Trace Id is missing
Přeskočit na hlavní obsah
Security Insider

Rozsah a účinnost digitálních hrozeb z východní Asie roste

Stáhnout
Sdílení
Osoba sedící před počítačem

Úvod

Několik nových trendů ilustruje rychle se měnící prostředí hrozeb ve východní Asii, kde Čína provádí rozsáhlé kybernetické operace i operace ovlivňování, zatímco severokorejští aktéři kybernetických hrozeb prokazují rostoucí sofistikovanost.

Zaprvé, na čínský stát napojené skupiny aktérů kybernetických hrozeb se zaměřují zejména na oblast Jihočínského moře a při kybernetické špionáži cílí na vlády a další důležité subjekty v této námořní oblasti. Čína mezitím cílí na americký obranný sektor a zkoumá americkou infrastrukturu a snaží se získat konkurenční výhody pro čínské zahraniční vztahy a strategické vojenské cíle.

Zadruhé, Čína v posledním roce zefektivnila zapojení uživatelů sociálních médií do operací ovlivňování. Čínské kampaně online ovlivňování dlouho spoléhaly samotný objem těchto operací a snažily se oslovovat uživatele prostřednictvím sítí neautentických účtů na sociálních sítích. Od roku 2022 se však s Čínou spojené sítě sociálních médií přímo zapojily do komunikace s autentickými uživateli na sociálních sítích, zaměřily se na konkrétní kandidáty v obsahu týkajícím se amerických voleb a vydávaly se za americké voliče. Státem podporovaná čínská iniciativa vícejazyčných influencerů na sociálních sítích úspěšně zapojila cílové skupiny v nejméně 40 jazycích a zvýšila počet sledujících uživatelů na více než 103 milionů.

Zatřetí, Čína v uplynulém roce pokračovala v rozšiřování svých kampaní operací ovlivňování a rozšířila svou činnost o nové jazyky a nové platformy, aby zvýšila svou globální působnost. Kampaně nasazují na sociálních sítích tisíce neautentických účtů na desítkách webů a šíří memy, videa a zprávy v mnoha jazycích. V online zpravodajských médiích se čínská státní média taktně a efektivně staví do role autoritativního hlasu v mezinárodní debatě o Číně a využívají k tomu nejrůznější prostředky, které jim umožňují ovlivňovat média po celém světě. Jedna z kampaní šířila propagandu Komunistické strany Číny (KS Číny) prostřednictvím lokalizovaných zpravodajských webů zaměřených na čínskou diasporu ve více než 35 zemích.

A konečně, Severní Korea, která na rozdíl od Číny nemá schopnosti sofistikovaného aktéra ovlivňování, zůstává velkou kybernetickou hrozbou. Severní Korea projevuje trvalý zájem o shromažďování zpravodajských informací a zvyšuje svou taktickou sofistikovanost. Vedle jiných taktik využívá kaskádové útoky na dodavatelské řetězce a krádeže kryptoměn.

Čínské kybernetické operace se znovu zaměřují na Jihočínské moře a klíčová průmyslová odvětví v USA

Od začátku roku 2023 identifikovala Analýza hrozeb Microsoft tři oblasti, na které se aktéři kybernetických hrozeb napojení na Čínu obzvláště zaměřují: Jihočínské moře, obranná průmyslová základna USA a kritická infrastruktura USA.

Čínské státem podporované cílení odráží strategické cíle v Jihočínském moři

Čínští se státem spojení aktéři projevují trvalý zájem o Jihočínské moře a Tchaj-wan, což odráží širokou řadu ekonomických, obranných a politických zájmů Číny v této oblasti.1 Konfliktní územní nároky, rostoucí napětí v oblasti průlivu a zvýšená vojenská přítomnost USA – to vše může být motivací pro ofenzivní kybernetické aktivity Číny.2

Microsoft identifikoval skupinu Raspberry Typhoon (RADIUM) jako hlavní skupinu aktérů hrozeb zaměřenou na státy v oblasti Jihočínského moře. Raspberry Typhoon se konzistentně zaměřuje na ministerstva, vojenské složky a firemní subjekty spojené s kritickou infrastrukturou, zejména v oblasti telekomunikací. Od ledna 2023 je skupina Raspberry Typhoon obzvláště vytrvalá. Při cílení na vládní ministerstva nebo infrastrukturu skupina Raspberry Typhoon obvykle shromažďuje zpravodajské informace a využívá malware. V mnoha zemích jsou cílem různá ministerstva – od ministerstev obrany a ministerstev spojených se zpravodajskými službami až po ministerstva hospodářství a obchodu.

