Problema 2820
Rusia continúa con su campaña de desinformación en torno a la guerra de Ucrania a través de ingeniería social avanzada realizada por un grupo de amenazas identificado como TA499.
Según un informe de Proofpoint, los objetivos TA499 Políticos estadounidenses y europeos, y destacados empresarios y celebridades que se han manifestado en contra de la invasión de Putin. El objetivo principal es persuadir a las víctimas para que participen en llamadas telefónicas o chats de video de los cuales se pueden obtener y publicar fragmentos a favor de Putin, desacreditando así cualquier comentario anterior contra Putin.
Continúa los esfuerzos de Rusia para fracturar el sentimiento antirruso en América del Norte y la UE con campañas de desinformación. El Parlamento Europeo ya contiene numerosos miembros que se oponen a cualquier actividad pro-ucraniana, y Rusia busca construir sobre esto.
TA499 parece ser un grupo de operadores de dos personas conocido públicamente como Vovan y Lexus. No se sabe cuán estrechamente están vinculados al gobierno ruso. Sin embargo, sus operaciones son sofisticadas, complejas y no parecen estar motivadas financieramente. Proofpoint los clasifica como "motivados patrióticamente" y "alineados con el estado ruso".
La operación comienza con TA499 haciendo contacto por correo electrónico o teléfono con sus objetivos. Aunque esta actividad comenzó antes de la invasión de Ucrania, “las campañas de TA499 comenzaron a aumentar a fines de enero de 2022, culminando en intentos cada vez más agresivos después de que Rusia invadiera Ucrania a fines de febrero de 2022”, dicen los investigadores.
Para marzo de 2022, los correos electrónicos o las llamadas telefónicas comenzaron a hacerse pasar por el primer ministro ucraniano Denys Shmyhal y su supuesto asistente. Los correos electrónicos pretendían provenir de embajadas oficiales. con temas como 'Solicitud del Primer Ministro de Ucrania'. Por ejemplo (aunque no probado, pero evaluado con 'alta confianza', para ser TA499), el Secretario de Estado de Defensa del Reino Unido, Ben Wallace, tuiteó el 17 de marzo de 2022: "Hoy un impostor hizo un intento que afirma ser PM ucraniano para hablar conmigo. Hizo varias preguntas engañosas y, después de sospechar, corté la llamada”.
Otros enfoques de TA499, anteriores a la invasión de Ucrania, se han dirigido a personas que han hecho declaraciones positivas sobre el líder de la oposición rusa encarcelado Alexei Navalny: los correos electrónicos se han disfrazado como mensajes de Leonid Volkov, jefe de personal de Navalny.
El propósito de dichos contactos es persuadir al objetivo para que se una a una conversación telefónica o una videollamada remota con TA499. Si tiene éxito, el grupo entabla una conversación con el intento de obtener declaraciones contradictorias diseñadas para desacreditar declaraciones anti-Kremlin anteriores. Proofpoint no cree que TA499 haya utilizado tecnología deepfake en estos intercambios, sino que confía en un actor; por ejemplo, 'Lexus' fingió ser Volkov en ataques con temática de Navalny.
Si tiene éxito, las grabaciones se han hecho públicas; por ejemplo, en YouTube y RuTube. “Ya hay videos disponibles públicamente de interacciones exitosas anteriores”, dijeron los investigadores a SecurityWeek. Pero creen que las grabaciones de YouTube ya han sido eliminadas.
“Según informes de código abierto, los siguientes han sido objetivos del actor de amenazas que rastreamos como TA499”, dijeron los investigadores a SecurityWeek: “El alcalde de Viena, Michael Ludwig, así como otros alcaldes en Varsovia, Budapest, Berlín y Madrid. . Las celebridades JK Rowling y Elton John también han sido objeto de ataques en el pasado.
“En general, TA499 no se ha dirigido en función de las funciones del gobierno”, continuaron, “sino en base a los comentarios que se hicieron sobre la guerra entre Rusia y Ucrania, comentarios negativos generales sobre Rusia y Putin, y la participación de funcionarios gubernamentales, celebridades o personas prominentes que ejecutan organizaciones benéficas en apoyo de Ucrania. “
Algunos informes han sugerido que TA499 ha utilizado tecnología deepfake. Proofpoint no puede confirmar esto, pero advierte que incluso si no lo han hecho, es probable que lo hagan en algún momento en el futuro. Esta amenaza, y otras amenazas similares, solo se volverán más efectivas a medida que la tecnología mejore. "Existe la posibilidad de que si TA499 aún no ha adoptado deepfakes, lo harán en algún momento", dijeron los investigadores.
Es posible que TA499 comenzara como un grupo de bromistas patrióticos. “Tienen personas que no solo publican el material discutido en este informe en línea, sino que también realizan recreaciones en los medios patrocinados por el estado de Rusia y asisten a conferencias”, dice Proofpoint. “Dado que es poco probable que la guerra entre Rusia y Ucrania termine en el corto plazo y Ucrania continúa obteniendo el apoyo de organizaciones de todo el mundo, Proofpoint evalúa con gran confianza que TA499 intentará continuar con sus campañas en apoyo de su contenido de influencia y agenda política”.
La guerra ha dado a las bromas un serio y dañino incentivo. Hasta ahora, es probable que esto se haya logrado sin el uso de tecnología deepfake. Sin embargo, es una clara advertencia sobre la probabilidad de ataques de ingeniería social aún más convincentes en el futuro.