A Kiberháború új dimenziói: Az Operáció Texonto elemzése

Az ESET biztonsági elemzőinek csapata felfedezett egy rendkívül összetett és újító kibertámadási hálózatot, amelyet „Operáció Texonto” néven ismerünk. Ez a fejlett támadási taktika dupla fenyegetést jelent: egyrészt dezinformációs hadjáratok révén terjeszt pszichológiai hadviselést az ukrán lakosság és vállalkozások körében, hamis információkat használva a közvélemény befolyásolására a konfliktussal kapcsolatban. Másrészt, adathalász módszerekkel is operál, tovább növelve a biztonsági kockázatokat. Az Operáció Texonto által létrehozott pszichológiai és dezinformációs tevékenységek jelentős kihívást jelentenek a kiberbiztonsági szakértők számára, mivel a védekezés nem csupán technikai intézkedéseket, hanem a közösség felvilágosítását és tudatosságának javítását is magában foglalja.

A dezinformációs és adathalászati hadjáratok dualitása

Az ESET szakértői által feltárt ‘Operáció Texonto’ kampány 2023 novemberében és decemberében két hullámban hajtott végre pszichooperatív üzenetküldéseket. Ezek az üzenetek a jellemző orosz propaganda narratíváit követték, olyan problémákat taglalva, mint a gyógyszerhiányok, az élelmezési nehézségek és az ukránok fűtésellátásának zavarai. A dezinformáció fő célja egyértelműen az volt, hogy megkérdőjelezzék Oroszország háborús előnyeit az ukrán nép szemében.

A kampány egy másik szegmense spam e-maileken keresztül terjedt háborús téves információkat, és egy adathalászati hadjárat is megfigyelhető volt októberben, amely kifejezetten az ukrán intézményeket és az EU-s ügynökségeket célozta meg, a Microsoft Office 365 fiókok belépési adatainak megszerzésére törekedve.

Az Operáció Texonto Orosz kötelékei

Az ESET általi kutatás során az Operáció Texonto tevékenységeit „magas szintű biztonsággal” egy Oroszországgal kapcsolatban álló csoportnak tulajdonítják, ami összhangban áll korábbi hasonló módszerekkel operáló csoportokkal. A technikai egyezések hiányában azonban az ESET nem tudja egyértelműen egy specifikus fenyegető szereplőhöz kötni a Texonto működését.

A Callisto csoport és a dezinformációs műveletek kapcsolata

Matthieu Faou, az ESET kutatója kiemeli, hogy a kiberkémkedési műveletekben az utóbbi időben tapasztalt növekedés szembetűnő. A Callisto csoport, amely egy ismerten Oroszországhoz köthető kiberkémkedési szervezet, korábban az Amerikai Egyesült Államok Igazságügyi Minisztériumának vádemelési dokumentumaiban is szerepelt, hasonló típusú akciókat végezve.

A dezinformációs üzenetek és a Spam Hadjáratok Közötti Kapcsolat

A kezdeti üzenetsor nem tartalmazott kártékony szoftvert vagy rosszindulatú hivatkozásokat, azonban egy e-mail javasolta a hiányzó gyógyszerek gyógynövényekkel való helyettesítését, míg egy másik a galamb risotto fogyasztását ajánlotta. A második üzenetsor már komorabb tanácsokat adott, többek között amputációkat javasolva a katonai szolgálat elkerülése végett.

A Meta elemzése az Orosz befolyásolási műveletekről

A META legfrissebb jelentése alapján az orosz befolyásolási műveletek hatékonyan csökkentették a hivatalos média által megosztott bejegyzések mennyiségét és az elköteleződési szinteket. A jelentés hangsúlyozza, hogy a nyilvánvalóan hamis, rövid életű profiok elleni harc tovább folytatódik, és 2024-ben is számítani kell a tömeges spam hadjáratok folytatódására.

Az Operáció Texonto esete rámutat a kibertámadások és pszichooperációs hadjáratok összetett és változatos világára, amelyek globális szinten egyre nagyobb kihívást jelentenek a nemzetbiztonsági szervezetek és kiberbiztonsági szakértők számára.

Forrás: www.forbes.com

Tanácsok digitális csalások elhárítására vonatkozó cikkek gyakran ajánlják a kétlépcsős hitelesítést és a bonyolult jelszavak használatát. Mégis, ezek a megoldások sem garantálják a teljes védelmet a néha ravasz módszerekkel operáló hackerekkel szemben. Egy kis figyelmetlenség elegendő lehet problémákhoz. Ezt támasztja alá egy magyar marketingügynökség egyik dolgozójának kellemetlen tapasztalata. Az érintett személy szoros kapcsolatban állt a G Data nevű, ismert kiberbiztonsági vállalattal. Amikor a baj bekövetkezett, azonnal értesítette őket. A vállalat részletesen kivizsgálta az esetet, és egyik szakértője angolul ismertette az elemzést a G Data honlapján, amely így részletesen dokumentálta az esetet, és rávilágított a Facebook biztonsági hiányosságaira is.