Flax Typhoon (Storm-0919) je nejvýznamnější skupinou hrozeb, která cílí na ostrov Tchaj-wan. Tato skupina se zaměřuje především na telekomunikace, vzdělávání, informační technologie a energetickou infrastrukturu, obvykle s využitím vlastního zařízení VPN k přímému vytvoření přítomnosti v cílové síti. Skupina Charcoal Typhoon (CHROMIUM) pak podobným způsobem cílí na tchajwanské vzdělávací instituce, energetickou infrastrukturu a high-tech výrobu. V roce 2023 se skupiny Charcoal Typhoon i Flax Typhoon zaměřily na tchajwanské společnosti v leteckém průmyslu, které uzavírají smlouvy s tchajwanskou armádou.

Mapa oblasti Jihočínského moře se zvýrazněním pozorovaných událostí v jednotlivých zemích
Obrázek 1: Pozorované události v Jihočínském moři podle zemí od ledna 2022 do dubna 2023. Další informace o tomto obrázku najdete na straně 4 v úplné studii.

Čínští aktéři hrozeb se zaměřují na Guam, kde USA budují základnu námořnictva

Na obrannou průmyslovou základnu USA dál cílí několik skupin aktérů hrozeb z Číny, konkrétně Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) a Mulberry Typhoon (MANGANESE). Ačkoli se cíle těchto tří skupin občas překrývají, jedná se o samostatné aktéry s odlišnou infrastrukturou a schopnostmi.3

Skupina Circle Typhoon provádí širokou škálu kybernetických aktivit proti obranné průmyslové základně USA, včetně rozvoje zdrojů, shromažďování informací, počátečního přístupu a přístupu prostřednictvím přihlašovacích údajů. Circle Typhoon často využívá zařízení VPN k cílení na IT a americké dodavatele v oblasti obrany. Skupina Volt Typhoon také prováděla průzkum mnoha dodavatelů obrany USA. Jedním z nejčastějších cílů těchto kampaní je Guam, zejména subjekty v oblasti satelitní komunikace a telekomunikací, které tam mají sídla.4

Častou taktikou skupiny Volt Typhoon je napadání směrovačů v malých firmách a domácnostech, obvykle za účelem vybudování infrastruktury.5 Skupina Mulberry Typhoon také cílila na americkou obrannou průmyslovou základnu, zejména pomocí zneužití typu nultého dne zaměřeného na zařízení.6 Intenzivnější cílení na Guam je významné vzhledem k jeho poloze jako nejbližšího území USA k východní Asii a klíčového bodu pro strategii USA v této oblasti.

Čínské skupiny aktérů hrozeb cílí na kritickou infrastrukturu USA

Microsoft v posledních šesti měsících zaznamenal skupiny aktérů hrozeb napojené na čínský stát, které se zaměřují na kritickou infrastrukturu USA v různých odvětvích a na významný rozvoj zdrojů. Volt Typhoon je hlavní skupinou, která stojí za touto aktivitou přinejmenším od léta 2021, a rozsah této aktivity stále není zcela znám.

Mezi cílová odvětví patří doprava (například přístavy a železnice), veřejné služby (například energetika a úprava vody), zdravotnická infrastruktura (včetně nemocnic) a telekomunikační infrastruktura (včetně satelitní komunikace a optických systémů). Microsoft se domnívá, že tato kampaň by mohla Číně poskytnout možnosti narušit kritickou infrastrukturu a komunikaci mezi Spojenými státy a Asií.7

Skupina aktérů hrozeb z Číny cílí na přibližně 25 organizací včetně amerických vládních subjektů

Od 15. května použila skupina aktérů hrozeb z Číny – Storm-0558 –padělané ověřovací tokeny k přístupu k e-mailovým účtům zákazníků společnosti Microsoft přibližně v 25 organizacích včetně amerických a evropských vládních subjektů.8 Microsoft tuto kampaň úspěšně zablokoval. Cílem útoku bylo získat neoprávněný přístup k e-mailovým účtům. Microsoft se domnívá, že tato činnost byla v souladu se špionážními cíli skupiny Storm-0558. Skupina Storm-0558 už dříve cílila na americké a evropské diplomatické subjekty.

Čína také cílí na své strategické partnery

S tím, jak Čína rozvíjí své bilaterální vztahy a globální partnerství v rámci iniciativy Nová Hedvábná stezka (BRI), provádějí čínští aktéři napojení na stát paralelní kybernetické operace proti soukromým i veřejným subjektům po celém světě. Čínské skupiny aktérů hrozeb se zaměřují na země v souladu se strategií iniciativy Nová Hedvábná stezka KS Číny, včetně subjektů v Kazachstánu, Namibii, Vietnamu a dalších zemích.9 Mezitím se rozsáhlé čínské aktivity hrozeb soustavně zaměřují na zahraniční ministerstva v Evropě, Latinské Americe a Asii – pravděpodobně s cílem ekonomické špionáže nebo sběru zpravodajských informací.10 S tím, jak Čína rozšiřuje svůj globální vliv, budou následovat i aktivity přidružených skupin aktérů hrozeb. Skupina Twill Typhoon (TANTALUM) nedávno (v dubnu 2023) úspěšně napadla vládní počítače v Africe a Evropě i humanitární organizace po celém světě.

