Trace Id is missing

Samat kohteet, uusi taktiikka: itäaasialaiset uhkaavat toimijat hyödyntävät uudenlaisia menetelmiä

Lataa
Jaa
Abstraktissa kuvituksessa on merivoimien alus sekä graafisia punaisia ympyröitä ja mustia verkkoelementtejä vaaleanpunaisella taustalla.

Microsoft on havainnut kesäkuun 2023 jälkeen Kiinasta ja Pohjois-Koreasta useita merkittäviä kyber- ja vaikuttamistrendejä, jotka osoittavat, että Kiina ja Pohjois-Korea hyökkäävät edelleen tuttuja kohteita vastaan, mutta pyrkivät myös käyttämään entistä kehittyneempiä vaikuttamistekniikoita tavoitteidensa saavuttamiseksi.

Kiinalaiset kybertoimijat ovat viimeisten seitsemän kuukauden aikana valinneet laajalti kolme kohdealuetta:

  • Osa kiinalaisista toimijoista kohdisti hyökkäyksiään laajasta eteläisen Tyynenmeren saarivaltioiden kohteisiin.
  • Jotkin kiinalaiset toimijat taas jatkuivat kyberhyökkäyksiä alueellisia vastustajia kohtaan Etelä-Kiinan meren alueella.
  • Loput kiinalaisista toimijoista puolestaan hyökkäsivät Yhdysvaltain puolustusteollisuuden perustaa vastaan.

Sen sijaan, että kiinalaiset vaikuttajatoimijat olisivat laajentaneet kohteidensa maantieteellistä kattavuutta, he hioivat tekniikoitaan ja kokeilivat uusia medioita. Kiinalaiset vaikuttamiskampanjat jatkavat tekoälygeneroidun tai tekoälyparannetun sisällön hiomista. Näiden kampanjoiden taustalla olevat vaikuttajatoimijat ovat osoittaneet halukkuutta sekä vahvistaa tekoälyn tuottamaa mediaa, joka hyödyttää heidän strategisia tarinoitaan, että luoda omia videoita, meemejä ja äänisisältöjä. Tällaista taktiikkaa on käytetty kampanjoissa, jotka ovat lietsoneet erimielisyyksiä Yhdysvalloissa ja pahentaneet erimielisyyksiä Aasian ja Tyynenmeren alueella, muun muassa Taiwanissa, Japanissa ja Etelä-Koreassa. Näillä kampanjoilla saavutettiin vaihtelevia tuloksia. Mikään yksittäinen kaava ei ole tuottanut johdonmukaista yleisön reagointia.

Pohjoiskorealaiset kybertoimijat ovat herättäneet huomiota kasvattamalla ohjelmistojen toimitusketjuihin kohdistuneita hyökkäyksiä ja kryptovaluuttavarkauksia viimeisen vuoden aikana. Vaikka Korean niemimaata tutkiviin tutkijoihin kohdistetut strategiset kohdennetut tietojenkalastelukampanjat pysyivät jatkuvana trendinä, pohjoiskorealaiset uhkaavat toimijat näyttivät käyttävän entistä enemmän laillisia ohjelmistoja vaarantaakseen yhä useampia uhreja.

Gingham Typhoon ottaa kohteekseen julkishallinnon ja IT-alan toimijoita sekä monikansallisia yrityksiä eteläisen Tyynenmeren saarilla

Kesän 2023 aikana Microsoft Threat Intelligence havaitsi Kiinassa toimivan Gingham Typhoon -vakoiluryhmän laajamittaista toimintaa, joka kohdistui lähes kaikkiin eteläisen Tyynenmeren saarivaltioihin. Gingham Typhoon on tämä alueen aktiivisin toimija, joka ottaa kohteekseen kansainvälisiä toimijoita, julkishallinnon toimijoita ja IT-sektorin toimijoita monimutkaisilla tietojenkalastelukampanjoilla. Uhreihin kuuluu myös äänekkäitä Kiinan hallinnon arvostelijoita.

Gingham Typhoonin uhreiksi on joutunut myös Kiinan diplomaattisten liittolaismaiden toimijoita. Näissä maissa ryhmän uhreiksi on päätynyt muun muassa julkishallinnon virastoja, kauppaan liittyviä osastoja, Internet-palveluntarjoajia sekä erästä kuljetusyritystä.

Lisääntynyt geopoliittinen ja diplomaattinen kilpailu alueella voi olla motiivina näille hyökkäyksellisille kybertoimille. Kiina pyrkii strategisiin kumppanuuksiin eteläisen Tyynenmeren saarivaltioiden kanssa laajentaakseen taloussuhteita  ja solmiakseen diplomaattisia sekä turvallisuussopimuksia. Kiinan kybervakoilu tällä alueella koskee myös taloudellisia kumppaneita.

Kiinalaiset toimijat ovat esimerkiksi kohdistaneet laajamittaisia hyökkäyksiä monikansallisiin organisaatioihin Papua-Uudessa-Guineassa, joka on pitkäaikainen diplomaattinen yhteistyökumppani ja joka hyötyy useista Vyö ja tie -hankkeista, muun muassa Papua-Uuden-Guinean hallintorakennuksen ja pääkaupungin päätien yhdistävästä väylähankkeesta.1

Kartta, jossa kuvitetaan Tyynenmeren saarivaltioihin kohdistuvien kyberhyökkäysten yleisyyttä, suurilla ympyröillä
Kuva 1: Gingham Typhoonin havaitut tapahtumat kesäkuusta 2023 tammikuuhun 2024. Tämä toiminta korostaa ryhmän keskittymistä eteläisen Tyynenmeren saarivaltioihin. Iso osa kohdentamisesta on kuitenkin ollut jatkuvaa, mikä viittaa vuosia kestäneeseen keskittymiseen alueella. Maantieteelliset sijainnit ja symbolien halkaisija ovat esityksiä.

