Trace Id is missing
דלג לתוכן הראשי
Security Insider

אותם יעדים, מדריכים חדשים: שיטות העסקה ייחודיות של גורמי איום במזרח אסיה

הורד
שתף
איור מופשט של אוניה עם גרפיקה של עיגולים אדומים ורכיבי רשת שחורים כנגד רקע ורוד.

Microsoft צפתה במספר מגמות סייבר והשפעה ראויות ציון מסין וצפון קוריאה מיוני 2023, שמפגינות הדגשה חוזרת של יעדים מוכרים, אך גם ניסיונות להשתמש בטכניקות השפעה מתוחכמות יותר כדי להשיג את מטרותיהן.

גורמי איום סיניים בחרו באופן נרחב שלושה תחומי יעד במהלך שבעת החודשים האחרונים:

  • קבוצה אחת של גורמים סיניים הציבו כיעד נרחב ישויות ברחבי איי דרום האוקיינוס השקט.
  • קבוצה שנייה של גורמי פעילות סיניים המשיכה רצף של מתקפות סייבר נגד יריבים אזוריים באזור ים סין הדרומי.
  • ביניים, קבוצה שלישית של גורמים סיניים חשפה לסכנה בסיס תעשייתי של ההגנה האמריקאית.

גורמי השפעה סיניים - במקום להרחיב את ההיקף הגאוגרפי של היעדים שלהם - חידדו את הטכניקות שלהם וערכו ניסויים באמצעות אמצעים חדשים. קמפיינים של השפעה סיניים המשיכו למקד תוכן שנוצר על-ידי בינה מלאכותית או משופר על-ידי בינה מלאכותית. גורמי ההשפעה שמאחורי קמפיינים אלו הראו נכונות הן לחיזוק אמצעים שנוצרים על-ידי בינה מלאכותית ומועילים לנרטיבים האסטרטגיים שלהם, וכן ליצירת סרטונים, ממים ותוכן שמע משלהם. טקטיקות מסוג זה שימשו בקמפיינים שמעמיסים על מחלקות בתוך ארצות הברית ומחריפים את הקרע באזור האסיה-פסיפי - שכולל את טייוואן, יפן וקוריאה הדרומית. קמפיינים אלה השיגו רמות שונות של הדוד ללא נוסחה יחידה שמייצרת מעורבות קהל עקבית.

גורמי איום בקוריאה הצפונית הגיעו לכותרות בשל הגדלת מתקפות על שרשרת אספקה של תוכנה ומבצעי שוד של מטבעות סייבר במהלך השונה הקודמת. בעוד שקמפיינים אסטרטגיים של דיוג ממוקד שמציבים כיעד חוקרים שחוקרים את חצי האי קוריאה שמרו על מגמה עקבית, נראה שגורמי איום מקוריאה הצפונים עשו שימוש רב יותר בתוכנה חוקית כדי לחשוף לסכנה קרבנות רבים אף יותר.

הקבוצה Gingham Typhoon מציבה כיעד ישויות ממשלתיות, IT ורב-לאומיות ברחבי איי דרום האוקיינוס השקט

במהלך קיץ 2023, בינת האיומים של Microsoft צפתה בפעילות נרחבת מקבוצת ריגול שמבוססת בסין בשם Gingham Typhoon, אשר הציבה כיעד כמעט כל מדינה באיי דרום האוקיינוס השקט. Gingham Typhoon היא הגורם הפעיל ביותר באזור, אשר פוגע בארגונים בינלאומיים, ישויות ממשלתיות ומגזר ה- IT עם קמפייני דיוג מורכבים. קרבנות כוללים גם אנשים שמשיעים את הביקורת שלהם על הממשלה הסינית.

בעלות ברית דיפלומטיות של סין שהיו קרבנות של פעילות אחרונה של Gingham Typhoon כוללות פקידים בכירים בממשלה, מחלקות שקשורות למסחר, ספקי שירות אינטרנט, וכן ישויות תחבורה.

תחרות גאופוליטית ודיפלומטית מוגברת באזור, עשויה להיות גורם מוטיבציה עבור פעילויות סייבר פוגעניות. סין שואפת לשותפות אסטרטגית עם לאומי איי דרום האוקיינוס השקט כדי להרחיב את הקשרים הכלכליים שלה ולבצע תיווך דיפלומטי והסכמי אבטחה. ריגול סייבר סיני באזור זה עוקב גם אחר שותפים כלכליים.

לדוגמה, גורמים סיניים שמעורבים בהצבת יעד בקנה מידה גדול של ארגונים רב-לאומיים בפפואה גינאה החדשה, שותפה דיפלומטית זה זמן רב שמפיקה תועלת מפרויקטים מרובים של יוזמת החגורה ודרך (BRI), כולל הבנייה של כבישים מהירים ראשיים אשר מקשרים בין בניין של ממשלת פפואה גינאה החדשה לכביש הראשי של עיר הבירה.1

מפה שמתארת את התדירות של איומי סייבר שהיעד שלהם היה אומות איי האוקיינוס השקט, עם עיגולים גדולים
איור 1: אירועים שנצפו מ- Gingham Typhoon החל מיוני 2023 עד ינואר 2024. פעילות זו מדגישה את המיקוד המתמשך באומות של איי דרום האוקיינוס השקט. עם זאת, הצבות יעדים רבות היו מתמשכות, באופן שמשקף מיקוד לאורך שנים באזור. תיאור של מיקומים גאוגרפיים והיקף של חקר הסמלים.