Operace v sociálních médiích spojené s KS Číny zvyšují efektivní zapojení cílových skupin

Skryté operace ovlivňování spojené s KS Číny nyní začaly úspěšně zapojovat cílové skupiny na sociálních sítích ve větší míře, než jsme mohli pozorovat dříve. To představuje vyšší úroveň sofistikovanosti a kultivace online prostředků operací ovlivňování. Před americkými volbami v polovině funkčního období v roce 2022 zaznamenala společnost Microsoft a její partneři v oboru účty na sociálních sítích spojené s KS Číny, které se vydávaly za americké voliče – což v operacích ovlivňování spojených s KS Číny představovalo novou oblast.11 Tyto účty se vydávaly za Američany napříč politickým spektrem a reagovaly na komentáře autentických uživatelů.

V chování i obsahu těchto účtů se projevuje mnoho dobře zdokumentovaných čínských taktik, technik a postupů využívaných v operacích ovlivňování. Mezi příklady patří účty, které v počáteční fázi zveřejňují příspěvky v čínštině, než přejdou na jiný jazyk, zapojování obsahu z jiných zdrojů souvisejících s Čínou bezprostředně po jeho zveřejnění a používání komunikačního modelu zveřejnění informací a postupného umocňování jejich účinku.12 Na rozdíl od dřívějších kampaní operací ovlivňování vedených aktéry hrozeb spojenými s KS Číny, které používaly snadno rozpoznatelné počítačově generované profilové obrázky, uživatelská jména a zobrazovaná jména13, provozují tyto sofistikovanější účty skutečné osoby, které používají fiktivní nebo ukradené identity, aby skryly spojení těchto účtů s KS Číny.

Účty na sociálních sítích v této síti vykazují podobné chování jako aktivity, které údajně provádí elitní skupina ministerstva státní bezpečnosti označovaná jako „zvláštní pracovní skupina 912“. Podle amerického ministerstva spravedlnosti provozovala tato skupina trollí farmu na sociálních sítích, která vytvářela tisíce falešných internetových identit a šířila propagandu KS Číny zaměřenou na prodemokratické aktivisty.

Přibližně od března 2023 začaly některé podezřelé čínské prostředky operací ovlivňování v západních sociálních sítích využívat generativní umělou inteligenci (AI) k vytváření vizuálního obsahu. Tento poměrně velmi kvalitní vizuální obsah už vyvolal vyšší míru zapojení autentických uživatelů sociálních sítí. Tyto obrázky nesou znaky difuzního generování obrázků a jsou působivější než nedokonalý vizuální obsah v předchozích kampaních. Uživatelé tyto vizuály častěji přeposílali, a to i přes obvyklé znaky generování umělou inteligencí – jako je například více než pět prstů na rukou lidí.14

Vedle sebe zobrazené příspěvky na sociálních sítích, na kterých jsou zobrazeny identické obrázky kampaně Black Lives Matter.
Obrázek 2: Obrázek kampaně Black Lives Matter, kterou nejprve nahrál automatizovaný účet spojený s KS Číny, byl o sedm hodin později nahrán účtem vydávajícím se za amerického konzervativního voliče.
Propagandistický obrázek Sochy svobody vytvořený umělou inteligencí
Obrázek 3: Příklad obrázku vytvořeného umělou inteligencí, který zveřejnil domnělý čínský zdroj operací ovlivňování. Ruka Sochy Svobody držící pochodeň má více než pět prstů. Další informace o tomto obrázku najdete na straně 6 v úplné studii.
Čtyři kategorie influencerů – novináři, propagátoři životního stylu, kolegové a vrstevníci a etnické menšiny – v pořadí od zjevných až po skryté
Obrázek 4: Tato iniciativa zahrnuje influencery, kteří spadají do čtyř širokých kategorií na základě jejich zázemí, cílových skupin, náboru a strategií řízení. Všechny osoby zahrnuté do naší analýzy mají přímé vazby na čínská státní média (například prostřednictvím zaměstnání, přijetí pozvání k cestování nebo jiné peněžní výměny). Další informace o tomto obrázku najdete na straně 7 v úplné studii.

Iniciativa ovlivňování ze strany čínských státních médií

Další strategií, která má za následek významné zapojení na sociálních sítích, je koncept KS Číny využívající „vícejazyčná studia internetových celebrit“ (多语种网红工作室).15 S využitím síly autentických hlasů se více než 230 zaměstnanců a partnerů státních médií maskuje jako nezávislí influenceři na všech hlavních západních platformách sociálních médií.16 V letech 2022 a 2023 se noví influenceři objevují v průměru každých sedm týdnů. Tito influenceři, které najímá, školí, podporuje a financuje Čínský rozhlas pro zahraničí (China Radio International – CRI) a další čínská státní média, šíří odborně lokalizovanou propagandu KS Číny, která dosahuje významného zapojení cílových skupin po celém světě a oslovuje dohromady nejméně 103 milionů sledujících na různých platformách hovořících nejméně 40 jazyky.

