Trace Id is missing

Digitale trusler fra Østasien vokser i omfang og effektivitet

Download
Del
En person sidder foran en computer

Introduktion

Flere fremvoksende tendenser illustrerer et trusselslandskab i hurtig forandring på tværs af Østasien, hvor Kina foretager både udbredte cyber- og påvirkningsoperationer (IO), og Nordkoreanske trusselsaktører demonstrerer øget sofistikation.

For det første har cybertrusselsgrupper med forbindelse til den kinesiske stat vist særligt fokus på området ved Det Sydkinesiske Hav, hvor de dirigerer cyberspionage mod regeringer og andre vigtige enheder, der slår ring om dette maritime område. Samtidig forsøger Kinas målretning mod USA's forsvarssektor og test af USA's infrastruktursignaler at opnå konkurrencemæssige fordele for Kinas udenrigsrelationer og strategiske militære mål.

For det andet er Kina blevet mere effektiv med hensyn til at engagere brugere af sociale medier med IO i det forløbne år. Kinesiske onlinepåvirkningskampagner har længe gjort brug af stor masse for at nå brugere via netværk med ikke-autentiske konti på sociale medier. Men siden 2022 har Kina-venlige sociale medier-netværk interageret direkte med autentiske brugere på sociale medier, hvor de har målrettet mod specifikke kandidater i indhold om valg i USA og udgivet sig for at være amerikanske vælgere. I sig selv har Kinas statsforbundne flersprogede påvirkningsinitiativ på sociale medier med succes engageret målgrupper på mere end 40 sprog og øget sit publikum til over 103 millioner.

For det tredje har Kina fortsat med at opskalere sine IO-kampagner over det seneste år, hvor de har udvidet bestræbelserne til nye sprog og nye platforme for at øge deres globale aftryk. På sociale medier udruller kampagner tusindvis af ikke-autentiske konti på tværs af masser af hjemmesider, der spreder memes, videoer og meddelelser på flere sprog. I online nyhedsmedier placerer kinesiske statsmedier sig taktfuldt og effektivt som den autoritative stemme om international debat om Kina ved hjælp af en række metoder til at gøre sin påvirkning gældende i medier verden over. En kampagne uddelte propaganda for Kinas Kommunistiske Part (CCP) ved hjælp af oversatte websteder rettet mod personer med kinesisk oprindelse i mere end 35 lande.

Endeligt forbliver Nordkorea – som modsat Kina mangler kapacitet som en sofistikeret påvirkningsaktør – en formidabel cybertrussel. Nordkorea har vist fortsat interesse i indsamling af efterretninger og stigende taktisk sofistikation ved at gøre brug af nedstrømmende forsyningskædeangreb og tyveri af kryptovaluta, foruden andre taktikker.

Kinas cyberoperationer fornyer fokus på Det Sydkinesiske Hav og vigtige brancher i USA

Siden begyndelsen af 2023 har Microsoft Threat Intelligence identificeret tre områder, som kinesisk-forbundne cybertrusselsaktører særligt fokuserer på: Det Sydkinesiske Hav, USA's forsvarsindustrielle base og USA's kritiske infrastruktur.

Kinesisk statssponsoreret målretning afspejler strategiske mål i Det Sydkinesiske Hav

Kinesiske statsforbundne trusselsaktører viser fortsat interesse i Det Sydkinesiske Hav og Taiwan, hvilket afspejler Kinas store samling af økonomiske, forsvarsmæssige og politiske interesser i dette område. 1 Modstridende territoriale krav, stigende spændinger på tværs af strædet og en øget militær tilstedeværelse fra USA kan alle være motivationsfaktorer bag Kinas offensive cyberaktiviteter.2

Microsoft har sporet Raspberry Typhoon (RADIUM) som den primære trusselsgruppe, der retter sig mod nationer, der omkranser det Sydkinesiske Hav. Raspberry Typhoon målretter sig konsekvent mod regeringers ministerier, militære enheder og erhvervsenheder med forbindelse til kritisk infrastruktur, særligt telekommunikation. Siden januar 2023 har Raspberry Typhoon været særligt vedholdende. Ved målretning mod regeringers ministerier eller infrastruktur foretager Raspberry Typhoon normalt indsamling af oplysninger og eksekverer malware. I mange lande varierer målene fra forsvars- og efterretningsrelaterede ministerier til økonomi- og handelsrelaterede ministerier.

Flax Typhoon (Storm-0919) er den mest prominente trusselsgruppe, der målretter mod øen Taiwan. Denne grupper retter sig primært mod telekommunikation, uddannelse, informationsteknologi og energiinfrastruktur, normalt ved at bruge en tilpasset VPN-enhed til at oprette en tilstedeværelse direkte inde i målnetværket. På samme måde målretter Charcoal Typhoon (CHROMIUM) mod taiwanske uddannelsesinstitutioner, energiinfrastruktur og højteknologisk produktion. I 2023 målrettede både Charcoal Typhoon og Flax Typhoon mod taiwanske enheder inden for luftfart, som handler med det taiwanske militær.