Az átverés

A közösségi média, különösen a Facebook, már régóta kulcsszerepet tölt be a reklámszakmában. A marketingügynökségek rendszeresen használják ezeket a platformokat, gyakran összekapcsolva a hirdetéseiket vállalati bankkártyákkal. Így nem meglepő, hogy adathalászok éppen ezeket a cégeket célozzák meg, ügyfeleknek álcázva magukat.

Nyáron a csalók egy magyar ügynökséget is célba vettek, több létező ruhamárka nevében jelentkezve. Kommunikációs kampányhoz keresnek partnerként egy valódi ügynökséget, és információs anyagokat küldtek, részben e-mailben, részben az ügynökség online felületén keresztül. A gyanús jel az volt, hogy a céges domain nem szerepelt a levelezésben. Például az „O My Bag” nevű holland táskagyártó nevében érkező megkeresés nem a cég hivatalos címéről, hanem egy Gmail-es fiókról jött, és az anyagokat a OneDrive-ra töltötték fel. Mivel ezek ismert és gyakran használt szolgáltatások, az ügynökségi munkatárs nem gyanakodott.

A gyanút kiváltó jelenségek ellenére a csalók hitelesnek tűnő levelet küldtek, és a OneDrive-ra feltöltött, Zip formátumú fájlok pontosan azt tartalmazták, amit egy potenciális ügyfél küldene egy ügynökségnek. A legtöbb víruskereső program a .zip fájlok kicsomagolásakor figyeli a kártékony szoftverek jelenlétét, azonban a jelszóval védett állományok esetében ezek a programok hatástalanok. A csalók pont ilyen fájlt küldtek, amely 11-ből 10 ártalmatlan médiafájlt és egy .scr kiterjesztésű malware-t tartalmazott. Az ügynökségi munkatárs rákattintott a fájlra, amelynek látszólag semmi hatása nem volt, ám a háttérben a kártevő már aktiválódott.

A betörés

A malware első lépése egy indítófájl létrehozása volt a Windows rendszerben, hogy minden rendszerindításkor aktiválódjon. A kártevő a böngészőben tárolt session tokenekre összpontosított, amelyek lehetővé tették számára a Facebookra és más közösségi oldalakhoz való hozzáférést. Ezenkívül az ügynökségi dolgozó minden böngészőműveletét megfigyelte, beleértve a Facebookra való bejelentkezést is.

Amint a csalók hozzájutottak a munkatárs Facebook-fiókjának adataihoz, megszerezték a hirdetéskezelési felület hozzáférési jogosultságait is. A legtöbb marketingügynökségnél, ahogy ebben az esetben is, a Facebook-fiókhoz társított bankkártyák adatai és egyéb érzékeny információk is hozzáférhetővé váltak. Az adathalászok így saját, illegális hirdetéseket indíthattak a magyar ügynökség fiókjából, anélkül, hogy az ügynökség vagy a Facebook észrevette volna. Ez több ezer eurós kárt okozott, mivel a Facebook automatikusan felszámította az ügynökséghez társított bankkártya költségeit.

A megoldás

A G Data szakértője szerint a legfontosabb óvintézkedés az alapos figyelem és a kritikus gondolkodás. A kétlépcsős hitelesítés valóban segíthet a bejelentkezési adatok illegális felhasználásának megakadályozásában, de ha a felhasználó már egy malware által fertőzött gépet használ, akkor ez sem jelent teljes biztonságot. A jelszavas fájlok kicsomagolásánál mindig legyünk óvatosak, különösen, ha nem ismerjük azok eredetét. A legjobb védekezés a gyanús e-mailek és fájlok azonnali törlése, valamint egy megbízható víruskereső program használata.

A következmények

A magyar marketingügynökség esete nem egyedi. Az internetes csalások száma világszerte növekszik, különösen a távmunka és a digitális kommunikáció terjedése miatt. A vállalatok és az egyének egyaránt célpontok lehetnek. A legjobb védelem a folyamatos tájékozódás, az óvatosság és a modern kiberbiztonsági megoldások alkalmazása. Minden internetezőnek tudatában kell lennie annak, hogy a digitális világban semmi sem biztonságos, és mindig ébernek kell lennie az új fenyegetésekkel szemben.

Forrás: www.telex.hu

Adattörlés

Címke: adathalászat

Operáció Texonto: A kiberfenyegetések új generációja