Ačkoli influenceři zveřejňují převážně neškodný obsah týkající se životního stylu, tato technika maskuje propagandu KS Číny, která se snaží zlepšit vnímání Číny v zahraničí.

Zdá se, že strategie čínských státních médií pro nábor influencerů zahrnuje dvě odlišné skupiny osob: osoby se zkušenostmi s prací v žurnalistice (konkrétně ve státních médiích) a čerstvé absolventy cizojazyčných programů. Zejména China Media Group (mateřská společnost CRI a CGTN) zřejmě přímo rekrutuje absolventy nejlepších čínských cizojazyčných škol, jako je Pekingská univerzita zahraničních studií a Čínská univerzita komunikace. Ti, kteří nejsou rekrutováni přímo z univerzit, jsou často bývalí novináři a překladatelé, kteří po „rebrandingu“ na influencery ze svých profilů odstraňují vše, co by ukazovalo na jejich spojení se státními médii.

Laosky mluvící influencer Song Siao zveřejňuje videoblog o životním stylu, ve kterém se zabývá oživením čínské ekonomiky uprostřed pandemie COVIDu-19.
Obrázek 5: Laosky mluvící influencer Song Siao zveřejňuje videoblog o životním stylu, ve kterém se zabývá oživením čínské ekonomiky uprostřed pandemie COVIDu-19. Ve videu, které sám natočil, zavítá do prodejny automobilů v Pekingu a hovoří s místními obyvateli. Další informace o tomto obrázku najdete na straně 8 v úplné studii.
Příspěvek anglicky píšící influencerky Techy Rachel na sociální síti.
Obrázek 6: Techy Rachel, anglicky píšící influencerka, která obvykle publikuje příspěvky o čínských inovacích a technologiích, se odklonila od svých obvyklých témat, aby se vyjádřila k debatě o čínském špionážním balónu. Stejně jako ostatní čínská státní média popírá, že by balón sloužil ke špionáži. Další informace o tomto obrázku najdete na straně 8 v úplné studii.

Influenceři oslovují celosvětové cílové skupiny nejméně ve 40 jazycích

Geografické rozložení jazyků, kterými tito se státem spojení influenceři hovoří, reprezentuje rostoucí globální vliv Číny a její regionální priority. Influenceři hovořící ostatními asijskými jazyky s výjimkou čínštiny – jako je hindština, sinhálština, paštunština, laoština, korejština, malajština a vietnamština – tvoří nejpočetnější skupinu influencerů. Anglicky mluvící influenceři tvoří druhou nejpočetnější skupinu influencerů.
Pět výsečových grafů znázorňujících rozdělení influencerů v čínských státních médiích podle jazyků.
Obrázek 7: Rozdělení influencerů v čínských státních médiích podle jazyků. Další informace o tomto obrázku najdete na straně 9 v úplné studii.

Čína cílí na cílové skupiny po celém světě

Influenceři cílí na sedm oblastí cílových skupin (jazykových skupin), které jsou rozděleny do zeměpisných oblastí. Nejsou tu zobrazeny grafy anglicky a čínsky mluvící cílové skupiny.

Čínské operace ovlivňování rozšiřují globální působnost v několika kampaních

Čína v roce 2023 dále rozšířila rozsah svých online operací ovlivňování oslovováním cílových skupin v nových jazycích a na nových platformách. Tyto operace kombinují vysoce kontrolovaný veřejně viditelný státní mediální aparát se skrytými nebo zastřenými prostředky sociálních médií včetně botů, které obhajují a zesilují narativy preferované Komunistickou stranou Číny.17

Microsoft zaznamenal jednu takovou kampaň KS Číny, která začala v lednu 2022, v době psaní tohoto textu stále probíhala a cílila na španělskou nevládní organizaci Safeguard Defenders poté, co odhalila existenci více než 50 zahraničních čínských policejních stanic.18 V rámci této kampaně bylo nasazeno více než 1 800 účtů na několika platformách sociálních sítí a desítkách webů, které v souladu se zájmy KS Číny šířily memy, videa a zprávy kritizující Spojené státy a další demokratické země.

Tyto účty generovaly zprávy v nových jazycích (nizozemština, řečtina, indonéština, švédština, turečtina, ujgurština a další) a na nových platformách (mimo jiné na platformách Fandango, Rotten Tomatoes, Medium, Chess.com a VK). Navzdory rozsahu a vytrvalosti této operace se její příspěvky jen zřídkakdy setkávají se smysluplným zapojením autentických uživatelů, což poukazuje na primitivní povahu aktivity těchto čínských sítí.