Kiinalaiset uhkaavat toimijat keskittyvät edelleen Etelä-Kiinan mereen länsimaiden sotaharjoitusten keskellä

Kiinalaislähtöiset uhkaavat toimijat jatkoivat hyökkäyksiä Kiinan taloudellisiin ja sotilaallisiin etuihin liittyviä yksiköitä kohtaan Etelä-Kiinan merellä ja sen ympäristössä. Nämä toimijat hyökkäsivät opportunistisesti Kaakkois-Aasian maiden yhteistyöjärjestön (ASEAN) valtioita ja tietoliikennetoimijoita kohtaan. Kiinan valtioon sidoksissa olevat kybertoimijat näyttivät olevan erityisen kiinnostuneita kohteista, jotka liittyivät alueella järjestettyihin lukuisiin Yhdysvaltojen sotaharjoituksiin. Kesäkuussa 2023 Raspberry Typhoon, joka Kiinasta käsin toimiva valtion tukema ryhmä, otti onnistuneesti kohteekseen Indonesian ja Malesian merenkulkujärjestelmän sotilas- ja viranomaiskohteita viikkoja ennen harvinaista usean valtion merisotaharjoitusta, johon osallistuivat Indonesia, Kiina ja Yhdysvallat.

Samoin toinen kiinalainen kybertoimija Flax Typhoon otti kohteekseen Yhdysvaltain ja Filippiinien sotaharjoituksiin liittyviä kohteita. Samaan aikaan Granite Typhoon, joka on myös yksi kiinalainen uhkaava toimija, otti kohteekseen ensisijaisesti alueen tietoliikennetoimijoita. Hyökkäysten uhreja oli muun muassa Indonesiassa, Malesiassa, Filippiineillä, Kambodžassa ja Taiwanissa.

Microsoftin Flax Typhoonia käsittelevän blogiartikkelin julkaisun jälkeen Microsoft on havainnut Flax Typhoonin uusia kohteita Filippiineillä, Hongkongissa, Intiassa ja Yhdysvalloissa vuoden 2023 loppupuolella.2 Tämä toimija hyökkää usein myös tietoliikennealalle, mikä johtaa usein moniin jatkovaikutuksiin.

Kartalla näytetään Microsoft Threat Intelligence -tietoja Aasian alueista, joihin kohdistetaan eniten hyökkäyksiä
Kuva 2: Flax Typhoonin, Granite Typhoonin tai Raspberry Typhoonin Etelä-Kiinan meren alueen maihin kohdistamia havaittuja tapahtumia. Maantieteelliset sijainnit ja symbolien halkaisija ovat esityksiä.

Nylon Typoon hyökkää ulkoasiainhallinnon yksiköihin maailmanlaajuisesti

Kiinalainen uhkaava toimija Nylon Typhoon on jatkanut pitkään jatkunutta käytäntöään kohdistaa hyökkäyksiä ulkoasiainhallinnon yksiköihin eri puolilla maailmaa. Kesäkuun ja joulukuun 2023 välillä Microsoft havaitsi Nylon Typhoonin hyökkäyksiä hallinnon yksiköitä kohtaan Etelä-Amerikassa, muun muassa Brasiliassa, Guatemalassa, Costa Ricassa ja Perussa. Uhkaava toimija havaittiin myös Euroopassa, jossa sen kohteiksi joutui hallinnon yksiköitä Portugalissa, Ranskassa, Espanjassa, Italiassa ja Yhdistyneessä kuningaskunnassa. Vaikka suurin osa eurooppalaisista kohteista oli hallinnon yksiköitä, kohteiksi joutui myös joitain IT-yrityksiä. Tällaisen kohdentamisen tarkoituksena on tiedustelutiedon kerääminen.

Kiinalainen uhkaryhmä ottaa kohteekseen sotilasyksiköitä ja kriittistä infrastruktuuria Yhdysvalloissa

Myös Storm-0062:n toiminta kiihtyi loppuvuonna 2023. Suuri osa tästä toiminnasta kohdistui Yhdysvaltojen puolustukseen liittyviin valtion yksiköihin, mukaan lukien urakoitsijat, jotka tarjoavat teknisiä suunnittelupalveluja ilmailu- ja avaruusalalla, puolustuksessa ja luonnonvara-aloilla, jotka ovat kriittisiä Yhdysvaltojen kansalliselle turvallisuudelle. Lisäksi Storm-0062 otti toistuvasti kohteekseen sotilaskohteita Yhdysvalloissa, mutta on kuitenkin epäselvää, onnistuiko ryhmä näissä hyökkäyksissään.

Myös Yhdysvaltain puolustusteollisuus on edelleen Volt Typhoonin kohteena. Toukokuussa 2023 Microsoft yhdisti hyökkäykset Yhdysvaltojen kriittisiä infrastruktuureja vastaan Volt Typhooniin, joka on Kiinassa toimiva valtion tukema toimija. Volt Typhoon pääsi käsiksi organisaatioiden verkkoihin LOTL-tekniikoiden (living-off-the-land) ja käytännön näppäimistötoiminnan avulla.3 Näiden taktiikoiden avulla Volt Typhoon pystyi salakavalasti ylläpitämään luvatonta pääsyä kohdeverkkoihin. Kesäkuusta 2023 joulukuuhun 2023 Volt Typhoon jatkoi hyökkäyksiä kriittiseen infrastruktuuriin, mutta pyrki myös resurssien kehittämiseen vaarantamalla pienten toimistojen ja kotitoimistojen laitteita (SOHO-laitteita) eri puolilla Yhdysvaltoja.

