.
Os golpistas pró-russos que usam engenharia social e falsificação de identidade para induzir comentaristas ocidentais proeminentes a realizar chamadas de vídeo gravadas colocaram essas campanhas “em alta velocidade” nos últimos 12 meses, de acordo com pesquisadores de segurança.
O fornecedor de software de segurança Proofpoint rastreia os golpistas, cujos nomes são Vladimir Kuznetsov e Alexei Stolyarov e que atendem por Vovan e Lexus, como TA499.
Os golpistas geralmente visam políticos, CEOs e celebridades na esperança de gerar conteúdo que possam editar seletivamente para apoiar sua causa.
Um exemplo dos trapaceiros no trabalho é esse vídeo com o ex-ministro das Relações Exteriores britânico, William Hague, que pensa estar falando com o ex-presidente da Ucrânia, Petro Poroshenko.
Pouco depois que a Rússia invadiu a Ucrânia no final de fevereiro de 2022, “o agente da ameaça se envolveu em uma atividade constante e expandiu seu alvo para incluir empresários proeminentes e indivíduos de alto perfil que fizeram grandes doações para os esforços humanitários ucranianos ou aqueles que fizeram declarações públicas sobre a desinformação russa. e propaganda”, escreveu Zydeca Cass, analista da Proofpoint, em pesquisar publicado hoje.
Depois que seus alvos mordem a isca do e-mail e concordam em fazer chamadas de vídeo falsas de acompanhamento, o TA499 começa com uma ou duas perguntas sérias. O objetivo dos golpistas é persuadir os indivíduos a dizerem algo que possa ser posteriormente editado para o jogo pró-russo máximo.
“Uma vez que o alvo faz uma declaração sobre o assunto, o vídeo se transforma em travessuras, tentando pegar o alvo em comentários ou atos embaraçosos”, escreveu Cass.
As gravações são postadas no YouTube (embora o YouTube tenha bloqueado alguns dos canais do grupo), Rutube e Twitter.
Embora seja tentador descartar a dupla como um casal de brincalhões inspirados em Sacha Baron Cohen, “o TA499 não é uma ameaça para se tomar de ânimo leve”, disse Cass.
Ser enganado para participar da propaganda pró-Putin do TA499 pode prejudicar a marca e a reputação de uma pessoa ou empresa e também amplifica as campanhas de desinformação da dupla, afirma o relatório.
As fraudes se tornaram de natureza mais política desde o início da guerra, disseram os pesquisadores da Proofpoint, em um e-mail para Strong The One.
“Os métodos usados pelo TA499 continuaram a ser bem-sucedidos desde seus dias de brincadeiras genuínas até essa atividade atual altamente agrupada e politicamente alinhada”, disseram eles.
‘Elemento surpresa’
Também vale a pena notar que, apesar de relatos anteriores dos dois usando deepfakes para se passar por funcionários do governo – incluindo uma videochamada gravada em 2021 fingindo ser um político russo Leonid Volkov – o modus operandi atual é decididamente mais low-tech: maquiagem, disfarces físicos e atuação.
“O ator não parece estar usando nenhuma modulação de voz, concentrando-se principalmente na falta de familiaridade dos alvos com o contato e o elemento surpresa”, escreveu Cass, confirmando o reivindicações da dupla que eles não usaram deepfakes.
Os pesquisadores da Proofpoint disseram Strong The One não há incentivo – ainda – para o par fazer isso.
“De um modo geral, os agentes de ameaças atualizarão suas técnicas quando houver um incentivo para fazê-lo – como aumentar sua taxa de sucesso de ataque ou melhorar sua furtividade”, disseram eles, em um e-mail. “Nesse caso, pode ser mais fácil para o agente da ameaça usar maquiagem e/ou atores em vez de treinar uma inteligência artificial ou adotar a curva de aprendizado para utilizar tal tecnologia; no entanto, não podemos confirmar esse raciocínio”.
Essas campanhas geralmente têm como alvo “pessoas de interesse de alto nível” que se opõem abertamente a Putin e à guerra na Ucrânia e apoiam as sanções contra a Rússia e o envio de ajuda e armas à Ucrânia, diz a Proofpoint.
“Desde o final de janeiro de 2022, o agente da ameaça concentrou amplamente suas tentativas de e-mail em agendar uma reunião por vídeo ou telefonema com altos funcionários do governo norte-americano ou europeu e CEOs de empresas importantes”, de acordo com a pesquisa.
Em março de 2022, a dupla “adotou novas personificações de personalidade”, principalmente o primeiro-ministro ucraniano Denys Shmyhal e seu assistente. Para fazer com que os e-mails pareçam legítimos, o TA499 usou o popular provedor de e-mail “Ukr.net” e escreveu linhas de assunto para parecer que eram funcionários do governo ucraniano fazendo um pedido à vítima-alvo.
Além das campanhas de e-mail descobertas pela Proofpoint, Cass denuncia uma tentativa semelhante usando um endereço de e-mail falso supostamente controlado por Shmyhal para contatar o político britânico Robert Ben Lobban Wallace.
“Hoje, um impostor que afirma ser o primeiro-ministro ucraniano tentou falar comigo. Ele fez várias perguntas enganosas e, depois de suspeitar, encerrei a ligação”, disse Wallace. tuitou em março de 2022.
No relatório, a Proofpoint “avaliou com alta confiança que este foi o trabalho do TA499”.
Notícias falsas?
Outro alvos notáveis supostamente incluem a chanceler alemã Angela Merkel, o príncipe Harry, Elton John e JK Rowling.
Em meados de 2022, os criminosos começaram a usar outros endereços de e-mail com o tema da embaixada e um domínio com o tema da Agência Internacional de Energia Atômica (IAEA) controlado por agentes de ameaças para enviar e-mails com uma linha de assunto “URGENTE: Diretor-Geral da IAEA” para altos funcionários do governo. .
O momento disso coincidiu com uma declaração pública pelo diretor-geral da AIEA, Rafael Mariano Grossi, após as tropas russas capturado Usina nuclear de Zaporizhzhia, na Ucrânia.
“É provável que a atenção internacional em torno do estado da usina tenha inspirado a decisão do TA499 de usar uma isca da AIEA”, escreveu Cass.
À medida que a guerra desencadeada pela invasão ilegal da Rússia na Ucrânia entra em seu segundo ano, a Proofpoint adverte executivos e políticos de alto escalão para ficarem alertas para fontes “ucranianas” de alto perfil que chegam “de repente por e-mail” sem apresentação prévia. A pesquisa da loja de segurança inclui uma lista de indicadores de comprometimento e sugere que os alvos em potencial “prossigam com cautela”.
“Com a guerra entre a Rússia e a Ucrânia improvável de terminar no curto prazo e a Ucrânia continuando a obter apoio de organizações em todo o mundo”, escreveu Cass, “a Proofpoint avalia com alta confiança que o TA499 tentará continuar com suas campanhas em apoio ao seu influenciador. conteúdo e agenda política”. ®
.
