Trace Id is missing

Stejné cíle, nové scénáře: Aktéři hrozeb z východní Asie nasazují jedinečné metody

Stáhnout
Sdílet
Abstraktní ilustrace námořní lodě s grafickými červenými kruhy a černými prvky grafu partnerských uzlů na růžovém pozadí.

Od června 2023 zaznamenal Microsoft několik významných trendů v ovlivňování a kybernetice z Číny a Severní Koreje, které dokazují nejen zdvojnásobení známých cílů, ale také pokusy o použití sofistikovanějších metod vlivu k dosažení cílů.

Čínští aktéři kybernetických hrozeb si během posledních sedmi měsíců zvolili za cíl tři oblasti:

  • Jedna sada čínských aktérů ve velké míře cílila na subjekty napříč ostrovy Jižního Pacifiku.
  • Druhá sada čínských aktivit pokračovala ve sledu kybernetických útoků na regionální odpůrce v oblasti Jihočínského moře.
  • Třetí sada čínských aktérů mezitím napadla průmyslovou základnu americké obrany.

Čínští aktéři hrozeb se místo rozšíření geografického rozsahu svých cílů rozhodli zdokonalit své metody a experimentovat s novými médii. Čínské kampaně v ovlivňování nadále upřesňují obsah generovaný nebo vylepšený umělou inteligencí. Aktéři ovlivňování, kteří za těmito kampaněmi stojí, ukázali svou ochotu k zesílení médií generovaných umělou inteligencí, které jsou přínosem pro jejich strategické narativy, a zároveň ke tvorbě vlastních videí, memes a audio obsahu. Tyto taktiky použili v kampaních, vyvolali tak rozkol v rámci Spojených států a zhoršili rozepře v oblasti Asijského Pacifiku — včetně Taiwanu, Japonska a Jižní Koreje. Kampaně rezonovaly v rozdílných úrovních a výsledkem nebyla jediná formule pro konzistentní zapojení publika.

Kybernetičtí aktéři ze Severní Koreje se dostali na titulní strany novin kvůli rostoucím útokům na dodavatelské řetězce softwarů a krádežím kryptoměn během uplynulého roku. Strategické spear-phishingové kampaně cílící na výzkumníky, kteří studovali korejský poloostrov, jsou nadále konstantním trendem a severokorejští aktéři hrozeb mezitím podle všeho využili legitimní software k útoku na další oběti.

Aktér Gingham Typhoon cílí na vládní, IT a multinárodní subjekty napříč ostrovy Jižního Pacifiku

Během léta 2023 zaznamenala Analýza hrozeb Microsoft rozsáhlou aktivitu špionážní čínské skupiny Gingham Typhoon, která cílila téměř na každou zemi z ostrovů Jižního Pacifiku. Gingham Typhoon je nejaktivnějším aktérem v této oblasti, který pomocí komplexních phishingoých kampaní postihuje mezinárodní organizace, vládní subjekty a IT sektor. Oběti jsou často také hlasití kritici čínské vlády.

Diplomatičtí spojenci Číny, kteří byli oběťmi nedávných aktivit Gingham Typhoon, zahrnují výkonné kanceláře ve vládě, přidružená oddělení, dodavatele internetových služeb a dopravní subjekty.

Motivací pro tyto ofenzivní kybernetické aktivity může být zvýšená geopolitická a diplomatická konkurence v této oblasti. Čína se snaží navázat strategická partnerství s národy ostrovů Jižního Pacifiku a rozšířit tak své obchodní vazby a zprostředkovat diplomatické a bezpečnostní smlouvy. Čínská kybernetická špionáž v této oblasti následuje obchodní partnery.

Čínský aktér je zapojen například do rozsáhlých zásahů na multinárodní organizace v Papui- Nové Guineji, dlouhodobém diplomatickém partnerovi, který těží z mnoha projektů Nové Hedvábné stezky. Jedním z nich je stavba velké dálnice pojící vládní budovu Papui-Nové Guineji s hlavní silnicí hlavního města. 1

Mapa znázorňující četnost cílených kybernetických hrozeb v tichomořských ostrovních státech pomocí větších kruhů
Obrázek 1: Pozorované události spojené s hrozbou Gingham Typhoon od června 2023 do ledna 2024. Tato aktivita dokládá trvalé cílení útočníků na ostrovní státy v jižním Tichomoří. Velká část tohoto cílení na danou oblast však byla průběžná a dlouholetá. Zeměpisná umístění a průměry symbolů jsou reprezentativní.