Syyskuussa 2023 julkaistussa raportissamme kerroimme yksityiskohtaisesti, miten kiinalaiset vaikuttamisoperaatiot ovat alkaneet hyödyntää generatiivista tekoälyä luodakseen tyylikästä ja houkuttelevaa visuaalista sisältöä. Kesän aikana Microsoft Threat Intelligence tunnisti edelleen Yhdysvaltoihin kohdistuvia tekoälyn luomia meemejä, jotka vahvistivat kiistanalaisia kotimaisia kysymyksiä ja kritisoivat nykyistä hallintoa. Kiinaan yhdistetyt vaikuttajatoimijat ovat jatkaneet tekoälygeneroidun ja tekoälyparannetun mediasisällön (kutsumme sitä tästä eteenpäin tekoälysisällöksi) vaikuttamiskampanjoissa, joiden määrä ja tiheys on kasvanut läpi vuoden.

Tekoäly nousee

Näistä tekoälysisältöä käyttävistä toimijoista tuotteliain on Storm-1376. Storm-1376 on Microsoftin antama nimitys Kiinan kommunistiseen puolueeseen (CCP) liittyvälle toimijalle, joka tunnetaan yleisesti nimellä Spamouflage tai Dragonbridge. Talveen mennessä muutkin Kiinan kommunistiseen puolueeseen yhdistetyt toimijat alkoivat käyttää laajempaa tekoälysisältöä täydentääkseen verkkovaikuttamisoperaatioita. Tammikuun 13. päivänä pidettyjen Taiwanin presidentinvaalien ja parlamenttivaalien alla Taiwanin poliittisia henkilöitä esittelevän sisällön määrä lisääntyi huomattavasti. Tämä oli ensimmäinen kerta, kun Microsoft Threat Intelligence on havainnut valtion tukeman toimijat hyödyntävän tekoälysisältöä pyrkimyksissään vaikuttaa muiden maiden vaaleihin.

Tekoälyn luoma äänisisältö: Taiwanin vaalipäivänä Storm-1376 julkaisi epäiltyjä tekoälyn generoimia ääniklippejä Foxconnin omistajasta Terry Gousta, joka oli riippumattoman ehdokas Taiwanin presidentinvaaleissa ja joka luopui ehdokkuudestaan marraskuussa 2023. Äänitallenteissa Gou kannatti toista presidenttiehdokasta. Goun ääni tallenteissa on todennäköisesti tekoälyn tuottama, sillä Gou ei ole antanut tällaista lausuntoa. YouTube puuttui nopeasti tähän sisältöön, ennen kuin se saavutti merkittävän määrän käyttäjiä. Nämä videot julkaistiin muutama päivä sen jälkeen, kun verkossa oli levinnyt Terry Goun väärennetty kirje, jossa hän kannatti samaa ehdokasta. Taiwanin johtavat faktantarkastusorganisaatiot kumosivat kirjeen väitteet. Goun kampanja totesi myös, että kirje ei ollut todellinen ja että he aikovat ryhtyä oikeustoimiin vastauksena siihen.4 Gou ei virallisesti kannattanut ketään muuta presidenttiehdokasta.
Pukuun pukeutunut mies puhuu korokkeella, etualalla on kiinankielistä tekstiä ja grafiikkaa äänen aaltomuodossa.
Kuva 3: Storm-1376 käytti julkaisemissaan videoissa tekoälyn luomia äänitallenteita Terry Gousta luodakseen vaikutelman, että hän tukee toista ehdokasta.
Tekoälygeneroidut uutisankkurit: Tekoälyn generoimat uutisankkurit, joita ulkopuoliset teknologiayritykset ovat luoneet kiinalaisen teknologiayrityksen ByteDancen Capcut-työkalun avulla, esiintyivät erilaisissa kampanjoissa, joissa oli mukana taiwanilaisia virkamiehiä.5Niitä esiintyi viestinnässä myös Myanmarissa. Storm-1376 on hyödyntänyt tällaisia tekoälyn generoimia uutisankkureita ainakin helmikuusta 2023 saakka6, mutta näitä ankkureita hyödyntävän sisällön määrä on kasvanut viime kuukausina.
Kollaasi armeijan ajoneuvosta
Kuva 4: Storm-1376 julkaisi videoita mandariinikiinaksi ja englanniksi väittäen, että Yhdysvallat ja Intia olivat vastuussa Myanmarin levottomuuksista. Samaa tekoälyn luomaa ankkuria käytetään joissakin näistä videoista.
Tekoälyparannetut videot: Kuten Kanadan hallitus ja muut tutkijat ovat paljastaneet, tekoälyllä parannetuissa videoissa käytettiin Kanadassa asuvan kiinalaisen toisinajattelijan hahmoa kampanjassa, jonka kohteena olivat kanadalaiset parlamentin jäsenet.7Näissä videoissa, jotka olivat vain yksi osa monipuolista kampanjaa, johon kuului myös kanadalaisten poliitikkojen ahdistelu heidän sosiaalisen median tileillään, toisinajattelijan kuvattiin valheellisesti esittävän kiistanalaisia väitteitä Kanadan hallituksesta. Samanlaisia tekoälyllä parannettuja videoita on käytetty tätä toisinajattelijaa vastaan aiemminkin.
Henkilö istuu pöydän ääressä
Kuva 5: Tekoälypohjaisia syväväärennösvideoita toisinajattelijasta puhumassa halventavaan sävyyn uskonnosta. Videoissa käytetään samoja taktiikoita kuin Kanadan kampanjassa, mutta sisältö vaikuttaa erilaiselta.
Tekoälyn generoimat meemit: Storm-1376 levitti joulukuussa sarjaa tekoälyn generoimia meemejä Taiwanin silloisesta Demokraattisen edistyspuolueen (DPP) presidenttiehdokkaasta William Lai'sta. Meemeissä oli lähtölaskentateema ja niissä luki X päivää DPP:n vallasta syrjäyttämiseen.
Graafinen esitys, jossa on kaksi kuvaa rinnakkain: toisessa on kuvio punaisella X-kirjaimella ja toisessa sama kuvio merkitsemättömänä
Kuva 6: Tekoälyn luomissa meemeissä syytetään DPP:n presidenttiehdokasta, William Laita, varojen kavaltamisesta Taiwanin Forward-looking Infrastructure Development Program -ohjelmasta. Meemeissä oli yksinkertaistettuja merkkejä (joita käytetään Kiinassa muttei Taiwanissa), ja ne kuuluivat sarjaan, jossa näytettiin päivittäinen laskuri DPP:n poistamiseksi vallasta.
Aikajanan infografiikka näyttää tekoälyn luoman sisällön vaikutuksen Taiwanin vaaleissa joulukuusta 2023 tammikuuhin 2024.
Kuva 7: Aikajana tekoälyn luomasta ja tekoälyn parantelemasta sisällöstä, joka tuli esiin Taiwanin tammikuun 2024 presidentin- ja parlamenttivaalien alla. Storm-1376 voimisti useita näistä sisällöistä ja oli vastuussa sisällön luomisesta kahdessa kampanjassa.

