtakım üyeleri Aralık 2023’te ABD Adalet Bakanlığı tarafından bir iddianameye mevzu olan, Rusya’ya bağlı tanınmış bir siber casusluk kümesi olan Callisto’yu hatırlatabilir. Callisto, yaygın bulut sağlayıcılarını taklit etmek üzere tasarlanmış spearphishing web siteleri aracılığıyla hükümet yetkililerini, niyet kuruluşlarındaki işçisi ve orduyla ilgili kuruluşları gaye almaktadır. Küme ayrıyeten 2019 Birleşik Krallık genel seçimlerinin çabucak öncesinde bir doküman sızıntısı üzere dezenformasyon operasyonları yürütmüştür. Son olarak, eski ağ altyapısını kullanarak uydurma ilaç alan isimleri oluşturuyor. 

Texonto Operasyonu ile Callisto operasyonları ortasında birkaç üst seviye benzerlik noktası olsa da rastgele bir teknik örtüşme bulamadık ve şu anda Texonto Operasyonu’nu muhakkak bir tehdit aktörüne atfetmiyoruz. Bununla birlikte, TTP’ler, hedefleme ve bildirilerin yayılması göz önüne alındığında, operasyonu yüksek inançla Rusya ile uyumlu bir kümeye atfediyoruz.”

Saldırganlar tarafından işletilen ve PSYOPs e-postalarını göndermek için kullanılan bir e-posta sunucusu, iki hafta sonra tipik Kanada eczane spam’lerini göndermek için yine kullanıldı. Bu yasadışı iş kategorisi Rus siber kabahat topluluğu içinde uzun müddettir çok tanınan. Yapılan birkaç incelemede, Texonto Operasyonu’nun bir kesimi olan ve mahpus cezasını çekmekteyken 16 Şubat 2024 tarihinde ölen  tanınmış Rus muhalefet başkanı Alexei Navalny üzere Rusya’nın iç mevzularıyla ilgili alan isimleri da ortaya çıktı. Bu da Texonto Operasyonu’nun muhtemelen Rus muhalifleri maksat alan spearphishing ya da bilgi operasyonlarını içerdiği manasına geliyor.

İlk dalga dezenformasyon e-postalarının gayesi Ukraynalıların zihinlerine kuşku tohumları ekmekti; örneğin bir e-postada “Bu kış doğalgaz kesintileri olabilir” deniyor. Sıhhat Bakanlığı’ndan geldiği sav edilen başka e-postalarda ise ilaç düşüncesinden bahsediliyor. Bu dalgada rastgele bir makus niyetli temas yahut makûs gayeli yazılım yok üzere görünüyor, yalnızca dezenformasyon var. Ukrayna Tarım Siyaseti ve Besin Bakanlığı üzere görünen bir alan ismi, mevcut olmayan ilaçların şifalı bitkilerle değiştirilmesini tavsiye ediyor. Bakanlıktan “gelen” bir diğer e-postada ise canlı bir güvercin ve pişmiş bir güvercin fotoğrafıyla “güvercin risotto” yenmesi öneriliyor. Bu evraklar, okuyucuları kızdırmak ve morallerini bozmak maksadıyla kasıtlı olarak oluşturulmuştur. Genel olarak, bu uydurma bildiriler yaygın Rus propaganda temalarıyla uyumludur. Ukrayna halkını Rusya-Ukrayna savaşı nedeniyle ilaç, besin ve ısınma imkanlarının olmayacağına inandırmaya çalışıyorlar.

İlk dalgadan yaklaşık bir ay sonra ESET, yalnızca Ukraynalıları değil, öbür Avrupa ülkelerindeki insanları da gaye alan ikinci bir PSYOPs e-posta kampanyası tespit etti. Gayeler, Ukrayna hükümetinden bir İtalyan ayakkabı üreticisine kadar uzanan rastgele bir yelpazede yer alıyor. ESET telemetrisine nazaran, bu dalgada birkaç yüz kişi e-posta aldı. İkinci dalga daha karanlık bildiriler içeriyor ve saldırganlar insanlara askeri konuşlanmadan kaçınmak için bir bacak ya da kollarını kesmelerini öneriyor. Genel olarak, savaş vaktindeki PSYOP’ların tüm özelliklerine sahip.

ESET eserleri ve araştırmaları uzun yıllardır Ukrayna BT altyapısını koruyor. Şubat 2022’de Rus işgalinin başlamasından bu yana ESET Araştırma, Rusya’ya bağlı kümeler tarafından başlatılan değerli sayıda saldırıyı önledi ve araştırdı.

Kaynak: (BYZHA) Beyaz Haber Ajansı