Kort over området ved Det Sydkinesiske Hav, der fremhæver observerede hændelser efter land/område
Figur 1: Observerede begivenheder efter land i Det Sydkinesiske Hav fra januar 2022 til april 2023. Få mere at vide om dette billede på side 4 i den komplette rapport

Kinesiske trusselsaktører vender opmærksomheden mod Guam, mens USA bygger en base for marinekorpset

Flere Kina-baserede trusselsgrupper fortsætter med at målrette mod USA's forsvarsindustrielle base, nærmere betegnet Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) og Mulberry Typhoon (MANGANESE). Selvom målene for disse tre grupper til tider overlapper, er de forskellige aktører med forskellig infrastruktur og kapaciteter.3

Circle Typhoon udfører en lang række cyberaktiviteter mod USA's forsvarsindustrielle base, herunder ressourceudvikling, indsamling, oprindelig adgang og adgang til legitimationsoplysninger. Circle Typhoon gør ofte brug af VPN-enheder til at målrette mod it og USA-baserede forsvarsvirksomheder. Volt Typhoon har også foretaget rekognoscering mod flere amerikanske forsvarsvirksomheder. Guam er en af de mest hyppige mål for disse kampagner, særligt enheder inden for satellit- og telekommunikation, der befinder sig der. 4

En af Volt Typhoons hyppigt anvendte taktikker involverer kompromittering af routere til små konterer og hjemmet, typisk for at opbygge infrastruktur.5 Mulberry Typhoon har også rettet sig mod USA's forsvarsindustrielle base, mest bemærkelsesværdigt med en zero-day-sårbarhed rettet mod enheder.6 Øget målretning mod Guam er bemærkelsesværdig på grund af positionen som det amerikanske territorie, der er tættest på Østasien og afgørende for USA's strategi i området.

Kinesiske trusselsgrupper retter sig mod USA's kritiske infrastruktur

Microsoft har observeret trusselsgrupper med forbindelse til den kinesiske stat, som målretter mod USA's kritiske infrastruktur på tværs af flere sektorer og betydelig ressourceudvikling over de seneste seks måneder. Volt Typhoon har været den primære gruppe bag denne aktivitet siden sommeren 2021, og omfanget af denne aktivitet kendes endnu ikke fuldt ud.

Målsektorerne omfatter transport (f.eks. havne og jernbaner), forsyning (f.eks. energi og vandrensning), medicinsk infrastruktur (herunder hospitaler) og telekommunikationsinfrastruktur (herunder satellitkommunikation og fiberoptiske systemer). Microsoft vurderer, at denne kampagne kan give Kina kapaciteter til at forstyrre kritisk infrastruktur og kommunikation mellem USA og Asien.7

En Kina-baseret trusselsgruppe målretter mod omtrent 25 organisationer, herunder enheder under USA's regering

Siden 15. maj har Storm-0558, en Kina-baseret trusselsaktør, brugt forfalskede godkendelsestokens til at opnå adgang til Microsoft-kundemailkonti tilhørende 25 organisationer, herunder amerikanske og europæiske regeringsenheder.8Microsoft er lykkedes med at blokere denne kampagne. Målsætningen med angrebet var at opnå uautoriseret adgang til mailkonti. Microsoft vurderer, at denne aktivitet var i overensstemmelse med Storm-0558's spionagemålsætninger. Storm-0558 har tidligere målrettet mod amerikanske og europæiske diplomatiske enheder.

Kina målretter også mod sine strategiske partnere

Eftersom Kina har øget sine bilaterale relationer og globale partnerskaber via Belt and Road Initiative (BRI), har trusselsaktører med forbindelse til den kinesiske stat udført parallelle cyberoperationer mod private og offentlige enheder verden over. Kina-baserede trusselsgrupper målretter mod lande, der følger Kinas Kommunistiske Partis BRI-strategi, herunder enheder i Kazakhstan, Namibia og Vietnam med flere.9 Samtidig retter udbredt kinesisk trusselsaktivitet sig konsekvent mod udenrigsministerier baseret i Europa, Latinamerika og Asien – sandsynligvis som et led i økonomisk spionage eller med målsætninger vedrørende indhentning af efterretninger.10 I takt med, at Kina udvider sin globale indflydelse, følger de forbudne trusselsgruppers aktiviteter med. Så sent som i april 2023 lykkedes det for Twill Typhoon (TANTALUM) at kompromittere regeringsmaskiner i Afrika og Europa foruden hos humanitære organisationer verden over.