Storm-1376 jatkaa reaktiivisista viestintäänsä – joskus salaliittoteoriateemoin

Storm-1376 on uhkaava toimija, jonka vaikuttamistoiminnot kattavat yli 175 verkkosivustoa ja 58 kieltä. Se on toteuttanut viime aikoina reaktiivisia viestintäkampanjoita korkean profiilin geopoliittisten tapahtumien ympärille, erityisesti sellaisten, jotka kuvaavat Yhdysvaltoja epäsuotuisassa valossa tai edistävät Kiinan kommunistisen puoleen etuja APAC-alueella. Syyskuussa 2023 julkaistun edellisen raporttimme jälkeen nämä kampanjat ovat kehittyneet useilla tärkeillä tavoilla, kuten sisällyttämällä tekoälyn generoimia valokuvia yleisön harhaan johtamiseksi, lietsomalla salaliittosisältöä – erityisesti Yhdysvaltain hallitusta vastaan – ja kohdentamalla paikallista sisältöä uusille väestöryhmille, esimerkiksi Etelä-Koreassa.

1. Väitteet siitä, että Yhdysvaltain sääase aiheutti Havaijin maastopalot

Elokuussa 2023, kun maastopalot raivosivat Mauin luoteisrannikolla Havaijilla, Storm-1376 käytti tilaisuutta hyväkseen ja levitti salaliittokertomuksia useilla sosiaalisen median alustoilla. Näissä viesteissä väitettiin, että Yhdysvaltain hallitus oli tahallaan sytyttänyt tulipalot testatakseen sotilaallista sääasetta. Sen lisäksi, että Storm-1376 julkaisi tekstin ainakin 31 kielellä kymmenillä verkkosivustoilla ja alustoilla, se käytti tekoälyn generoimia kuvia palavista rannikkoteistä ja asunnoista tehdäkseen sisällöstä huomiota herättävämpää.8

Koostekuva epäaidosta leimasta dramaattisten maastopalokuvien päällä.
Kuva 8: Storm-1376 julkaisee salaliittosisältöä päivien sisällä maastopalojen alkamisesta ja väittää, että palot johtuvat Yhdysvaltain julkishallinnon "meteorologisen aseen" testaamisesta. Julkaisujen mukana julkaistiin tekoälyn luomia kuvia laajoista paloista.

2. Japanin ydinjätevesien hävittämistä koskevan paheksunnan lisääminen

Storm-1376 käynnisti laajamittaisen ja aggressiivisen viestintäkampanjan, jossa kritisoitiin Japanin hallitusta sen jälkeen, kun Japani alkoi päästää käsiteltyjä radioaktiivisia jätevesiä Tyyneen valtamereen 24. elokuuta 2023.9 Storm-1376:n sisältö herätti epäilyksiä Kansainvälisen atomienergiajärjestön (IAEA) tieteellisestä arviosta, jonka mukaan vesistöön päästäminen oli turvallista. Storm-1376 lähetti viestejä sosiaalisessa mediassa useilla eri kielillä, esimerkiksi japaniksi, koreaksi ja englanniksi. Jotkut sisällöt jopa syyttivät Yhdysvaltoja siitä, että se myrkyttää tarkoituksellisesti muita maita säilyttääkseen vesihegemonian. Tässä kampanjassa käytetyssä sisällössä on tekoälygeneroidun sisällön tunnusmerkkejä.