Čínští aktéři hrozeb si mezi vojenskými cvičeními Západu udržují pozornost na Jihočínské moře

Čínský aktér hrozeb nadále cílil na subjekty související s čínskou ekonomikou a vojenskými zájmy v okolí Jihočínského moře. Tito aktéři oportunisticky napadli vládní a telekomunikační oběti ve Sdružení národů jihovýchodní Asie (ASEAN). Kybernetický aktér ve spojení s čínským státem se zdál mít zvláštní zájem o cíle související s americkými vojenskými výcviky, které v této oblasti probíhají. Raspberry Typhoon, státní skupina aktivit s mimočínskou základnou, v červnu 2023 úspěšně napadla vojenské a výkonné subjekty v Indonésii a malajsijský námořní systém. Došlo k tomu během týdnů předcházejícím neobvyklému multilaterálnímu námořnímu cvičení, které zahrnuje Indonésii, Čínu a Spojené státy.

Podobným způsobem byli dalším čínským kybernetickým aktérem Flax Typhoon napadeny subjekty související s americko-filipínskými vojenskými cvičeními. Granite Typhoon, další čínský aktér hrozeb, mezitím v tomto období napadl zejména telekomunikační subjekty v regionu. Oběti byl v Indonésii, Malajsii, na Filipínách, v Kambodži a na Taiwanu.

Od zveřejnění článku o Flax Typhoonna blogu Microsoftu byly začátkem podzimu a zimy 2023 zaznamenány nové cíle Flax Typhoon na Filipínách, v Hong Kongu, Indii a ve Spojených státech.2 Tento aktér také často napadá telekomunikační sektory, které mají následné dopady.

Mapa zobrazující data Analýzy hrozeb Microsoft o nejčastěji napadaných oblastech v Asii
Obrázek 2: Pozorované události, které cílily na země v oblasti Jihočínského moře nebo v jejím okolí, za nimiž stojí Flax Typhoon, Granite Typhoon nebo Raspberry Typhoon. Zeměpisná umístění a průměry symbolů jsou reprezentativní.

Nylon Typhoon napadá subjekty zahraničních věcí po celém světě

Čínský aktér hrozeb Nylon Typhoon pokračuje ve svých dlouhodobých praktikách, v nichž cílí na subjekty zahraničních věcí v zemích po celém světě. V období od června do prosince 2023 zaznamenal Microsoft aktivity skupiny Nylon Typhoon u vládních subjektů v Jižní Americe, včetně Brazílie, Guatemaly, Kostariky a Peru. Zmíněný aktér hrozeb byl zaznamenán také v Evropě, kde napadl vládní subjekty v Portugalsku, Francii, Španělsku, Itálii a Spojeném království. Většina evropských cílů byly vládní subjekty, ale napadeny byly také některé IT firmy. Účelem těchto napadení je zisk informací.

Čínská skupina aktérů hrozeb cílí na vojenské subjekty a kritickou infrastrukturu ve Spojených státech

Nakonec přišla během podzimu a zimy 2023 s vlnou aktivit skupina Storm-0062. Velkou částí těchto aktivit bylo napadení amerických vládních subjektů souvisejících s obranou, včetně dodavatelů technicko-inženýrských služeb pro letecký průmysl, obranu a přírodní zdroje nezbytné pro národní bezpečnost Spojených států. Kromě toho skupina Storm-0062 opakovaně napadala vojenské subjekty ve  Spojených státech. Není však jasné, zda byla skupina ve svých pokusech o napadení úspěšná.

Průmyslová základna obrany Spojených států nadále zůstává cílem skupiny Volt Typhoon. V květnu 2023 připsal Microsoft útoky na kritické organizace infrastruktury Spojených států skupině Volt Typhoon, aktéru se základnou v Číně za státní podpory. Skupina Volt Typhoon získala přístup k sítím organizací díky metodám „living-off-the-land“ a aktivitám „hands-on-keyboard“.3Tyto taktiky skupině Volt Typhoon umožnily, aby si potají udržela neautorizovaný přístup k sítím cíle. Skupina Volt Typhoon pokračovala od června do prosince 2023 v útocích na kritickou infrastrukturu, ale zároveň prostřednictvím útoků na zařízení malých kanceláří a home officů (SOHO) ve Spojených státech usilovala o rozvoj zdrojů.