Operationer på sociale medier i tråd med CCP's ønsker øger den effektive målgruppeinteraktion

Skjulte påvirkningsoperationer med tråde til CCP er nu begyndt at interagere vellykket med målgrupper på sociale medier i en større udstrækning end tidligere observeret, hvilket afspejler højere avancerings- og kultiveringsniveauer for online IO-aktiver. Forud for det amerikanske midtvejsvalg i 2022 observerede Microsoft og branchepartnere, at CCP-forbundne konti på sociale medier udgav sig for at være amerikanske vælgere – nyt territorie for CCP-forbundet IO.11 Disse konti udgav sig for at være amerikanere på tværs af det politiske spektrum og svarede på kommentarer fra rigtige brugere.

Både med hensyn til adfærd og indhold viser disse konti mange veldokumenterede kinesiske IO-taktikker, teknikker og -procedurer (TTP'er). Eksempler inkluderer: konti, der laver opslag på mandarin i de tidligere stadier, før der skiftes til et andet sprog, interaktion med indhold fra andre Kina-støttende aktiver umiddelbart før opslag og brug af et "så og forstærk"-interaktionsmønster.12 Modsat tidligere IO-kampagner fra aktører med forbindelse til CCP, der brugte computergenererede brugernavne, viste navne og profilbilleder13, betjenes disse mere sofistikerede konti af rigtige personer, der påtager sig fiktive eller stjålne identiteter for at skjule deres kontis forbindelse til CCP.

Konti på sociale medier i dette netværk viser lignende adfærd for aktivitet, der angiveligt udføres af en elitegruppe i Ministeriet for offentlig sikkerhed (MPS) ved navn 912 Special Working Group. Ifølge USA's justitsministerium opererede gruppen en troldefabrik på sociale medier, som oprettede tusindvis af falske online personligheder og delte CCP-propaganda rettet med pro-demokratiske aktivister.

Siden omkring marts 2023 er nogle mistænkte kinesiske IO-aktiver på vestlige medier begyndt at benytte generativ kunstig intelligens (AI) til at oprette visuelt indhold. Dette visuelle indhold i relativt høj kvalitet har allerede tiltrukket højere interaktionsniveauer fra autentiske brugere af sociale medier. Disse billeder har kendetegnene ved diffusionsdrevet billedgenerering og er mere iøjnefaldende end mærkeligt visuelt indhold fra tidligere kampagner. Brugere har oftere genopslået disse visuelle elementer trods almindelige indikatorer på generering med kunstig intelligens – f.eks. mere end fem fingre på en persons hånd.14

Opslag på sociale medier side om side, der viser identiske Black Lives Matter-billeder.
Figur 2: En Black Lives Matter-grafik først uploadet af en CCP-tilknyttet automatiseret konti blev derefter uploadet af en konto, der foregiver at være en konservativ amerikansk vælger syv timer senere.
Et propagandabillede af Frihedsgudinden, som er genereret af kunstig intelligens.
Figur 3: Eksempel på et billede genereret af kunstig intelligens, slået op af et mistænkt kinesisk IO-aktiv. Frihedsgudinden, der holder faklen, har mere end fem fingre. Få mere at vide om dette billede på side 6 i den komplette rapport.
Matrix med fire influencerkategorier – journalister, livsstilsinfluencere, peers og etniske minoriteter – over et spektrum fra åbenlys til diskret
Figur 4: Dette initiativ omfatter influencere, der falder ind i fire generelle kategorier baseret på deres baggrunde, publikum, rekruttering og administrationsstrategier. Alle enkeltpersoner, der er inkluderet i vores analyse, har direkte forbindelse til kinesiske statsmedier (f.eks. via beskæftigelse, accept af rejseinvitationer eller anden monetær udveksling). Få mere at vide om dette billede på side 7 i den komplette rapport.

De kinesiske statsmediers influencer-initiativ

En anden strategi, der trækker meningsfuld interaktion på sociale medier, er CCP's koncept, "flersprogede internetberømthedsstudier" (多语种网红工作室).15 Med hjælp fra kraften ved autentiske stemmer maskerer 230 statsmediemedarbejdere og -partnere sig som uafhængige influencere på sociale medier på tværs af alle større vestlige sociale medier.16 I 2022 og 2023 fortsætter nye influencere med at debutere gennemsnitligt hver syvende uge. Disse influencere, der er rekrutteret, oplært, promoveret og finansieret af China Radio International (CRI) og andre kinesiske statsmedier, spreder kløgtigt lokalt tilpasset CCP-propaganda, der opnår meningsfuld interaktion med målgrupper verden over og når en kombineret følgerskare på mindst 103 millioner på tværs af flere platforme og mindst 40 sprog.

Selvom influencere mest opslår uskyldigt livsstilsindhold, forklæder denne teknik propaganda, der i overensstemmelse med CCP's ønske søger at blødgøre Kinas ry udenlands.