Joissakin tapauksissa Storm-1376 kierrätti sisältöä, jota muut Kiinan propagandaekosysteemin toimijat käyttivät, esimerkiksi Kiinan valtion tiedotusvälineisiin sidoksissa olevat sosiaalisen median vaikuttajat.10Storm-1376:een kuuluvat vaikuttajat ja toimijat julkaisivat kolme samanlaista videota, joissa kritisoitiin Fukushiman jätevesipäästöjä. Tällaiset tapaukset, joissa eri toimijoiden viestit käyttävät identtistä sisältöä näennäisesti samassa tahdissa – mikä voi viitata viestien koordinointiin tai ohjaukseen – ovat lisääntyneet koko vuoden 2023 ajan.

Koostekuva, jossa on satiirinen kuvitus ihmisistä, näyttökuva Godzillaa esittävästä videosta ja sosiaalisen median julkaisu
Kuva 9: Tekoälyn luomia meemejä ja kuvia, jotka suhtautuvat kriittisesti Fukushiman jätevesikäsittelyyn, peitetyiltä kiinalaisilta IO-resursseilta (vasemmalla) ja kiinalaisilta julkishallinnon virkamiehiltä (keskellä). Kiinalaiseen valtio-omisteiseen mediaan liittyvät vaikuttajat voimistivat myös julkishallinnon linjan mukaista viestintää, jossa kritisoidaan jätekäsittelyä (oikealla).

3. Erimielisyyden lietsominen Etelä-Koreassa

Fukushiman jätevesipäästöön liittyen Storm-1376 pyrki kohdistamaan Etelä-Koreaan paikallista sisältöä, joka vahvisti maassa esiintyviä mielenosoituksia jätevesipäästöä vastaan, sekä Japanin hallitusta kritisoivaa sisältöä. Kampanjaan sisältyi satoja koreankielisiä viestejä useilla eri alustoilla ja verkkosivustoilla, mukaan lukien eteläkorealaiset sosiaalisen median sivustot, kuten Kakao Story, Tistory ja Velog.io.11

Osana tätä kohdennettua kampanjaa Storm-1376 vahvisti aktiivisesti Minjoo-johtajan ja vuoden 2022 presidenttiehdokkaan Lee Jaemyungin (이재명, 李在明) kommentteja ja toimia. Lee kritisoi Japanin toimia saastuneen veden terroriksi ja jopa toista Tyynenmeren sotaa vastaaviksi. Hän syytti myös Etelä-Korean nykyistä hallitusta siitä, että se on rikoskumppani tukemalla Japanin päätöstä, ja aloitti protestiksi nälkälakon, joka kesti 24 päivää.12

Neljän ruudun sarjakuva, joka käsittelee ympäristön saastumista ja sen vaikutusta merielämään.
Kuva 10: Eteläkorealaisen blogialusta Tistoryn koreankieliset meemit voimistivat eripuraa Fukushiman jätevesikäsittelystä.

4. Kentuckyn raiteilta suistuminen

Marraskuussa 2023 kiitospäivän juhlapyhinä sulaa rikkiä kuljettanut juna suistui raiteilta Rockcastlen piirikunnassa Kentuckyssa. Noin viikko raiteilta suistumisen jälkeen Storm-1376 käynnisti sosiaalisen median kampanjan, joka levitti tietoa raiteilta suistumisesta, levitti Yhdysvaltojen hallituksen vastaisia salaliittoteorioita ja toi esiin poliittisia erimielisyyksiä yhdysvaltalaisten äänestäjien keskuudessa, mikä viime kädessä rohkaisi epäluottamusta ja pettymystä Yhdysvaltojen hallitusta kohtaan. Storm-1376 kehotti yleisöä pohtimaan, onko Yhdysvaltain hallitus saattanut aiheuttaa raiteilta suistumisen ja salaileeko se tahallaan jotain.13 Joissakin viesteissä raiteilta suistumista verrattiin jopa 9/11- ja Pearl Harbori -peittelysalaliittoteorioihin.14

Kiinalaiset vaikuttamisoperaatiot pyrkivät vaikuttamaan Yhdysvaltain poliittiseen keskusteluun

Syyskuun 2023 raportissamme korostimme, kuinka Kiinan kommunistiseen puolueeseen sidoksissa olevat sosiaalisen median tilit ovat alkaneet esiintyä yhdysvaltalaisina äänestäjinä eri puolilta poliittista kirjoa ja vastaamaan aitojen käyttäjien kommentteihin.15Nämä pyrkimykset vaikuttaa Yhdysvaltain vuoden 2022 välivaaleihin olivat ensimmäinen havaittu kiinalainen vaikuttamiskampanja.

Microsoft Threat Analysis Center (MTAC) on havainnut pientä mutta tasaista lisäystä uusissa valetileissä, joiden arvioimme kohtalaisen varmasti olevan Kiinan kommunistisen puolueen ylläpitämiä. X:ssä (entinen Twitter) nämä tilit luotiin jo vuonna 2012 tai 2013, mutta ne alkoivat lähettää viestejä nykyisillä henkilöillä vasta vuoden 2023 alussa. Tämä viittaa siihen, että tilit on hiljattain hankittu tai niitä on käytetty uudelleen. Nämä valetilit julkaisevat sekä itse tuotettuja videoita, meemejä ja infografiikoita että kierrätettyä sisältöä muilta korkean profiilin poliittisilta tileiltä. Näillä tileillä kirjoitetaan lähes yksinomaan Yhdysvaltojen sisäisistä asioista, kuten huumeiden käytöstä, maahanmuuttopolitiikasta ja rotujännitteistä, mutta toisinaan kommentoidaan myös Kiinaa kiinnostavia aiheita, kuten Fukushiman jätevesipäästöjä tai kiinalaisia toisinajattelijoita.