V naší zprávě ze září 2023 jsme zveřejnili podrobnosti o tom, jak začaly čínské operace ovlivňování (IO) používat generativní AI k tvorbě elegantního a poutavého vizuálního obsahu. Během léta pokračovala Analýza hrozeb Microsoft v identifikaci memes generovaných umělou inteligencí, jejichž cílem byly Spojené státy a které zesílily kontroverzní domácí problémy a kritizovaly současnou administraci. IO aktéři ve spojení s Čínou v průběhu roku v kampaních ovlivňování nadále s rostoucím objemem a frekvencí používají média vylepšená a generována umělou inteligenci (dále „AI obsah“).

Použití AI roste (ale nenechává se ovlivnit)

Storm-1376 je z aktérů, kteří používají AI obsah, nejproduktivnější — jedná se o pracovní pozici Microsoftu pro aktéra, který je spojen s Komunistickou stranou Číny (CCP) a je známý jako „Spamouflage“ nebo „Dragonbridge“. Začátkem zimy začali používat AI obsah ve větším objemu i další aktéři spojení s CCP, aby tak zvýšili online IO. Součástí byl významný nárůst v obsahu, který před prezidentskými a legislativními volbami 13. ledna zahrnoval i politické osobnosti Taiwanu. Šlo o první případ, kdy byla Analýza hrozeb Microsoft svědkem toho, že státní aktér použil AI obsah ve snaze ovlivnit zahraniční volby.

Zvuk generovaný umělou inteligencí: Storm-1376 v den voleb na Taiwanu zveřejnil podezřelé zvukové klipy Foxconnu Terryho Goua vygenerované umělou inteligencí vlastníka. Gou je nezávislý kandidát Strany v taiwanských prezidentských volbách se z voleb v listopadu 2023 stáhl. Zvukové nahrávky zachycovaly Gouova slova podpory pro jiného kandidáta prezidentských voleb. Hlas Goua v nahrávkách je pravděpodobně vygenerován umělou inteligencí vzhledem k tomu, že Gou žádné podobné prohlášení nepodal. Youtube tento obsah stihl zaznamenat dříve, než se dostal k podstatnému množství uživatelů. Tato videa byla zveřejněna několik dní poté, co online prostorem koloval falešný dopis od Terryho Goua, v němž stejného kandidáta podporoval. Hlavní taiwanské organizace, které ověřují fakta, pravost tohoto dopisu vyvrátily. Goův tým také podal prohlášení o nepravosti dopisu a oznámil, že v odpovědi provede právní kroky.4 Gou žádného kandidáte prezidentských voleb formálně nepodpořil.
Muž v obleku, který hovoří na pódiu, s textem v čínštině a grafickým znázorněním zvukové křivky v popředí
Obrázek 3: Ve videích publikovaných skupinou Storm-1376 se používaly hlasové nahrávky Terryho Goua vygenerované umělou inteligencí, aby to vypadalo, že podporuje jiného kandidáta.
Zprávaři generovaní umělou inteligencí: Moderátoři zpráv generovaní umělou inteligenci technologických firem třetí strany, kteří používají nástroj čínské technologické firmy ByteDance, se objevili v řadě kampaní s představiteli Taiwanu5a také zasílali zprávy přes Myanmar. Storm-1376 využívá tyto moderátory zpráv generované umělou inteligencí minimálně od února 2023,6 ale v posledních měsících objem obsahu s těmito zprávaři narostl.
Koláž vojenského vozidla
Obrázek 4: Skupina Storm-1376 zveřejnila videa v mandarínštině a angličtině, v nichž tvrdí, že za nepokoji v Myanmaru stojí Spojené státy a Indie. V některých z těchto videí je použit stejný hlasatel vygenerovaný umělou inteligencí.
Videa za podpory umělé inteligence: Jak doložila kanadská vláda a další výzkumníci, videa za podpory umělé inteligence v kampani proti kanadským členům Parlamentu využila podobnosti s čínským disidentem žijícím v Kanadě.7Tato falešná videa zobrazovala disidenta, jak pronáší pobuřující poznámky na adresu kanadské vlády. Šlo pouze o jednu část kampaně odehrávající se na několika platformách, která zahrnovala obtěžování kanadských politiků na jejich účtech na sociálních sítích. Podobná videa za podpory umělé inteligence byla již v minulosti proti tomuto disidentovi použita.
Osoba sedící u stolu
Obrázek 5: Deepfake videa disidenta, který se hanlivě vyjadřuje o náboženství, vytvořená pomocí AI. Přestože tato videa používají podobnou taktiku jako kampaň v Kanadě, vypadá to, že spolu obsahově nesouvisejí.
Memes generovaná umělou inteligencí: Skupina Storm-1376 v prosinci propagovala sérii memes generovaných umělou inteligencí. Memes zobrazovala prezidentského kandidáta Williama Laie, tehdy kandidujícího za Demokratickou pokrokovou stranu (DPP), ve spojitosti s odpočtem „X dní“ do doby, kdy přijde DPP o moc.
Grafické znázornění se dvěma obrázky vedle sebe, z nichž jeden obsahuje postavu s červeným křížkem a druhý tutéž postavu bez označení,
Obrázek 6: Memy vygenerované umělou inteligencí obviňují prezidentského kandidáta strany DPP, Williama Laie, ze zpronevěry finančních prostředků z tchajwanského programu Forward-looking Infrastructure Development Program. Tyto memy obsahovaly zjednodušené znaky (používané v ČLR, ale ne na Tchaj-wanu) a byly součástí série memů, která ukazovala každodenní „odpočítávání času do odstavení strany DPP od moci“.
Infografika s časovou osou ukazující vliv obsahu vygenerovaného umělou inteligencí na volby na Tchaj-wanu od prosince 2023 do ledna 2024
Obrázek 7: Časová osa obsahu vygenerovaného a vylepšeného umělou inteligencí, který se objevil před prezidentskými a parlamentními volbami konajícími se na Tchaj-wanu v lednu 2024. Skupina Storm-1376 rozšířila větší množství takového obsahu a byla zodpovědná za vytvoření obsahu ve dvou kampaních.