Kinesiske statsmediers influencer-rekrutteringsstrategi ser ud til at rekruttere to forskellige grupper enkeltpersoner: personer med erhvervserfaring inden for journalisme (nærmere betegnet hos statsmedier) og nylige dimittender fra sproguddannelsesprogrammer. Særligt ser China Media Group (moderselskabet for CRI og CGTN) ud til direkte at rekruttere dimittender fra førende kinesiske fremmedsprogsskoler, f.eks. Beijing Foreign Studies University og Communication University of China. Dem, der ikke rekrutteres direkte fra universiteter, er ofte tidligere journalister og oversættere, som fjerner alle tydelige indikatorer af forbindelse til statsmedier fra deres profiler, efter de har "rebrandet" som influencere.

Den laotisk-talende influencer, Song Siao, slår en livsstilsvlog op, hvor han taler om Kinas økonomiske opsving midt i COVID-19-pandemien.
Figur 5: Den laotisk-talende influencer, Song Siao, opslår en livsstilsvlog, hvor han taler om Kinas økonomiske genopretning midt i COVID-19-pandemien. I den selvfilmede video besøger han en bilforhandler i Beijing og taler med de lokale. Få mere at vide om dette billede på side 8 i den komplette rapport
Opslag på sociale medier fra Techy Rachel, en engelsksproget influencer.
Figur 6: Tech Rachel, en engelsksproget influencer, der normalt laver opslag om kinesiske innovationer og teknologi, afviger fra sine indholdstemaer for at give sin mening i debatten om den kinesiske spionballon. Ligesom andre kinesiske statsmedier nægter hun at ballonen blev brugt til spionage. Få mere at vide om dette billede på side 8 i den komplette rapport

Influencere når målgrupper verden over på mindst 40 sprog

Den geografiske fordeling af sprog, der tales af disse statsforbundne influencere, repræsenterer Kinas voksende globale indflydelse og regionale prioritering. Influencere, der taler andre asiatiske sprog end kinesisk, f.eks. hindi, singalesisk, pashto, laotisk, koreansk, malajisk og vietnamesisk – udgør det største antal influencere. Engelsktalende influencere udgør det næsthøjeste antal influencere.
Fem cirkeldiagrammer, der viser opdelingen af influencere fra kinesiske statsmedier efter sprog.
Figur 7: Influencere fra kinesiske statsmedier opgjort efter sprog. Få mere at vide om dette billede på side 9 i den komplette rapport

Kina målretter mod målgrupper verden over

Influencere retter sig mod syv målgruppeområder (sproggrupper), der er opdelt i geografiske områder. Ingen diagrammer vist for engelsk- eller kinesisk-sprogede målgruppeområder.

Kinesisk IO udvider den globale rækkevidde i flere kampagner

Kina udvidede skalaen af sit online IO i 2023 ved at nå ud til målgrupper på nye sprog og platforme. Disse operationer kombinerer et tæt kontrolleret åbenlyst statsmedieapparat med diskrete eller slørede aktiver på sociale medier, herunder bots, der renser eller forstærker CCP's foretrukne fortællinger.17

Microsoft observerede en sådan CCP-støttende kampagne, som startede i januar 2022 og fortsat er i gang i skrivende stund, som retter sig mod den spanske NGO Safeguard Defenders, efter den afslørede eksistensen af mere end 50 udenlandske kinesiske politistationer.18 Denne kampagne gjorde brug af mere end 1.800 konti på tværs af flere sociale medier og massevis af websteder for at sprede CCP-støttende memes, videoer og meddelelser, der kritiserede USA og andre demokratier.

Disse konti skrev beskeder på nye sprog (hollandsk, græsk, indonesisk, svensk, tyrkisk, uygurisk og flere) og på nye platforme (herunder Fandango, Rotten Tomatoes, Medium, Chess.com og VK, med flere). Trods skalaen og vedholdenheden i denne operation, hentede dens opslag sjældent meningsfuld interaktion fra autentiske brugere, hvilket understreger disse kinesiske netværks aktivitets primitive natur.

En matrix med 30 velkendte teknologibrands logoer præsenteret sammen med en liste med 16 sprog
Figur 8: CCP-støttende IO-indhold er blevet registreret på mange platforme og på mange sprog. Få mere at vide om dette billede på side 10 i den komplette rapport
Eksempler på skærmoptagelser side om side af videopropaganda på taiwansk
Figur 9: Store mængder delinger af opslag med en video på taiwansk sprog, der beder den taiwanske regering om at "overgive sig" til Beijing. Den store forskel mellem visninger og delinger er en kraftig indikator på koordineret IO-aktivitet. Få mere at vide om dette billede på side 10 i den komplette rapport