30 známých log technologických značek prezentovaných spolu se seznamem 16 jazyků
Obrázek 8: Na mnoha platformách a v mnoha jazycích byl zjištěn obsah operací ovlivňování v souladu s politikou KS Číny. Další informace o tomto obrázku najdete na straně 10 v úplné studii.
Screenshoty s příklady videopropagandy v jazyce Tchaj-wanu zobrazené vedle sebe
Obrázek 9: Velký počet sdílení příspěvků s videem v tchajwanštině vyzývajícím tchajwanskou vládu, aby se „vzdala“ Pekingu. Velký rozdíl mezi počty zobrazení a sdílení velmi svědčí o koordinované aktivitě operace ovlivňování. Další informace o tomto obrázku najdete na straně 10 v úplné studii.

Zahalená globální síť zpravodajských webů KS Číny

Další digitální mediální kampaní, která ilustruje rozšířenou působnost operací ovlivňování spojených s KS Číny, je síť více než 50 převážně čínskojazyčných zpravodajských webů, které podporují deklarovaný cíl KS Číny být autoritativním hlasem všech čínskojazyčných médií na celém světě.19 Přestože se tyto weby prezentují jako převážně nezávislé, s nikým nepropojené weby pro různé komunity čínské diaspory po celém světě, na základě technických indikátorů, informací o registraci těchto webů a sdíleného obsahu s vysokou mírou jistoty odhadujeme, že tyto weby jsou propojeny s oddělením jednotné pracovní fronty (UFWD) – orgánem odpovědným za posilování vlivu KS Číny za hranicemi Číny, zejména prostřednictvím kontaktů s Číňany v zahraničí.20
Mapa světa s více než 20 logy čínských webů zaměřených na globální čínskou diasporu.
Obrázek 10: Mapa webů zaměřených na čínskou diasporu po celém světě, které jsou považovány za součást této mediální strategie.  Další informace o tomto obrázku najdete na straně 11 v úplné studii.

Protože mnoho z těchto webů sdílí IP adresy, dotazování na překlady názvů domén pomocí Analýzy hrozeb v programu Microsoft Defender nám umožnilo odhalit další weby v této síti. Mnoho webů sdílí front-endový webový kód HTML, kde dokonce i komentáře webových vývojářů vložené do tohoto kódu jsou často totožné na různých webech. Více než 30 webů využívá stejné aplikační programovací rozhraní (API) a systém správy obsahu od „plně vlastněné dceřiné společnosti“ agentury China News Service (CNS) – mediální agentury spadající pod UFWD.21 Ze záznamů čínského ministerstva průmyslu a informačních technologií dále vyplývá, že tato technologická společnost spojená s UFWD a další společnost zaregistrovaly v této síti nejméně 14 zpravodajských webů.22 Využíváním dceřiných společností a mediálních společností třetích stran tímto způsobem může UFWD oslovovat cílové skupiny po celém světě a zároveň zakrývat své přímé zapojení.

Tyto weby se vydávají za nezávislé zpravodajské servery, ale často přetiskují stejné články z čínských státních médií, přičemž se často vydávají za původní zdroj obsahu. Ačkoli tyto weby široce pokrývají mezinárodní zpravodajství a publikují obecné články z čínských státních médií, politicky citlivá témata se v drtivé většině shodují s narativy, které preferuje KS Číny. Několik stovek článků v této síti webů například propaguje nepravdivá tvrzení, že virus způsobující onemocnění COVID-19 je biologická zbraň vyrobená v americké vojenské laboratoři pro biologický výzkum ve Fort Detricku.23 Tyto weby také často šíří prohlášení čínských vládních představitelů a články ze státních médií, podle kterých virus způsobující onemocnění COVID-19 pochází ze Spojených států, a nikoli z Číny. Tyto weby jsou příkladem toho, do jaké míry pronikla kontrola KS Číny do čínskojazyčného mediálního prostředí a jak to straně umožňuje zastínit kritické zpravodajství o citlivých tématech.

Diagram překrývajících se článků publikovaných více weby.
Obrázek 11: Weby se prezentují jako jedinečné pro danou lokalitu, ale sdílí stejný obsah. Tento diagram zobrazuje překrývající se články publikované více weby. Další informace o tomto obrázku najdete na straně 12 v úplné studii.
Screenshoty obrazovek, jak byl článek China News Service opětovně zveřejňován na webech zaměřených na cílové skupiny v Itálii, Maďarsku, Rusku a Řecku.
Obrázek 12: China News Service a další čínská státní média zveřejnila článek s názvem „Prohlášení WHO odhaluje tajné biologické laboratoře USA na Ukrajině“. Tento článek byl poté zveřejněn na webech zaměřených na cílové skupiny v Maďarsku, Švédsku, západní Africe a Řecku. Další informace o tomto obrázku najdete na straně 12 v úplné studii.

Globální dosah čínských státních médií

Zatímco výše popsaná kampaň je pozoruhodná svým maskováním, naprostou většinu celosvětové sledovanosti médií řízených KS Číny představují oficiální weby čínských státních médií. Expanzí do cizích jazyků,24 otevíráním čínských státních mediálních kanceláří v zahraničí25 a bezplatným dodáváním obsahu přátelského k Pekingu26 rozšiřuje KS Číny dosah své „moci diskurzu“ (话语权) tím, že vnáší propagandu do zpravodajských médií v zemích celého světa.27
Organizační graf představující přehled ekosystému otevřené propagandy KS Číny.
Obrázek 13: Organizační graf představující přehled funkcí a subjektů tvořících součást ekosystému otevřené propagandy KS Číny. Další informace o tomto obrázku najdete na straně 13 v úplné studii.