Storm-1376 pokračuje v reaktivním zasílání zpráv, občas s konspiračním obsahem

Storm-1376 — aktér, jehož operace ovlivňování pokrývají více než 175 webových stránek a 58 jazyků — nadále pokračuje v častém připojování reaktivních kampaní zasílání zpráv během významných geopolitických událostí, především těch, které vykreslují Spojené státy v nepřívětivém světle nebo podporují zájmy CCP v oblasti Asie a Tichomoří. Od naší poslední zprávy v září 2023 se tyto kampaně vyvinuly několika významnými způsoby, včetně zapojení fotografií generovaných umělou inteligenci k oklamání publika, podněcování konspiračního obsahu — především proti americké vládě — a cílení lokalizovaného obsahu na nové obyvatelstvo, například obyvatelstvo Jižní Koreje.

1. Taktika „počasí jako zbraně“ americké vlády údajně započala požáry na Havaji

Na severozápadním pobřeží Maui na Havaji vypukly v srpnu 2023 požáry. Skupina Storm-1376 toho využila k šíření konspiračního obsahu na mnoha platformách sociálních sítích. Tyto příspěvky tvrdily, že požáry úmyslně založila americká vláda, aby otestovala vojenskou strategii „počasí jako zbraň“. Skupina Storm-1376 publikovala text v nejméně 31 jazycích napříč mnoha  webovými stránkami a platformami a doplnila ho o fotky hořících pobřežních silnic a rezidencí generované umělou inteligenci, aby obsah upoutal pozornost.8

Zkomponovaný obrázek s „falešným“ razítkem přes dramatické záběry požárů
Obrázek 8: Skupina Storm-1376 publikuje konspirační obsah několik dní po vypuknutí požárů a tvrdí, že požáry byly důsledkem testování „meteorologické zbraně“ vládou USA. Tyto příspěvky byly často doprovázeny fotografiemi rozsáhlých požárů generovanými umělou inteligencí.

2. Silné pobouření kvůli likvidace nukleárních odpadních vod v Japonsku

Skupina Storm-1376 vypustila rozsáhlou agresivní kampaň zasílání zpráv, v níž kritizovala japonskou vládu poté, co 24. srpna 2023 začalo Japonsko vypouštět do Tichého oceánu vyčištěnou radioaktivní odpadní vodu.9 Obsah skupiny Storm-1376 vyvolal pochybnosti o vědeckém zhodnocení Mezinárodní agentury pro atomovou energii (IAEA), která uvedla, že odpad je bezpečný. Skupina Storm-1376 posílala zprávy v mnoha jazycích — včetně japonštiny, korejštiny a angličtiny — bez rozdílu na mnoho platforem sociálních sítích. Část obsahu dokonce obviňuje Spojené státy z toho, že se záměrně snaží otrávit jiné země, aby si tak udržely „vodní nadvládu“. Obsah použitý v této kampani nese známky umělé inteligence.