Et tilsløret globalt netværk af CCP-nyhedswebsteder

Et anden digital mediekampagne, der illustrerer den større bredde af CCP-forbundet IO, er et netværk med mere end 50 overvejende kinesisk-sprogede nyhedswebsteder, der støtter CCP's erklærede mål om at være den autoritative stemme for alle medier på kinesisk verden over.19 Trods det, at de præsenterer sig som stort set uafhængige, ikke-forbundne websteder, der betjener forskellige fællesskaber med kinesisk baggrund verden over, vurderer vi med høj sikkerhed, at disse websteder har forbindelse til CCP's United Front Work Department (UFWD) – et organ, der har ansvar for at øge CCP's indflydelse uden for Kinas grænser: særligt ved at skabe forbindelse til "oversøiske kinesere" – baseret på tekniske indikatorer, oplysninger om webstedsregistrering og delt indhold.20
Verdenskort med mere end 20 kinesiske webstedslogoer tilhørende websteder, der retter sig mod personer med kinesisk oprindelse på globalt plan.
Figur 10: Kort over websteder, der målretter mod personer med kinesisk oprindelse på globalt plan, som vurderes at være en del af denne mediestrategi.  Få mere at vide om dette billede på side 11 i den komplette rapport

Fordi mange af disse websteder deler IP-adresse, har forespørgsel om domæneløsninger med Microsoft Defender Threat Intelligence givet os mulighed for at finde flere websteder i netværket. Mange af webstederne deler front-end-web-HTML-kode, hvori selv webudviklernes kommentarer, der er integreret i koden, ofte er identisk på tværs af forskellige websteder. Mere af 30 af webstederne gør brug af den samme API (programmeringsgrænseflade til program) og CMS (Content Management System) fra et "fuldt ud ejet datterselskab" af China News Service (CNS), UFWD's medieagentur.21 Optegnelser fra Kinas ministerium for industri og informationsteknologi afslører videre, at denne UDFW-forbundne teknologivirksomhed har registreret mindst 14 nyhedswebsteder i dette netværk.22 UFWD kan ved at bruge datterselskaber og tredjeparts-medievirksomheder på denne måde nå ud til en global målgruppe, samtidig med at de slører deres direkte involvering.

Disse websteder påstår at være uafhængige nyhedsleverandører, samtidig med at de ofte genopslår de samme artikler fra kinesiske statsmedier og ofte påstår at være den oprindelige kilde til indholdet. Mens webstederne dækker internationale nyheder bredt og udgiver generiske artikler fra kinesiske statsmedier, læner politisk følsomme emner sig i langt overvejende grad med CCP's foretrukne fortællinger. For eksempel promoverer hundredvis af artikler i dette netværk af websteder falske påstande om, at COVID-19-virus er et biologisk våben fremstillet på det biologiske forskningslaboratorium på Fort Detrick.23 Websteder deler også jævnligt udtalelser fra kinesiske regeringsrepræsentanter og artikler fra statsmedier, der påstår, at COVID-19-virus havde sin oprindelse i USA og ikke Kina. Disse websteder eksemplificerer den udstrækning, hvormed CCP-styring har gennemsyret det kinesisk-sprogede mediemiljø, hvilket tillader partiet at drukne kritisk rapportering af følsomme emner.

Kordediagram, der viser overlappende artikler udgivet af flere websteder.
Figur 11: Websteder præsenterer sig som unikke for placeringer, men deler identisk indhold. Dette kordediagram viser overlappende artikler udgivet af flere websteder. Få mere at vide om dette billede på side 12 i den komplette rapport
Skærmbilleder af, hvordan en artikel fra China News Service blev genudgivet på tværs af websteder, der retter sig mod målgrupper i Italien, Ungarn, Rusland og Grækenland
Figur 12: China News Service og andre kinesiske statsmedier udgav en artikel med titlen "Udtalelse fra WHO afslører mørke amerikanske biologiske laboratorier i Ukraine". Artiklen blev derefter udgivet på tværs af websteder, der retter sig mod målgrupper i Ungarn, Sverige, Vestafrika og Grækenland. Få mere at vide om dette billede på side 12 i den komplette rapport

Kinesiske statsmediers globale rækkevidde

Selvom kampagnen, der er beskrevet ovenfor, er bemærkelsesværdig for sin tilsløring, står kinesiske statsmediers ægte websteder for størstedelen af den globale seerskare for CCP-styrede medier. Ved at udvide til fremmedsprog,24 åbne kinesiske statsmediebureaer i udlandet25 og levere gratis Beijing-venligt indhold,26 udvider CCP rækkevidden for dets "debatkraft" (话语权) ved at føre propaganda ind i nyhedsmedier i andre lande verden over.27
Et organisationsdiagram, der viser et snapshot af CCP's åbenlyse propaganda-økosystem.
Figur 13: Organisationsdiagram, der viser et snapshot af funktionerne og enhederne, der udgør en del af CCP's åbenlyse propaganda-økosystem. Få mere at vide om dette billede på side 13 i den komplette rapport

Måling af trafik til kinesiske statsmediers websteder

Microsofts AI for Good Lab har udviklet et indeks til at måle trafikstrømmen fra brugere uden for Kina til medier, hvis majoritetsejer er den kinesiske regering. Indekset måler andelen af trafik, der besøger disse websteder, sammenlignet med den generelle trafik på internettet, ligesom med Russian Propaganda Index (RPI), der blev introduceret i juni 2022.28

Fem domæner dominerer forbruget af kinesiske statsmedier, med ansvar for omtrent 60 % af alle sidevisninger på kinesiske statsmedier.