Näyttökuva tietokoneesta, jossa on teksti sodasta ja konflikteista, huumeongelmasta ja rotujen välisistä suhteista jne.
Kuva 11: Kesän ja syksyn aikana kiinalaiset valehenkilöt ja henkilötyypit käyttivät usein julkaisuissaan kiinnostavia visualisointeja – joskus generatiivisen tekoälyn avulla paranneltuja – käsitellessään poliittisia ongelmia ja ajankohtaisia tapahtumia.
Poliittisesti motivoitujen infografiikkojen tai videoiden ohella nämä tilit kysyvät usein seuraajiltaan, ovatko he samaa mieltä kyseisestä aiheesta. Jotkut näistä tileistä ovat kirjoittaneet eri presidenttiehdokkaista ja pyytäneet sitten seuraajiaan kommentoimaan, kannattavatko he heitä vai eivät. Tämän taktiikan tarkoituksena voi olla lisätä sitoutumista tai saada tietoa siitä, miten amerikkalaiset suhtautuvat Yhdysvaltain politiikkaan. Lisää tällaisia tilejä voitaisiin käyttää tiedustelutietojen keräämiseksi tärkeimmistä äänestysdemografioista Yhdysvalloissa.
Jaetun näytön kuvavertailu: vasemmalla on armeijan lentokone nousemassa lentotukialukselta ja oikealla joukko ihmisiä istumassa aidan takana
Kuva 12: Kiinalaiset valehenkilöt pyytävät mielipiteitä poliittisista aiheista muilta X:n käyttäjiltä

Pohjois-Korean uhkaavat kybertoimijat varastivat satojen miljoonien dollarien arvosta kryptovaluuttaa, tekivät ohjelmistotoimitusketjuihin kohdistuvia hyökkäyksiä ja ottivat kohteekseen havaitsemansa kansallisen turvallisuuden vastustajat vuonna 2023. Niiden toiminta tuottaa tuloja Pohjois-Korean hallitukselle – erityisesti sen aseohjelmalle – ja kerää tiedustelutietoja Yhdysvalloista, Etelä-Koreasta sekä Japanista.16

Infografiikka näyttää sektorit ja maat, joihin kohdistettiin eniten kyberhyökkäyksiä.
Kuva 13: Sektorit ja maat, joihin Pohjois-Korea kohdisti eniten hyökkäyksiä kesäkuusta 2023 tammikuuhun 2024, Microsoft Threat Intelligencen valtiollisten ilmoitustietojen perusteella.

Pohjois-Korean kybertoimijat varastavat ennätysmäärän kryptovaluuttaa tuottaakseen tuloja valtiolle.

Yhdistyneet kansakunnat arvioi, että Pohjois-Korean kybertoimijat ovat varastaneet yli 3 miljardin dollarin arvosta kryptovaluuttaa vuodesta 2017 lähtien.17 Pelkästään vuonna 2023 tehtyjen ryöstöjen tuotto oli 600 miljoonan ja miljardin dollarin väliltä. Näillä varastetuilla varoilla rahoitetaan tiettävästi yli puolet maan ydin- ja ohjusohjelmasta, mikä mahdollistaa Pohjois-Korean asekehityksen ja -testaamisen pakotteista huolimatta.18 Pohjois-Korea toteutti lukuisia ohjuskokeita ja sotaharjoituksia viime vuoden aikana ja laukaisi jopa onnistuneesti sotilastiedustelusatelliitin avaruuteen 21. marraskuuta 2023.19

Kolme Microsoftin seuraamaa uhkaavaa toimijaa – Jade Sleet, Sapphire Sleet ja Citrine Sleet – keskittyivät eniten kryptovaluuttakohteisiin kesäkuusta 2023 alkaen. Jade Sleet teki suuri kryptovaluuttaryöstöjä, kun saat Sapphire Sleet teki useampia pienempiä kryptovaluuttaryöstöjä. Microsoft päätteli Jade Sleetiä varastaneen ainakin 35 miljoonan dollarin arvosta kryptovaluuttaa virolaiselta kryptovaluuttayritykseltä kesäkuun 2023 alussa. Kuukautta myöhemmin Microsoft katsoi Jade Sleetin varastaneen myös yli 125 miljoonaa dollaria Singaporessa sijaitsevalta kryptovaluutta-alustalta. Jade Sleet aloitti hyökkäykset verkkokryptovaluuttakasinoihin elokuussa 2023.

Sapphire Sleet on jatkuvasti hyökännyt lukuisia työntekijöitä kohtaan, mukaan lukien kryptovaluutta-, riskipääoma- ja muiden rahoitusorganisaatioiden johtajat ja kehittäjät. Sapphire Sleet kehitti myös uusia tekniikoita, kuten sellaisten väärennettyjen virtuaalisten kokouskutsujen lähettäminen, jotka sisälsivät linkkejä hyökkääjän toimialueelle, ja väärennettyjen työnhakusivustojen rekisteröinti. Citrine Sleet jatkoi maaliskuussa 2023 tehtyä 3CX-toimitusketjuun kohdistunutta hyökkäystä hyökkäämällä tuotantoketjun loppupäässä olevaan turkkilaistaustaiseen kryptovaluutta- ja digiomaisuusyritykseen. Uhri käytti haavoittuvaa 3CX-sovelluksen versiota, joka oli yhteydessä toimitusketjun vaarantumiseen.