V některých případech skupina Storm-1376 zrecyklovala obsah použitá jinými aktéry v ekosystému čínské propagandy, včetně influencerů sociálních sítí, kteří jsou ve spojení se státními médii Číny.10 Influenceři a prostředky patřící pod skupinu Storm-1376 nahráli tři identická videa kritizující vypuštění odpadní vody z Fukušimy. Během roku 2023 narostlo množství případů, kdy různí aktéři používají příspěvky s identickým obsahem, který je zdánlivě synchronizován, což může naznačovat koordinaci nebo řízení zpráv.

Sestavený obrázek se satirickou ilustrací lidí, snímkem obrazovky videa zobrazujícího godzillu a příspěvkem na sociálních sítích
Obrázek 9: Memy a obrázky vygenerované umělou inteligencí kritizující likvidaci odpadních vod ve Fukušimě čínskými tajnými složkami IO (vlevo) a čínskými vládními představiteli (uprostřed). Influenceři napojení na čínská státní média také šířili zprávy kritizující likvidaci ze strany vlády (vpravo).

3. Vyvolávání neshod v Jižní Koreji

Skupina Storm-1376 se ve spojitosti s likvidací odpadních vod z Fukušimy usilovně pokoušela cílit na Jižní Koreu, a to pomocí lokalizovaného obsahu, který umocňuje již probíhající protesty v proti likvidaci, a obsahu kritizující japonskou vládu. Součástí této kampaně byly stovky příspěvků v korejštině napříč mnoha platformami a webovými stránkami, včetně jihokorejských sociálních sítí jako Kakao Story, Tistory a Velog.io.11

Součástí této cílené kampaně skupina Storm-1376 aktivně umocňovala komentáře a kroky představitele strany Minjoo a neúspěšného kandidáta prezidentských voleb 2022 Lee Jaemyunga (이재명, 李在明). Lee kritizoval krok Japonska jako „teror kontaminované vody“ a přirovnal ho ke „druhé válce v Tichomoří“. Také obvinil současnou vládu Jižní Koreje z toho, že je „komplicem v zálohování“ japonského rozhodnutí, a na protest začal s hladovkou, kterou držel 24 dní.12

Komiks se čtyřmi obrázky o znečištění životního prostředí a jeho dopadu na mořský život.
Obrázek 10: Memy v korejštině z jihokorejské blogovací platformy Tistory umocňují nesouhlas s likvidací odpadní vody ve Fukušimě.

4. Vykolejení vlaku v Kentucky

Během svátku Díkuvzdání v listopadu 2023 vykolejil v Rockcastle County, Kentucky vlak, který vezl roztavenou síru. Zhruba týden po vykolejení vlaku vypustila skupina Storm-1376 kampaň na sociálních sítích, která na vykolejení upozorňovala, šířila konspirační teorie proti americké vládě a zdůraznila politický rozpor napříč americkými voliči. Skupina tak docílila vyšší nedůvěry a pocitu rozčarování ohledně vlády Spojených států. Skupina Storm-1376 nabádala publikum k tomu, aby zvážilo, zda mohla vykolejení vlaku způsobit americká vláda a zda „úmyslně něco neskrývá.“13 Některé zprávy vykolejení dokonce přirovnávaly k teoriím o ututlání 11. září a útoku na Pearl Harbor.14

Loutky čínských IO se snaží získat perspektivy na témata politiky Spojených států

V naší zprávě ze září 2023 jsem zdůraznili, jak začaly účty na sociálních sítí ve spojení s CCP imitovat americké voliče tím, že se vydávaly za Američany napříč politickým spektrem a odpovídaly na komentáře od skutečných uživatelů.15 Tyto snahy ovlivnit americké volby v polovině mandátu 2022 byly v čínských IO viděny vůbec poprvé.