Grafik, der viser forbruget af kinesiske medier
Få mere at vide om dette billede på side 14 i den komplette rapport

Indekset kan belyse tendenser i den relative succes for kinesiske statsmedier efter geografi over tid. Blandt ASEAN's (Association of South East Asian Nations) medlemsstater skiller Singapore og Laos sig for eksempel ud med dobbelt så meget relativ trafik til kinesiske mediers websteder som Brunei, der er på tredjepladsen. Filippinerne er placeret lavest med 30 gange mindre trafik til kinesiske statsmediers websteder sammenlignet med Singapore og Laos. I Singapore, hvor mandarin er et officielt sprog, afspejler stort forbrug af kinesiske statsmedier Kinas indflydelse på mandarin-sprogede nyheder. I Laos er antallet af kinesisktalende meget lavere, hvilket afspejler den relative succes for kinesiske statsmedier i landets miljø.

Skærmbillede af hjemmesiden for det mest besøgte domæne, PhoenixTV.
Figur 14: Hjemmesiden for det mest besøgte domæne, PhoenixTV, med 32 % af alle sidevisninger. Få mere at vide om dette billede på side 14 i den komplette rapport

Stadigt mere sofistikerede nordkoreanske cyberoperationer indsamler efterretninger og genererer indtægter til staten

Nordkoreanske cybertrusselsaktører forfølger cyberoperationer, der søger at (1) indsamle efterretninger om aktiviteterne hos statens antagede fjender: Sydkorea, USA og Japan, (2) indsamle efterretninger om andre landes militære kapaciteter for at forbedre deres egne og (3) indsamle kryptovalutamidler til staten. Over det seneste år har Microsoft observeret større målretningsoverlap mellem forskellige nordkoreanske trusselsaktører og et øget sofistikationsniveau for nordkoreanske aktivitetsgrupper.

Nordkoreas cyberprioriteter lægger vægt på forskning af maritim teknologi, mens de tester undervandsdroner og -fartøjer

Over det seneste år har Microsoft Threat Intelligence observeret større målretningsoverlap på tværs af nordkoreanske trusselsaktører. For eksempel målrettede tre nordkoreanske trusselsaktører – Ruby Sleet (CERIUM), Diamond Sleet (ZINC) og Sapphire Sleet (COPERNICIUM) – mod den maritime sektor og skibsværftssektoren fra november 2022 til januar 2023. Microsoft havde ikke tidligere observeret dette niveau af målretningsoverlap på tværs af nordkoreanske aktivitetsgrupper, hvilket tyder på, at forskning i maritim teknologi var en høj prioritet for den nordkoreanske på dette tidspunkt. I marts 2023 testaffyrede Nordkorea angiveligt to strategiske krydsermissiler fra en undervandsbåd mod Det Japanske Hav (også kendt som Østhavet) som en advarsel forud for militærøvelsen South Korea-US Freedom Shield. Senere den måned og den efterfølgende måned testede Nordkorea angiveligt to Haeil-undervandsangrebsdroner ud for landets østkyst mod Det Japanske Hav. Disse test af maritime kapaciteter fandt sted kort efter tre nordkoreanske cybergrupper målrettede mod maritime forsvarsenheder med henblik på indsamling af efterretninger.

Trusselsaktører kompromitterer forsvarsvirksomheder, som det nordkoreanske regime angiver som højt prioriterede indsamlingskrav

Fra november 2022 til januar 2023 observerede Microsoft et andet tilfælde af målretningsoverlap, hvor Ruby Sleet og Diamond Sleet kompromitterede forsvarsvirksomheder. De to trusselsaktører kompromitterede to våbenproduktionsvirksomheder baseret i Tyskland og Israel. Dette tyder på, at den nordkoreanske regering giver flere trusselsaktørgrupper en opgave samtidigt for at imødekomme højt prioriterede indsamlingskrav for at forbedre landets militære kapaciteter. Siden januar 2023 har Diamond Sleet også kompromitteret forsvarsvirksomheder i Brasilien, Tjekkiet, Finland, Italien, Norge og Polen.
Cirkeldiagram, der viser de forsvarsindustrier, Nordkorea har målrettet mest mod efter land
Figur 15: Nordkoreas målretning mod forsvarsindustri efter land fra marts 2022 til marts 2023