Měření provozu na weby čínských státních médií

Oddělení AI for Good společnosti Microsoft vyvinulo index pro měření provozu od uživatelů mimo Čínu směrem na weby, jejichž většinovým vlastníkem je čínská vláda. Tento index měří podíl návštěvnosti těchto webů na celkovém provozu na internetu, podobně jako index ruské propagandy (RPI) zavedený v červnu 2022.28

V návštěvnosti čínských státních médií dominuje pět domén, na které připadá přibližně 60 % všech zobrazení čínských státních médií.

Grafické znázornění návštěvnosti čínských médií
Další informace o tomto obrázku najdete na straně 14 v úplné studii.

Tento index může objasnit trendy v relativní úspěšnosti čínských státních médií podle zeměpisné polohy v průběhu času. Například mezi členskými státy Sdružení národů jihovýchodní Asie (ASEAN) vynikají Singapur a Laos, které mají více než dvakrát vyšší relativní provoz na čínské státní mediální weby než třetí Brunej. Nejhůře jsou na tom Filipíny, které mají 30krát nižší provoz na čínské státní mediální weby než Singapur a Laos. V Singapuru, kde je čínština úředním jazykem, odráží vysoká návštěvnost čínských státních médií vliv Číny na zpravodajství v čínštině. V Laosu je čínsky mluvících lidí mnohem méně, což odráží relativní úspěch čínských státních médií v tamním prostředí.

Screenshot domovské stránky nejnavštěvovanější domény PhoenixTV.
Obrázek 14: Domovská stránka nejnavštěvovanější domény, PhoenixTV, s 32 % všech zobrazení stránek. Další informace o tomto obrázku najdete na straně 14 v úplné studii.

Stále sofistikovanější severokorejské kybernetické operace shromažďují zpravodajské informace a generují příjmy pro stát

Severokorejští aktéři kybernetických hrozeb provádějí kybernetické operace s cílem (1) shromažďovat zpravodajské informace o aktivitách domnělých nepřátel státu, mezi které patří: Jižní Korea, Spojené státy a Japonsko, (2) shromažďovat zpravodajské informace o vojenských schopnostech jiných zemí s cílem zlepšit své vlastní a (3) shromažďovat finanční prostředky v kryptoměnách pro stát. V uplynulém roce zaznamenal Microsoft větší překrývání cílů mezi jednotlivými severokorejskými aktéry hrozeb a zvýšení sofistikovanosti severokorejských skupin.

Severokorejské kybernetické priority kladou důraz na výzkum námořních technologií uprostřed testování podvodních dronů a vozidel

V uplynulém roce zaznamenala Analýza hrozeb Microsoft větší překrývání cílů u severokorejských aktérů hrozeb. Například tři severokorejské skupiny aktérů hrozeb – Ruby Sleet (CERIUM), Diamond Sleet (ZINC) a Sapphire Sleet (COPERNICIUM) – se od listopadu 2022 do ledna 2023 zaměřily na námořní a loďařský sektor. Microsoft dříve takovou míru překrývání cílení u více severokorejských skupin nepozoroval, což naznačuje, že výzkum námořních technologií byl v té době pro severokorejskou vládu vysokou prioritou. V březnu 2023 Severní Korea údajně zkušebně odpálila dvě strategické rakety s plochou dráhou letu z ponorky směrem na Japonské moře (tzv. Východní moře) jako varování před jihokorejsko-americkým vojenským cvičením Freedom Shield. Ještě ten stejný měsíc a následující měsíc Severní Korea údajně otestovala dva podvodní útočné drony Haeil u východního pobřeží země směrem k Japonskému moři. K těmto testům námořních vojenských schopností došlo krátce poté, co se tři severokorejské kybernetické skupiny zaměřily na subjekty námořní obrany za účelem shromažďování zpravodajských informací.

Aktéři hrozeb napadají obranné firmy, protože severokorejský režim stanovil vysoce prioritní požadavky na shromažďování dat

Od listopadu 2022 do ledna 2023 zaznamenal Microsoft druhý případ překrývání cílů, kdy skupiny Ruby Sleet a Diamond Sleet napadaly obranné firmy. Obě skupiny aktérů napadly dvě společnosti vyrábějící zbraně se sídlem v Německu a Izraeli. To naznačuje, že severokorejská vláda pověřuje více skupin aktérů hrozeb najednou, aby splnila vysoce prioritní požadavky na shromažďování dat a zlepšila tak vojenské schopnosti země. Od ledna 2023 skupina Diamond Sleet napadla také obranné společnosti v Brazílii, Česku, Finsku, Itálii, Norsku a Polsku.
Výsečový graf zobrazující obranný průmysl, na který Severní Korea nejvíce cílí, podle zemí
Obrázek 15: Severní Korea cílící na obranný průmysl podle zemí od března 2022 do března 2023