Centrum Analýzy hrozeb Microsoftu (MTAC) zaznamenalo malý, ale stabilní nárůst dodatečných účtů loutek. Jsme si poměrně jisti, že jsou vedeny CCP. Na platformě X (dříve Twitter) vznikly tyto účty už v roce 2012 nebo 2013, ale pod svými aktuálními personami začaly přispívat až začátkem roku 2023. To naznačuje, že účty nedávno získal někdo jiný nebo došlo ke změně v jejich účelu. Tyto loutky publikují jak videa s originální produkcí, memes a infografiky, tak recyklovaný obsah z jiných významných politických účtů. Tyto účty publikují téměř výhradně příspěvky o domácích problémech Spojených států — včetně zneužití drog Američany, imigrační politiky a rasového napětí — ale občas komentují i témata ve spojitosti s Čínou, jako například likvidace odpadní vody z Fukušimy nebo čínští disidenti.

Snímek obrazovky počítače s textem Válka a konflikty, drogová problematika, vztahy mezi rasami atd.
Obrázek 11: Čínské loutky a osobnosti v průběhu léta a podzimu často ve svých příspěvcích o politických otázkách a aktuálních událostech v USA používaly poutavé vizuály – někdy také vylepšené generativní umělou inteligencí.
Kromě infografik nebo videí s politickou motivací se tyto účty svých sledujících často ptají, jestli s daným tématem souhlasí. Některé z těchto účtů publikovaly příspěvky o různých prezidentských kandidátech a pak své sledující požádaly, aby do komentářů napsali, zda je podpoří nebo ne. Záměrem této taktiky může být zisk většího zapojení nebo náhledu do toho, jak Američané nahlíží na politiku Spojených států. Jiné účty tohoto typu mohou fungovat za účelem zvýšení informací ohledně demografií hlavních voličů v rámci Spojených států.
Rozdělená obrazovka se srovnáním snímků: vlevo vojenské proudové letadlo startující z letadlové lodi a vpravo skupina lidí sedících za zábranou
Obrázek 12: Čínské loutky od ostatních uživatelů na X zjišťují názory na politická témata

Kybernetičtí aktéři hrozeb ze Severní Koreje v roce 2023 ukradli stovky milionů dolarů v kryptoměně, provedli útoky na dodavatelské řetězce softwarů a cílili na protivníky své národní bezpečnosti. Jejich operace generují výnosy pro severokorejskou vládu — zejména pro jejich program o zbraních — a sbírají informace o Spojených státech, Jižní Koree a Japonsku.16

Infografika zobrazující odvětví a země, které jsou nejčastějším terčem kybernetických hrozeb.
Obrázek 13: Odvětví a země, na než v období od června 2023 do ledna 2024 nejvíc cílily útoky Severní Korey, na základě údajů Analýzy hrozeb Microsoft vycházejících z oznámení národních států.

Kybernetičtí aktéři ze Severní Koreje ukradli rekordní množství kryptoměny, aby pro stát generovali výnosy.

Dle odhadů Spojených národů ukradli severokorejští kybernetičtí aktéři od roku 2017 přes 3 miliardy USD v kryptoměně.17Jen v roce 2023 došlo ke krádežím ve výši mezi 600 milionů USD a 1 miliardou USD. Ukradené peníze by měly financovat polovinu nukleárního a střelného programu země, což Severní Koreji umožňuje šíření a testování zbraní bez ohledu na sankce.18Severní Korea provedla během uplynulého roku velké množství střelných testů a vojenských cvičení, a 21. listopadu 2023 dokonce do vesmíru úspěšně vypustila vojenskou průzkumnou družici.19

Tři aktéři hrozeb evidovaní Microsoftem — Jade Sleet, Sapphire Sleet, a Citrine Sleet — se od června 2023 na kryptoměny zaměřili nejvíce. Jade Sleet provedl rozsáhlé krádeže kryptoměn a Sapphire Sleet provedl menší, ale zato častější operace krádeže kryptoměn. Aktéru Jade Sleet připsal Microsoft krádež minimálně 35 milionů USD z estonské kryptoměnové firmy začátkem června 2023. O měsíc později připsal Microsoft aktéru Jade Sleet také krádež více než 125 milionů USD ze singapurské kryptoměnové platformy. Jade Sleet začal v srpnu 2023 napadat online kryptoměnová kasína.