Den russiske regering og russiske forsvarsindustrier forbliver mål for Nordkorea for så vidt angår indsamling af efterretninger

Flere nordkoreanske trusselsaktører har for nylig målrettet mod den russiske regering og forsvarsindustri, samtidig med at de har leveret materielstøtte til Rusland i dets krig i Ukraine.32 I marts 2023 kompromitterede Ruby Sleet et forskningsinstitut for luftfart i Rusland. Derudover kompromitterede Onyx Sleet (PLUTONIUM) først i marts en enhed, der tilhører et universitet i Rusland. Uafhængigt heraf sendte en person med ondsindede hensigter, som tilskrives Opal Sleet (OSMIUM) phishingmails til konti tilhørende russiske diplomatiske regeringsenheder i løbet af samme måned. Nordkoreanske trusselsaktører griber muligvis muligheden for at foretage indsamling af efterretninger fra russiske enheder på grund af landets fokus på dets krig i Ukraine.

Nordkoreanske grupper fremviser mere sofistikerede operationer via tyveri af kryptovaluta og angreb på forsyningskæder

Microsoft vurderer, at nordkoreanske aktivitetsgrupper udfører stadigt mere sofistikerede operationer via tyveri af kryptovaluta og angreb på forsyningskæder. I januar 2023 tilskrev FBI (Federal Bureau of Investigation) tyveriet af 100 millioner USD i kryptovaluta fra Harmony's Horizon Bridge, udført i juni 2022, til Jade Sleet (DEV-0954), også kendt som Lazarus Group/APT38.33 Derudover tilskrev Microsoft 3CX-forsyningskædeangrebet i marts 2023, som udnyttede en tidligere kompromittering af forsyningskæden hos en amerikansk-baseret finansiel teknologivirksomhed i 2022, til Citrine Sleet (DEV-0139). Dette var første gang, Microsoft har observeret en aktivitetsgruppe brugte en eksisterende kompromittering af en forsyningskæde til at foretage et andet forsyningskædeangreb, hvilket viser det stigende avanceringsniveau for nordkoreanske cyberoperationer.

Emerald Sleet udruller velafprøvet spearfishing-taktik ved at lokke eksperter til at svare med indsigt om udenrigspolitik

Emerald Sleet (THALLIUM) forbliver den mest aktive nordkoreanske trusselsaktør, som Microsoft har sporet over det seneste år. Emerald Sleet fortsætter med at sende hyppige spearphisingmails til eksperter i den koreanske halvø jorden over med henblik på indsamling af efterretninger. I december 2022 udlagde Microsoft Threat Intelligence Emerald Sleets phishingkampagner, der rettede sig mod indflydelsesrige Nordkorea-eksperter i USA og lande allieret med USA. I stedet for at udrulle skadelige filer eller links til skadelige websteder fandt Microsoft frem til, at Emerald Sleet gør brug af en unik taktik: de udgiver sig for at være velrenommerede akademiske institutioner og NGO'er for at lokke ofre til at svare med ekspertindsigt og -kommentarer om udenrigspolitik relateret til Nordkorea.

Funktionaliteter: Påvirk

Nordkorea har udført begrænsede påvirkningsoperationer på sociale medier med videodeling, f.eks. YouTube og TikTok, i løbet af det seneste år.34 Nordkoreanske influencere på YouTube er mest piger og kvinder, en blot elleve år gammel, som opslår vlogs om deres dagligdag og promoverer positive fortællinger om regimet. Nogle af influencerne taler engelsk i deres video med henblik på at nå ud til en bredere global målgruppe. Nordkoreanske influencere er meget mindre effektive end det kinesiske influencerinitiativ, der er støttet af statsmedierne.

Vi ser fremad, efterhånden som geopolitiske spændinger ændrer cyberaktivitet og påvirkningsoperationer

Kina har fortsat med at udvide sine cyberkapaciteter over de seneste år og vist mere ambition i sine IO-kampagner. På kort sigt står Nordkorea til at forblive fokuseret på mål med relation til landets politiske, økonomiske og forsvarsmæssige interesser i regionen. Vi kan forvente mere omfattende cyberspionage mod både modstandere og støtter af CCP's geopolitiske målsætninger på alle kontinenter. Mens kinesisk-baserede trusselsgrupper fortsætter med at udvikle og anvende imponerende cyberkapaciteter, har vi ikke observeret Kina kombinere cyber- og påvirkningsoperationer – modsat Iran og Rusland, som engagerer sig i hack-og-læk-kampagner.

Kina-støttende påvirkningsaktører opererer i en skala, der ikke matches af andre ondsindede påvirkningsaktører, og de er klar til at udnytte flere vigtige tendenser og begivenheder over de kommende seks måneder.