Ruská vláda a obranný průmysl zůstávají pro Severní Koreu cílem shromažďování zpravodajských informací

Několik severokorejských aktérů se v poslední době zaměřilo na ruskou vládu a obranný průmysl, zatímco Severní Korea současně poskytovala Rusku materiální podporu ve válce na Ukrajině.32 V březnu 2023 napadla skupina Ruby Sleet letecký výzkumný institut v Rusku. Kromě toho skupina Onyx Sleet (PLUTONIUM) na začátku března napadla zařízení patřící jedné z ruských univerzit. Ve stejném měsíci odeslal účet útočníka připisovaný skupině Opal Sleet (OSMIUM) phishingové e-maily na účty patřící ruským diplomatickým vládním subjektům. Severokorejští aktéři hrozeb můžou těžit z příležitosti shromažďování zpravodajských informací o ruských subjektech vzhledem k tomu, že se tato země soustředí na válku na Ukrajině.

Severokorejské skupiny ukazují sofistikovanější operace při krádežích kryptoměn a útocích na dodavatelské řetězce

Microsoft odhaduje, že severokorejské skupiny provádějí stále sofistikovanější operace prostřednictvím krádeží kryptoměn a útoků na dodavatelské řetězce. V lednu 2023 Federální úřad pro vyšetřování (FBI) veřejně připsal krádež 100 milionů USD v kryptoměně z Harmony's Horizon Bridge z června 2022 skupině Jade Sleet (DEV-0954) neboli Lazarus Group/APT38.33 Kromě toho Microsoft připsal útok na dodavatelský řetězec společnosti 3CX z března 2023, který využil předchozí napadení dodavatelského řetězce americké společnosti zabývající se finančními technologiemi z roku 2022, skupině Citrine Sleet (DEV-0139). Bylo to poprvé, co Microsoft pozoroval aktivitu skupiny využívající existující napadení dodavatelského řetězce k provedení dalšího útoku na dodavatelský řetězec, což ukazuje na rostoucí sofistikovanost severokorejských kybernetických operací.

Emerald Sleet používá osvědčenou taktiku spearphishingu a snaží se od expertů vylákat odpovědi s informacemi o zahraniční politice

Skupina Emerald Sleet (THALLIUM) zůstává nejaktivnějším severokorejským aktérem hrozeb, kterého Microsoft v uplynulém roce sledoval. Skupina Emerald Sleet pokračuje v častém zasílání spearphishingových e-mailů odborníkům na Korejský poloostrov po celém světě za účelem shromažďování zpravodajských informací. V prosinci 2022 Analýza hrozeb Microsoft podrobně popsala phishingové kampaně skupiny Emerald Sleet zaměřené na vlivné experty na Severní Koreu ve Spojených státech a spojeneckých zemích spojeneckých s USA. Microsoft zjistil, že Emerald Sleet místo škodlivých souborů nebo odkazů na škodlivé weby používá jedinečnou taktiku – vydává se za renomované akademické instituce a nevládní organizace a snaží se od obětí vylákat odpovědi s odbornými poznatky a komentáři o zahraniční politice týkající se Severní Koreje.

Schopnosti: Vliv

Severní Korea v uplynulém roce prováděla omezené operace ovlivňování na platformách sociálních médií pro sdílení videí, jako jsou YouTube a TikTok.34 Severokorejští influenceři na YouTube jsou většinou dívky a ženy (jedné z nich je teprve jedenáct let), které zveřejňují videoblogy o svém každodenním životě a propagují pozitivní narativy o režimu. Někteří influenceři mluví ve svých videích anglicky, aby oslovili širší globální cílové skupiny. Severokorejští influenceři jsou mnohem méně efektivní než iniciativa čínských influencerů podporovaná státními médii.

Výhled do budoucna v době, kdy geopolitické napětí pohání kybernetické aktivity a operace ovlivňování

Čína v posledních letech dál rozšiřovala své kybernetické schopnosti a ve svých kampaních operací ovlivňování ukazovala mnohem větší ambice. V nejbližší době se Severní Korea bude dál zaměřovat na cíle související s jejími politickými, ekonomickými a obrannými zájmy v regionu. Můžeme očekávat rozsáhlejší kybernetickou špionáž proti odpůrcům i stoupencům geopolitických cílů KS Číny na všech kontinentech. Přestože čínské skupiny aktérů hrozeb nadále vyvíjejí a využívají působivé kybernetické schopnosti, nezaznamenali jsme, že by Čína kombinovala kybernetické operace a operace ovlivňování – na rozdíl od Íránu a Ruska, které se zapojují do kampaní zahrnujících napadení a únik dat.