Pohjois-Korean kybertoimijat uhkaavat IT-alaa kohdennetuilla tietojenkalasteluhyökkäyksillä ja ohjelmistotoimitusketjuhyökkäyksillä

Pohjois-Korean uhkaajat toimijat tekivät myös ohjelmistojen toimitusketjuun kohdistuvia hyökkäyksiä IT-yrityksiä vastaan, mikä johti siihen, että ne pääsivät käsiksi myös niiden asiakkaiden tietoihin. Jade Sleet käytti GitHub-säilöjä ja aseistettuja npm-paketteja käyttäjien manipulointia ja kohdennettua tietojenkalastelua käsittävässä hyökkäyksessä, joka kohdistui kryptovaluutta- ja IT-organisaatioiden työntekijöihin.20 Hyökkääjät esiintyivät kehittäjinä tai rekrytoijina, kutsuivat kohteita tekemään yhteistyötä GitHub-säilössä ja vakuuttivat heidät kloonaamaan ja suorittamaan sen sisällön, joka sisälsi haitallisia npm-paketteja. Diamond Sleet hyökkäsi saksalaisen IT-yrityksen toimitusketjuun elokuussa 2023 ja käytti taiwanilaisen IT-yrityksen sovellusta toimitusketjuhyökkäyksen tekemiseen marraskuussa 2023. Sekä Diamond Sleet että Onyx Sleet hyödynsivät TeamCityn CVE-2023-42793-haavoittuvuutta lokakuussa 2023. Sen avulla hyökkääjä voi suorittaa etäkoodin suoritushyökkäyksen ja saada palvelimeen hallintaoikeudet. Diamond Sleet käytti tätä tekniikkaa satojen uhrien hyökkäyksissä eri toimialoilla Yhdysvalloissa ja Euroopan maissa, esimerkiksi Yhdistyneessä kuningaskunnassa, Tanskassa, Irlannissa ja Saksassa. Onyx Sleet käytti samaa haavoittuvuutta hyväkseen hyökkäyksissään ainakin 10 muun uhrin kimppuun. Näitä uhreja olivat esimerkiksi australialainen ohjelmistotoimittaja ja norjalaine valtion virasto. Lisäksi Onyx Sleet käytti murtautumisen jälkeisiä työkaluja muiden haittaohjelmien suorittamiseen.

Pohjoiskorealaiset kybertoimijat hyökkäävät Yhdysvaltoja, Etelä-Koreaa ja niiden liittolaisia vastaan

Pohjoiskorealaiset uhkaavat toimijat jatkoivat hyökkäysten kohdistamista kansallisen turvallisuuden vihollisiaan vastaan. Tämä kybertoiminta oli esimerkki Pohjois-Korean geopoliittisesta tavoitteesta vastustaa Yhdysvaltojen, Etelä-Korean ja Japanin kolmenvälistä liittoumaa. Kolmen maan johtajat vahvistivat tämän kumppanuuden Camp Davidin huippukokouksessa elokuussa 2023.21 Ruby Sleet ja Onyx Sleet jatkoivat hyökkäyksiään, jotka kohdistuvat ilmailu- ja avaruus- sekä puolustusalan organisaatioihin Yhdysvalloissa ja Etelä-Koreassa. Emerald Sleet jatkoi tiedustelukampanjaansa ja kohdennettua tietojenkalastelukampanjaansa, joka kohdistui diplomaatteihin ja Korean niemimaan asiantuntijoihin hallituksissa, ajatushautomoissa ja kansalaisjärjestöissä, tiedotusvälineissä sekä koulutussektorilla. Pearl Sleet jatkoi kesäkuussa 2023 toimintaansa, joka kohdistui eteläkorealaisiin yhteisöihin, jotka ovat yhteydessä pohjoiskorealaisiin loikkareihin ja Pohjois-Korean ihmisoikeuskysymyksiin keskittyviin aktivisteihin. Microsoftin arvioiden mukaan tämän toiminnan tarkoituksena on tiedustelutiedon kerääminen.

Pohjoiskorealaiset toimijat hyödyntävät laillisten ohjelmistojen takaovia

Pohjoiskorealaiset toimijat uhkaavat toimijat käyttivät myös takaovia laillisiin ohjelmistoihin ja hyödynsivät olemassa olevien ohjelmistojen haavoittuvuuksia. Vuoden 2023 ensimmäisellä puoliskolla Diamond Sleet käytti usein aseistettua VNC-haittaohjelmaa hyökkäyksissään uhreja kohtaan. Diamond Sleet jatkoi myös aseistettujen PDF-lukijahaittaohjelmien käyttöä heinäkuussa 2023. Nämä ovat tekniikoita, joita Microsoft Threat Intelligence analysoi syyskuussa 2022 julkaistussa blogiartikkelissa.22 Ruby Sleet käytti joulukuussa 2023 todennäköisesti myös eteläkorealaisen sähköisen asiakirjaohjelman takaporttiasennusta.