For det første bliver operationer, der gør brug af video og visuelle medier, normen. CCP-forbundne netværk har i lang tid gjort brug af profilbilleder genereret af kunstig intelligens, og dette år har de taget kunst generet af kunstig intelligens i brug til visuelle memes. Statsstøttede aktører vil også fortsætte med at bruge private indholdsstudier og PR-firmaer til at outsource propaganda on demand.35

For det andet vil Kina fortsætte med at søge autentisk målgruppeinteraktion ved at investere tid og ressourcer i kultiverede sociale medier-aktiver. Influencere med dyb kulturel og lingvistisk viden og videoindhold i høj kvalitet har været pionerer for vellykket interaktion på sociale medier. CCP vil anvende nogle af disse taktikker, herunder interaktion med brugere på sociale medier og demonstration af kulturel knowhow, for at forstærke diskrete kampagner på sociale medier.

For det tredje vil Taiwan og USA sandsynligvis forblive de to topprioriteter for kinesisk IO, særligt med de kommende valg i begge lande i 2024. Give at CCP-støttende påvirkningsaktører har målrettet mod amerikanske valg i den seneste tid, er det næsten sikkert, at de vil gøre det igen. Aktiver på sociale medier, der udgiver sig for at være amerikanske vælgere, vil sandsynligvis udvise højere grader af sofistikation, hvor de aktivt sår uenighed på tværs af racemæssige, socialøkonomiske og ideologiske linjer med indhold, der er stærkt kritisk over for USA.

  1. [1]
  2. [2]

    Nye baser i Filippinerne øger USA's militære tilstedeværelse i regionen, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    I øjeblikket er der utilstrækkelige beviser til at knytte grupperne sammen.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Sådanne påvirkningsaktører kendes til tider som “Spamouflage Dragon” eller “DRAGONBRIDGE”.
  18. [18]
  19. [19]
  20. [20]

    Se: Microsoft Cyber Defense Operations Centers struktur for at fastlægge tilskrivninger af påvirkning. https://go.microsoft.com/fwlink/?linkid=2262095; Personer med kinesisk oprindelse bosiddende uden for Kina omtales ofte som "udenlands-kinesere" eller 华侨 (huaqiao) af den kinesiske regering, med henvisning til personer med kinesisk statsborgerskab eller afstamning, som bor uden for Folkerepublikken Kina. Du kan få flere detaljer om Beijings fortolkning af personer med kinesisk oprindelse uden for Kina ved at se: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Den kinesiske regering såede denne fortælling ved COVID-19-pandemiens begyndelse. Se: https://go.microsoft.com/fwlink/?linkid=2262170; Websteder inden for dette netværk, som promoverer denne påstand, inkluderer: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Beskyttelse af Ukraine: Tidlige erfaringer fra cyberkrigen, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    En anden fortolkning af xuexi qiangguo er "Studer Xi, gør landet stærkere". Navnet er et ordspil på Xi Jinpings efternavn. Regeringer, universiteter og virksomheder i Kina promoverer kraftigt brugen af appen, og til tider udskammer eller straffer de underordnede for uregelmæssig brug, se: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    Avisen ejes af Shanghai United Media Group, som igen ejes af Shanghai Communist Party Committee: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    CCP har tidligere investeret i virksomheder i den private sektor, der hjælper med IO-kampagner via SEO-manipulationsteknikker, falske synes godt om-tilkendegivelser og følgere, foruden andre tjenester. Indkøbsdokumenter afslører sådanne tilbud, se: https://go.microsoft.com/fwlink/?linkid=2262522

Cyber- og påvirkningsoperationer Østasien, nationalstatrapporter Nationalstatrapporter Phishing Trusselsaktører

Relaterede artikler

Volt Typhoon retter sig mod USA's kritiske infrastruktur med teknikker med eksisterende værktøjer i systemet

Den kinesiske statssponsorerede trusselsaktør, Volt Typhoon, er blevet observeret i at bruge diskrete teknikker for at ramme USA's kritiske infrastruktur, udføre spionage og hvile i kompromitterede miljøer.
Få mere at vide

Propaganda i den digitale tidsalder: Sådan ødelægger cyber- og påvirkningsoperationer tillid

Undersøg en verden af cyber- og påvirkningsoperationer, hvor nation-stater spreder propaganda, som er designet til at true de troværdige oplysninger, som demokratiet har brug for for at blomstre.
Få mere at vide

Iran vender sig mod cyber-aktiverede påvirkningsoperationer for større effekt

Microsoft Threat Intelligence afslørede øgede cyberaktiverede påvirkningsoperationer fra Iran. Få indsigt i trusler med detaljer om nye teknikker, og hvor der er risiko for fremtidige trusler.
Få mere at vide

Følg Microsoft Security