Aktéři ovlivňování spojení s Čínou, kteří působí v měřítku nesrovnatelném s jinými aktéry škodlivého ovlivňování, jsou připraveni v příštích šesti měsících využít několik klíčových trendů a událostí.

Zaprvé, operace využívající video a vizuální média se stávají normou. Sítě spojené s KS Číny už dlouho využívají profilové obrázky generované umělou inteligencí a letos začaly využívat obrázky generované umělou inteligencí pro vizuální memy. Státem podporovaní aktéři budou také nadále využívat studia pro vytváření soukromého obsahu a firmy nabízející péči o vztahy s veřejností k externímu zpracování propagandy na zakázku.35

Zadruhé, Čína bude i nadále usilovat o zapojení autentických cílových skupin a investovat čas a prostředky do kultivovaných prostředků sociálních médií. Průkopníky úspěšného zapojení sociálních médií jsou influenceři s hlubokými kulturními a jazykovými znalostmi a vysoce kvalitním videoobsahem. KS Číny použije některé z těchto taktik, včetně interakce s uživateli sociálních médií a demonstrování kulturních znalostí, k posílení svých skrytých kampaní v sociálních médiích.

Zatřetí, Tchaj-wan a Spojené státy pravděpodobně zůstanou dvěma hlavními prioritami pro čínské operace ovlivňování, zejména s ohledem na nadcházející volby v obou zemích v roce 2024. Vzhledem k tomu, že aktéři ovlivňování spojení s KS Číny se v nedávné minulosti zaměřili na volby v USA, je téměř jisté, že to budou dělat znovu. Prostředky v sociálních médií vydávající se za americké voliče budou pravděpodobně vykazovat vyšší stupeň sofistikovanosti a aktivně šířit rasové, socioekonomické a ideologické rozpory prostřednictvím obsahu, který ostře kritizuje Spojené státy.

  1. [1]
  2. [2]

    Nové základny na Filipínách zvyšují vojenskou přítomnost USA v regionu, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    V současnosti není dostatek důkazů, které by tyto skupiny spojovaly.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Takoví aktéři ovlivňování jsou někdy známí jako „Spamouflage Dragon“ nebo „DRAGONBRIDGE“.
  18. [18]
  19. [19]
  20. [20]

    Viz: Architektura centra Microsoft Threat Analysis Center pro určování přisuzování ovlivňování. https://go.microsoft.com/fwlink/?linkid=2262095; Tuto čínskou diasporu čínská vláda běžně označuje jako „zahraniční Číňany“ neboli 华侨 (huaqiao). Označuje tak osoby s čínským občanstvím nebo původem, které žijí mimo ČLR. Podrobnější informace o výkladu čínské diaspory ze strany Pekingu viz:: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Čínská vláda toto tvrzení rozšířila na začátku pandemie onemocnění COVID-19, viz: https://go.microsoft.com/fwlink/?linkid=2262170; Mezi weby v této síti, které toto tvrzení propagují, patří: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Obrana Ukrajiny: První lekce z kybernetické války, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Další výklad pro xuexi qiangguo je „Studuj Si, posiluj zemi“. Je to slovní hříčka s příjmením Si Ťin-pchinga. Vlády, univerzity a firmy v Číně používání této aplikace silně podporují a někdy své podřízené, kteří ji nepoužívají často, zostuzují nebo trestají, viz: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    Noviny vlastní společnost Shanghai United Media Group, která je zase vlastněna šanghajským výborem komunistické strany: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    KS Číny už dříve investovala do společností ze soukromého sektoru, které pomáhají s kampaněmi operací ovlivňování prostřednictvím technik manipulace se SEO, falešných lajků a sledujících a dalších služeb. Dokumenty zadávání zakázek takové nabídky odhaluje, viz: https://go.microsoft.com/fwlink/?linkid=2262522

Operace kybernetického ovlivňování Studie o východoasijských státních aktérech hrozeb Studie o státních aktérech hrozeb Phishing Aktéři hrozeb

Související články

Volt Typhoon útočí na kritickou infrastrukturu USA pomocí technik „living-off-the-land“

Čínský státem sponzorovaný aktér hrozby Volt Typhoon pomocí skrytých technik útočí na kritickou infrastrukturu USA, provádí špionáž a pobývá v napadeném prostředí.
Další informace

Propaganda v digitálním věku: Jak kybernetické vlivové operace narušují důvěru

Prozkoumejte svět kybernetických vlivových operací, ve kterém národní státy šíří propagandu, jejímž cílem je ohrozit důvěryhodné informace potřebné k rozvoji demokracie.
Další informace

Írán začíná používat kybernetické operace ovlivňování, aby dosáhl většího efektu

Tým Analýzy hrozeb Microsoft odhalil zvýšený počet kybernetických operací ovlivňování z Íránu. Získejte přehled o hrozbách s podrobnostmi o nových technikách a o tom, kde existuje potenciál budoucích hrozeb.
Další informace

Sledujte zabezpečení od Microsoftu