Ukraińcy celem wrogiej operacji. Trwa walka psychologiczna

Specjaliści ESET odkryli kampanię informacyjno-psychologiczną wymierzoną w Ukraińców. Jak wskazali, polegała przede wszystkim na rozsyłaniu e-maili. Ich treść dotyczyła m.in. przerw w dostawach energii, braków leków i żywności, czyli typowych wątków rosyjskiej propagandy.

Maile z PDF-em w środku

Z raportu wynika, że kampania składała się z dwóch etapów. Pierwszy miał miejsce w listopadzie 2023 r. Obejmował wysyłkę dezinformujących maili do co najmniej kilkuset odbiorców w Ukrainie, w tym przedstawicieli rządu i firm z branży energetycznej.

W treści wiadomości można było przeczytać np. „Tej zimy mogą wystąpić przerwy w dostawach energii” lub „Zalecenia Ministerstwa Zdrowia na czas niedoborów leków”. Atakujący dołączali również pliki PDF, mające rzekomo pochodzić od instytucji państwowych. Nie były zainfekowane, lecz zawierały fejkowe treści (np. teorie, jak zastąpić leki roślinami).

Druga fala. Jak uniknąć mobilizacji

Drugi etap kampanii miał miejsce pod koniec grudnia ubiegłego roku. Działania były ukierunkowane w różnego rodzaju podmioty w Ukrainie i innych krajach: od członków rządu w Kijowie po producenta obuwia we Włoszech. Według ESET, maile otrzymało kilkaset osób.

W ocenie ekspertów rozsyłane wiadomości przybrały bardziej „podstawową formę” niż w listopadzie 2023 r. Zawarto w nich życzenia na Nowy Rok oraz „poradnik”, jak uniknąć mobilizacji do wojska. „Zalecamy samodzielnie odciąć jedną z czterech kończyn” – czytamy w mailu, którego treść opublikował ESET. 

Osłabić Ukrainę

Przyglądając się powyższym działaniom informacyjnym, można stwierdzić, że mają na celu wpłynięcie na Ukraińców tak, aby m.in. osłabić ich morale i podważyć zaufanie do władzy. Wywołanie wewnętrznego chaosu byłoby stanem pożądanym z perspektywy „autorów” kampanii. To może sugerować, że za wszystkim stoi aktor powiązany z Rosją. 

Kradzież danych uwierzytelniających

Poza działaniami informacyjno-psychologicznymi specjaliści ESET wykryli kampanię phishingową, wymierzoną w ukraińską firmę z sektora obronnego (październik 2023 r.) oraz jedną z agencji UE (listopad 2023 r.). „W obu przypadkach cele była kradzież danych uwierzytelniających do kont Microsoft Office 365” – czytamy w raporcie. 

Eksperci twierdzą, że można z dużą pewnością połączyć phishing i kampanię informacyjno-psychologiczną, patrząc na podobieństwa w infrastrukturze sieciowej. Działania nazwano „Operacją Texonto”.

Aleksiej Nawalny. Celem nie tylko Ukraińcy

W trakcie analizy ujawniono też nazwy domen, które nawiązują do tematów ściśle związanych z Rosją. Mowa o m.in.Aleksieju Nawalnym i wyborach. To sugeruje, że „Operacja Texonto” wymierzona była również w tamtejszych dysydentów i zwolenników zmarłego opozycjonisty.

Operacja przeciwko Ukrainie. Robota Rosji?

Specjaliści ESET wskazują, że „dziwna mieszanka” cyberszpiegostwa (kradzież danych uwierzytelniających do Office’a) i działań informacyjnych przypomina aktywność grupy Callisto (inaczej też COLDRIVER), powiązanej z rosyjskim FSB. 

Przypomnijmy, że jej celem są m.in. przedstawiciele rządów i podmiotów wojskowych. Atakujący słyną z prowadzenia kampanii spear-phishingowych, w ramach których wykorzystywane są witryny podobne do stron popularnych dostawców. 

Warto mieć na uwadze, że Callisto odpowiada za operację informacyjną przed wyborami w Wielkiej Brytanii (2019 r.). Mowa o wycieku dokumentacji dotyczącej relacji handlowych z USA.  

Choć eksperci dostrzegają pewne podobieństwa między „Operacją Texonto” a Callisto, obecnie wstrzymują się od jednoznacznej atrybucji kampanii tej konkretnej grupie. Wskazują jednak, że za wszystkim najpewniej stoją podmioty z Rosji. 

Wojna trwa. Domena cyber i info

Opisana wyżej operacja pokazuje jak domena cyber przenika się z info. Działania w cyberprzestrzeni mogą towarzyszyć kampaniom informacyjnym, uzupełniać je i tym samym - podnosić skuteczność. 

Jesteśmy świadkami nie tylko konwencjonalnej wojny za naszą wschodnią granicą, gdzie spadają pociski, giną ludzie, wróg sieje zniszczenie. Trwa wojna kognitywna i musimy być tego świadomi. „Operacja Texonto” to jedynie skromny przykład tego, z czym mamy do czynienia. Wiele mówi się o Ukrainie, ale jeśli chodzi o działania hybrydowe, w tym kampanie informacyjne, Polska również jest poddawana wrogim kampaniom.

Rosyjska aktywność w Polsce

Aby znaleźć tego potwierdzenie, nie musimy sięgać daleko. Wystarczy wspomnieć o operacji ujawnionej przez francuską VIGINUM (służba odpowiedzialna za ochronę kraju przed zewnętrznymi operacjami w sieci). Specjaliści poddali analizie sieć portali „informacyjnych”, rozpowszechniających prorosyjskie treści. Wśród 193 serwisów znalazł się m.in. polskojęzyczny portal pravda-pl(.)com. Za jego pośrednictwem rozpowszechniano materiały uderzające w Ukrainę i mające wywołać niechęć do obywateli tego kraju. 

Sprawę opisywaliśmy szeroko na naszych łamach: Kampania Rosji w Polsce. Ujawniono siatkę Putina.

Wojsko Polskie potrzebuje nowych sił

W związku z realnym zagrożeniem wynikającym z działań hybrydowych takich państw jak Rosja, Białoruś czy też Chiny, w ramach Wojska Polskiego powinna powstać oddzielna, specjalistyczna jednostka, dedykowana wojnie informacyjnej. To temat ważny, bo Polska już teraz jest poddawana tego typu wrogim operacjom. 

Siły Zbrojne RP, podobnie jak sojusznicze wojska (np. USA, Niemcy), muszą dysponować właściwymi zasobami, aby w środowisku współczesnych zagrożeń móc w maksymalnym stopniu zapewnić bezpieczeństwo państwa. 

Więcej o koncepcji powołania nowych sił w Wojsku Polskim piszemy w tekście: Wojna. Wojsko Polskie potrzebuje nowych sił.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].