Sapphire Sleet neustále napadal mnoho zaměstnanců, včetně vedoucích pracovníků a vývojářů kryptoměn, rizikového kapitálu a dalších finančních organizací. Sapphire Sleet vyvinul také nové metody, jako je například zasílání falešných pozvánek na virtuální schůzky, které obsahují odkazy na domény útočníků, nebo registrace falešných webových stránek s náborem zaměstnanců. Citrine Sleet následoval útoky na dodavatelský řetězec 3CX z března 2023 tak, že napadl navazující tureckou firmu s kryptoměnou a digitálními prostředky. Oběť hostovala náchylnou verzi aplikací 3CX, které jsou spojeny z útokem na dodavatelský řetězec.

Kybernetičtí aktéři ze Severní Koreje hrozí IT sektoru spearphishingem a útoky na dodavatelské řetězce softwaru

Aktéři hrozeb ze Severní Koreje provedli útoky na dodavatelské řetězce softwaru v IT firmách, díky kterým získali přístup k zákazníkům. Aktér Jade Sleet použil ve spearphishingových kampaních pro sociální inženýrství úložiště GitHub a útočné balíčky npm, které mířily na zaměstnance kryptoměnových a technologických organizací.20 Útočníci se vydávali za vývojáře nebo náboráře, vyzývali oběti ke spolupráci na úložišti GitHub a přesvědčili je, aby naklonovaly a provedly jeho obsah, který obsahuje škodlivé balíčky npm. Aktér Diamond Sleet provedl v srpnu 2023 útok na dodavatelský řetězec německé IT firmy a v listopadu 2023 použil k útoku na dodavatelský řetězec aplikaci taiwanské IT firmy. Diamond Sleet i Onyx Sleet zneužili v říjnu 2023 zranitelnost TeamCity CVE-2023- 42793, což útočníkům umožňuje provádět vzdálený útok a získat administrativní kontrolu serveru. Diamond Sleet použil tuto metodu k útoku na stovky obětí v různých odvětvích v rámci Spojených států i zemí Evropy, včetně Spojeného království, Dánska, Irska a Německa. Onyx Sleet zneužil tutéž zranitelnost k napadení minimálně 10 obětí — včetně dodavatele softwaru v Austrálii a vládní agentury v Norsku — a použil nástroje k použití po útoku k tomu, aby vypustil další škodlivou činnost viru.

Aktéři hrozeb ze Severní Koreje cílil na Spojené státy, Jižní Koreu a jejich spojence

Aktéři hrozeb ze Severní Koreje pokračovali v cílení na nepřátele národního zabezpečení. Tato kybernetická činnost doložila geopolitický cíl Severní Koreje, kterým je boj proti trojstranné alianci mezi Spojenými státy, Jižní Koreou a Japonskem. Vůdci těchto tří zemí během summitu Camp David v srpnu 2023 toto spojenectví upevnili.21 Ruby Sleet a Onyx Sleet pokračovali ve svých trendech cílení na vzdušný prostor a organizace na obranu ve Spojených státech a v Jižní Koreji. Aktér Emerald Sleet si udržel svou průzkumnou a spear-phishingovou kampaň tím, že cílil na diplomaty a vládní odborníky na korejský poloostrov, think tanky/nevládní organizace, média a vzdělávání. Aktér Pearl Sleet v červnu 2023 pokračoval v operacích, při nichž cílil na subjekty Jižní Koreje spolupracující s dezertéry a aktivisty ze Severní Koreje, kteří jsou zaměřeni na problémy lidských práv v Severní Koreji. Motivem této činnosti byl dle vyhodnocení Microsoftu sběr informací.

Aktéři ze Severní Koreje implementují do legitimního softwaru zadní vrátka

Aktéři hrozeb ze Severní Koreje použili v legitimním softwaru zadní vrátka, díky kterým těžili na zranitelnosti existujícího softwaru. Během první poloviny roku 2023 aktér Diamond Sleet často používal VNC malware určený k útoku a napadal jím oběti. Aktér Diamond Sleet také v červenci 2023 pokračoval v použití malwaru PDF čtečky určeného k útoku — metoda, kterou Analýza hrozeb Microsoft zanalyzovala v příspěvku na blogu ze září 2022.22 Aktér Ruby Sleet také v prosinci 2023 pravděpodobně použil instalační program zadních vrátek z programu na elektronické dokumenty Jižní Koreje.

