Een in Moskou gevestigd bedrijf dat eerder dit jaar door de VS werd gesanctioneerd, is sinds minstens december 2023 in verband gebracht met de zoveelste beïnvloedingsoperatie die bedoeld was om de publieke opinie tegen Oekraïne te keren en de westerse steun uit te hollen.
De geheime campagne van Social Design Agency (SDA) maakt gebruik van video’s die zijn verbeterd met behulp van kunstmatige intelligentie (AI) en nepwebsites die zich voordoen als gerenommeerde nieuwsbronnen om doelgroepen in Oekraïne, Europa en de VS te bereiken. Operatie Ondergraven van de Insikt Group van Recorded Future.
“Deze operatie, die samengaat met andere campagnes zoals Doppelganger, is bedoeld om het leiderschap van Oekraïne in diskrediet te brengen, de effectiviteit van de westerse hulp in twijfel te trekken en sociaal-politieke spanningen aan te wakkeren”, aldus het cyberbeveiligingsbedrijf.
“De campagne probeert ook verhalen rond de Amerikaanse verkiezingen van 2024 en geopolitieke conflicten, zoals de situatie tussen Israël en Gaza, vorm te geven om de verdeeldheid te verdiepen.”
Social Design Agency werd eerder toegeschreven aan Doppelganger, dat ook sociale media-accounts en een netwerk van niet-authentieke nieuwssites gebruikt om de publieke opinie te beïnvloeden. Het bedrijf en zijn oprichters werden eerder deze maand door de VS gesanctioneerd, samen met een ander Russisch bedrijf dat bekend staat als Structura.
Operatie Undercut deelt de infrastructuur met zowel Doppelganger als Operatie Overload (ook bekend als Matryoshka en Storm-1679), een aan Rusland gelieerde invloedscampagne die heeft geprobeerd de Franse verkiezingen van 2024, de Olympische Spelen in Parijs en de Amerikaanse presidentsverkiezingen te ondermijnen met behulp van een combinatie van nepnieuws. sites, bronnen voor valse feitencontrole en door AI gegenereerde audio.
De nieuwste campagne is niet anders in die zin dat deze misbruik maakt van het vertrouwen dat gebruikers stellen in vertrouwde mediamerken en gebruikmaakt van AI-aangedreven video’s en afbeeldingen die mediabronnen nabootsen om de campagne meer geloofwaardigheid te geven. Niet minder dan 500 accounts op verschillende sociale mediaplatforms, zoals 9gag en America’s beste foto’s en video’s, zijn gebruikt om de inhoud te versterken.
Bovendien blijkt de operatie trending hashtags in bepaalde landen en talen te gebruiken om een groter publiek te bereiken, en om inhoud van CopyCop (ook bekend als Storm-1516) te promoten.
“Operatie Undercut maakt deel uit van de bredere strategie van Rusland om westerse allianties te destabiliseren en het leiderschap van Oekraïne af te schilderen als ineffectief en corrupt”, aldus Recorded Future. “Door zich te richten op doelgroepen in Europa en de VS probeert de SDA het anti-Oekraïense sentiment te versterken, in de hoop de stroom van westerse militaire hulp naar Oekraïne te verminderen.”
APT28 voert een aanval uit op de dichtstbijzijnde buur
De onthulling komt op het moment dat werd waargenomen dat de aan Rusland gelinkte APT28 (ook bekend als GruesomeLarch) begin februari 2022 een Amerikaans bedrijf binnendrong via een ongebruikelijke techniek, de ‘dichtstbijzijnde buuraanval’ genaamd, waarbij eerst een andere entiteit in een aangrenzend gebouw in de buurt werd gecompromitteerd. Wi-Fi-bereik van het doel.
Het einddoel van de aanval gericht op de naamloze organisatie, die plaatsvond vlak voor de Russische invasie van Oekraïne, was het verzamelen van gegevens van personen met expertise op het gebied van en projecten waarbij het land actief betrokken was.
“GruesomeLarch kon uiteindelijk het netwerk van de organisatie binnendringen door verbinding te maken met het Wi-Fi-netwerk van hun onderneming”, aldus Volexity. “De bedreigingsacteur heeft dit bereikt door hun aanpak in serie te verbinden om meerdere organisaties in de nabijheid van hun beoogde doelwit in gevaar te brengen.”
De aanval zou zijn uitgevoerd door wachtwoord-spray-aanvallen uit te voeren op een openbare dienst op het netwerk van het bedrijf om geldige draadloze inloggegevens te verkrijgen, en door te profiteren van het feit dat voor verbinding met het Wi-Fi-netwerk van de onderneming geen meerdere verbindingen nodig waren. factorauthenticatie.
De strategie, aldus Volexity, was om de tweede organisatie aan de overkant van de straat van het doelwit binnen te dringen en deze te gebruiken als kanaal om zich lateraal over het netwerk te verplaatsen en uiteindelijk verbinding te maken met het Wi-Fi-netwerk van het beoogde bedrijf door de eerder verkregen inloggegevens te verstrekken. duizenden kilometers ver weg zijn.
“Het compromitteren van deze inloggegevens alleen leverde geen toegang op tot de omgeving van de klant, omdat alle internetgerichte bronnen het gebruik van multi-factor authenticatie vereisten”, aldus Sean Koessel, Steven Adair en Tom Lancaster. “Het Wi-Fi-netwerk werd echter niet beschermd door MFA, wat betekent dat de nabijheid van het doelnetwerk en geldige inloggegevens de enige vereisten waren om verbinding te maken.”