Pohjois-Korea hyödyntää tekoälytyökaluja haitallisessa kybertoiminnassaan

Pohjoiskorealaiset uhkaavat toimijat ovat sopeutumassa tekoälyn aikakauteen. Ne oppivat käyttämään tekoälyn suurten kielimallien (LLM) avulla toimivia työkaluja, joiden avulla ne voivat tehostaa ja kehittää toimintaansa. Esimerkiksi Microsoft ja OpenAI havaitsivat Emerald Sleetin käyttävän suuria kielimalleja Korean niemimaan asiantuntijoihin kohdistettujen kohdennettujen tietojenkalastelukampanjoiden tehostamiseen.23 Emerald Sleet käytti suuria kielimalleja haavoittuvuuksien tutkimiseen ja Pohjois-Koreaan keskittyvien organisaatioiden sekä asiantuntijoiden tiedusteluun. Emerald Sleet käytti suuria kielimalleja myös teknisten ongelmien ratkaisemiseen, peruskomentosarjatehtävien suorittamiseen ja kohdennettujen tietojenkalasteluviestien sisällön laatimiseen. Microsoft teki yhteistyötä OpenAI:n kanssa poistaakseen Emerald Sleetiin liittyvät tilit ja resurssit käytöstä.

Kiina juhlii lokakuussa Kiinan kansantasavallan perustamisen 75. vuosipäivää, ja Pohjois-Korea jatkaa keskeisten kehittyneiden aseohjelmien kehittämistä. Samaan aikaan, kun Intian, Etelä-Korean ja Yhdysvaltojen väestö suuntaa vaaleihin, näemme todennäköisesti, että kiinalaiset kybertoimijat ja vaikutustoimijat sekä jossain määrin myös Pohjois-Korean kybertoimijat pyrkivät vaikuttamaan näihin vaaleihin.

Kiina ainakin luo ja vahvistaa tekoälyn generoimaa sisältöä, joka hyödyttää sen asemaa näissä korkean profiilin vaaleissa. Vaikka tällaisen sisällön vaikutus yleisön vaikuttamiseen on edelleen vähäinen, Kiinan lisääntyvät kokeilut meemien, videoiden ja äänen lisäämiseksi jatkuvat – ja ne saattavat osoittautua tehokkaiksi myöhemmin. Vaikka kiinalaiset kybertoimijat ovat jo pitkään tiedustelleet Yhdysvaltojen poliittisia instituutioita, olemme valmistautuneita siihen, että vaikutustoimijat ovat vuorovaikutuksessa amerikkalaisten kanssa sitouttaakseen heitä ja mahdollisesti tutkiakseen näkökulmia Yhdysvaltojen politiikkaan.

Pohjois-Korean toteuttaessa uutta politiikkaansa ja kunnianhimoisia asetestisuunnitelmia on odotettavissa yhä kehittyneempiä kryptovaluuttaryöstöjä ja toimitusketjuihin kohdistuvia hyökkäyksiä, jotka kohdistuvat puolustusalalle ja joiden tarkoituksena on sekä kanavoida rahaa hallitukselle että helpottaa uusien sotilaallisten voimavarojen kehittämistä.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 tammikuuta 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11. tammikuuta 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    ”Probable PRC ”Spamouflage” campaign targets dozens of Canadian Members of Parliament in disinformation campaign,” lokakuu 2023, (”todennäköinen kiinalaisen Spamouflage-ryhmän hyökkäys kymmeniä kanadalaisia parlamentin jäseniä kohtaan disinformaatiokampanjassa”)

  8. [8]
  9. [9]

    Useat lähteet ovat dokumentoineet Kiinan hallituksen meneillään olevan propagandakampanjan, jonka tarkoituksena on herättää kansainvälistä suuttumusta Japanin päätöksestä hävittää Fukushima Daiichin ydinvoimalaonnettomuudessa vuonna 2011 syntyneet jätevedet. Katso lisätietoja täältä: China’s Disinformation Fuels Anger Over Fukushima Water Release”, 31.8.2023 (”Kiinan disinformaatio herättää raivoa Fukushiman jätevesipäästöjä kohtaan”)”Japan targeted by Chinese propaganda and covert online campaign”, 8.6.2023 (”Japani kiinalaisen propagandan ja salaisen verkkokampanjan kohteena”)

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Kybervaikuttamisoperaatiot Valtioiden tukemat uhkaavat toimijat Valtioiden tukemien uhkaavien toimijoiden raportit Käyttäjän manipulointi Uhkaavat toimijat

Aiheeseen liittyviä artikkeleita

Itä-Aasian digitaalisten uhkien laajuus ja tehokkuus kasvavat

Tutustu Itä-Aasian kehittyvään uhkakuvaan, jossa Kiina harjoittaa laajamittaisia kyber- ja vaikutusoperaatioita ja Pohjois-Korean kyberuhkatoimijat ovat yhä kehittyneempiä.
Lue lisää

Luottamusyhteiskunnan hyödyntäminen: käyttäjän manipulointipetos

Tutustu kehittyvään digitaaliseen ympäristöön, jossa luottamus on sekä valuutta että haavoittuvuus. Tutustu kyberhyökkääjien eniten käyttämiin käyttäjien manipulointitaktiikoihin sekä strategioihin, oiden avulla voit tunnistaa ja torjua käyttäjien manipulointiuhkia, joilla pyritään huijaamaan ihmisiä.
Lue lisää

Iran lisää kyberavusteisia vaikuttamisoperaatioita Hamasin tukemiseksi

Tutustu yksityiskohtiin Iranin kyberavusteisista vaikuttamisoperaatioista, joilla tuetaan Hamasia Israelissa. Selvitä, miten operaatiot ovat edenneet sodan eri vaiheissa, ja tutki neljää keskeistä vaikutustaktiikkaa, -tekniikkaa ja -menettelyä (TTP), joita Iran suosii eniten.
Lue lisää

Seuraa Microsoft Securitya