Severní Korea použila nástroje umělé inteligence, aby umožnila škodlivou kybernetickou činnost

Aktéři hrozeb ze Severní Koreje se adaptují na věk umělé inteligence. Učí se používat nástroje za podpory velkých jazykových modelů (LLM) umělé inteligence, aby jejich operace byly efektivnější. Microsoft a OpenAI například zaznamenali, že aktér Emerald Sleet používá velké jazykové modely k podpoře spearphishingových kampaní, které cílí na odborníky na korejský poloostrov.23 Emerald Sleet použil velké jazykové modely k rešerši zranitelností a provedení průzkumu organizací a odborníků zaměřených na Severní Koreu. Aktér Emerald Sleet použil velké jazykové modely také k odstranění technických potíží, provedení základních skriptovacích úkolů a vytvoření konceptů na obsah spearphishingových zpráv. Microsoft se spojil s OpenAI, aby zakázal účty a prostředky ve spojení s aktérem Emerald Sleet.

Čína v říjnu oslaví 75. výročí vzniku Čínské lidové republiky a Severní Korea bude pokračovat v prosazování klíčových programů na pokročilé zbraně. Zatímco obyvatelé Indie, Jižní Koreje a Spojených států míří k urnám, čínští kybernetičtí aktéři, aktéři ovlivňování a do určité míry kybernetičtí aktéři ze Severní Koreje se budou pravděpodobně snažit o zacílení na tyto volby.

Čína přinejmenším vytvoří a umocní obsah generovaný umělou inteligencí, který podporuje její postavení v těchto významných volbách. Tento obsah sice nemá přílišný vliv na publikum, ale Čína nadále stále více experimentuje s memes, videy a zvukem, což se nakonec může ukázat jako účinné. Čínští kybernetičtí aktéři už dlouho provádí průzkumy o politických institucích Spojených států a my jsme připraveni vidět, jak budou aktéři kvůli zapojení ovlivňování interagovat s Američany, a případně udělat rešerši náhledů na politiku Spojených států.

Vzhledem k tomu, že se Severní Korea chystá uvést nové vládní politiky a bude usilovat o ambiciózní plány na testování zbraní, lze očekávat stále sofistikovanější krádeže kryptoměn a útoky na dodavatelské řetězce cílící na obranné sektory. To poslouží jak ke generování peněz režimu, tak k usnadnění vývoje nových vojenských dovedností.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1. ledna 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11. ledna 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    „Kampaň „Spamouflage“, za kterou pravděpodobně stojí Čínská lidová republika, cílí v rámci dezinformační kampaně na mnoho členů kanadského Parlamentu“, říjen 2023,

  8. [8]
  9. [9]

    Několik zdrojů zdokumentovalo přetrvávající propagandu Čínské vlády, která cílí na vyvolání mezinárodního pobouření ohledně rozhodnutí Japonska zlikvidovat nukleární odpadní vody z nukleární havárie elektrárny Fukušima Daiichi v roce 2011, viz: Čínské dezinformace přilévají do hněvu ohledně vypuštění vody z Fukušimy“, 31. srpna 2023„Japonsko se stalo cílem čínské propagandy a skryté online kampaně“, 8. června 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Operace kybernetického ovlivňování Státní aktéři Studie o státních aktérech hrozeb Sociální inženýrství Aktéři hrozeb

Související články

Rozsah a účinnost digitálních hrozeb z východní Asie roste

Prozkoumejte nové trendy ve vyvíjejícím se prostředí hrozeb ve východní Asii, kde Čína provádí rozsáhlé kybernetické operace i operace ovlivňování, zatímco severokorejští aktéři kybernetických hrozeb prokazují rostoucí sofistikovanost.
Další informace

Zneužití principu důvěry: podvody sociálního inženýrství

Prozkoumejte digitální prostředí, které se neustále vyvíjí a v němž je důvěra měnou i zranitelností. Objevte podvodné taktiky sociálního inženýrství, které kybernetičtí útočníci používají nejvíce, a revidujte strategie, které vám mohou pomoci identifikovat se a přechytračit hrozby sociálního inženýrství navrženy k manipulaci lidí.
Další informace

Írán posiluje operace kybernetického ovlivňování na podporu Hamásu

Objevte podrobnosti o íránských operacích kybernetického ovlivňování na podporu Hamásu v Izraeli. Přečtěte si o tom, jak operace probíhaly v různých fázích války, a prozkoumejte čtyři klíčové taktiky, techniky a postupy, které Írán nejvíce upřednostňuje.
Další informace

Sledujte zabezpečení od Microsoftu