גורמי איום סיניים שומרים על מיקוד על ים סין הדרומי בתוך תרגילים צבאיים מערביים

גורמי איום שממוקמים בסין המשיכו להציב כיעד ישויות שקשורות לתומי העניין הכלכליים והצבאיים של סין בתוך ים סין הדרומי וסביבו. גורמים אלה חשפו לסכנה ממשלות וקרבנות טלקומוניקציה באופן סתגלני באיגוד מדינות דרום-מזרח אסיה (ASEAN). נראה שגורמי סייבר שמשויכים למדינת סין, מתעניינים במיוחד ביעדים שקשורים למספר תרגילים של צבא ארה”ב שבוצעו באזור. ביוני 2023, Raspberry Typhoon, קבוצת פעילות מדינת לאום שממוקמת מחוץ לסין, הציבה בהצלחה כיעד ישויות צבאיות ומנהליות באינדונזיה ומערכת ימית מלזית בשבועות שלפני תרגיל רב-צדדי של חיל הים שעירב את אינדונזיה, בין וארצות הברית.

בדומה לכך, ישויות שקשורות לתרגילי של צבאות ארה”ב והפיליפינים, היוו יעד על-ידי גורם סייבר סיני אחר בשם Flax Typhoon. בינתיים, Granite Typhoon, גורם איום נוסף שממוקם בסין, חשף תחילת לסכנה ישויות טלקומוניקציה באזור במהלך תקופה זו, עם קרבנות באינדונזיה, מלזיה, הפיליפינים, קמבודיה וטייוואן.

מאז פרסום הבלוג של Microsoft בנושא Flax Typhoon, Microsoft צפתה ביעדים חדשים של Flax Typhoon בפילינים, הונג קונג, הודו וארצות הברית בתחילת הסתיו והחורף של 2023.2גורם זה גם תקף לעתים קרובות את מגזר הטלקומוניקציה, מה שהוביל לעתים קרובות להשפעות רבות במורד הדרך.

מפה שמציגה את נתוני בינת האיומים של Microsoft באזורים באסיה שמהווים את היעדים העיקריים,
איור 2: אירועים שנצפו בהם הקבוצות Flax Typhoon,‏ Granite Typhoon או Raspberry Typhoon הציבו כיעד מדיניות בים סין הדרומי וסביבו. תיאור של מיקומים גאוגרפיים והיקף של חקר הסמלים.

Nylon Typhoon חושפת לסכנה ישויות עסקיות זרות ברחבי העולם

גורם איום שממוקם בסין בשם Nylon Typhoon, המשיך את הנוהל הממושך שלהם של הצבה כיעד ישויות עסקים זרות במדינות ברחבי העולם. בין יוני לדצמבר 2023, Microsoft צפתה ב- Nylon Typhoon בישויות ממשלתיות בדרום אמריקה לרבות ברזיל, גואטמלה, קוסטה ריקה ופרו. גורם האיום נצפה גם באירופה, בעודו חושף לסכנה ישויות ממשלתיות בפורטוגל, צרפת, ספרד, איטליה ובריטניה. בעוד שרוב היעדים האירופים היו ישויות ממשלתיות, חברות IT מסוימים גם נחשפו לסכנה. המטרה של הצבת יעדים אלה היא איסוף מודיעין.

קבוצת איום סינית מציבה כיעד ישויות צבאיות ותשתית קריטית בארצות הברית

לבסוף, Storm-0062 עלתה בפעילות במהלך סתיו וחורף 2023. חלק ניכר מפעילות זו חשף לסכנה ישויות ממשלתיות שקשורות להגנה האמריקאית, כולל קבלנים שמספקים שירותי הנדסה טכניים קריטיים לאבטחה הלאומית האמריקאים, בין מגזר החלל והתעופה, ההגנה והמשאבים הטבעיים. בנוסף, Storm-0062 הציבה כיעד באופן חוזר ונשנה ישויות צבאיות בארצות הברית; עם זאת, לא ברור אם הקבוצה הצליחה בניסיונות החשיפה לסכנה שלה.

בסיס תעשיית ההגנה האמריקאי נותר גם כיעד מתמשך של Volt Typhoon. במאי 2023, Microsoft שייכה מתקפות של ארגוני תשתית קריטית אמריקאית ל- Volt Typhoon, גורם בחסות המדינה שממוקם בסין. קבוצת Volt Typhoon השיגה גישה לרשתות של ארגונים עם טכניקות שימוש בכלים קיימים (lotl) ופעילות מתקפה ידנית.3 טקטיקות אלה אפשרו ל- Volt Typhoon לשמור בחשאי על גישה בלתי מורשית לרשתות יעדים. החל מיוני 2023 עד דצמבר 2023, Volt Typhoon המשיכה להציב כיעד תשתית קריטית, אך גם רדפה אחר פיתוח משאבים על-ידי חשיפה לסכנה של מכשירי משרדים קטנים ומשרדים ביתיים (SOHO) ברחבי ארצות הברית.

בדוח שלנו מספטמבר 2023, פירטנו כיצד נכסי פעולת השפעה (IO) סיניים התחילו להשתמש בבינה מלאכותית יצרנית כדי ליצור תוכן חזותי מלוטש ומרתק. במהלך הקיץ, בינת האיומים של Microsoft המשיכה לזהות ממים שנוצרו על-ידי בינת איומים שהיעד שלהם היה ארצות הברית והגבירו את השיחה לגבי בעיות מקומיות והעברת ביקורת על המנהל הנוכחי. גורמי IO שמקושרים לסין המשיכו להשתמש באמצעי תקשורת בשיפור בינה מלאכותית או שנוצרו על-ידי בינה מלאכותית (מעתה ואילך ”תוכן בינה מלאכותית”) בקמפיינים של השפעה עם נפח ותדירות הולכים וגדלים לאורך השנה.

התפרצויות AI (אך ללא הצלחה ביצירת השפעה)

הגורם הפורה ביותר מבין גורמים אלה שמשתמש בתוכן בינה מלאכותית הוא Storm-1376 - הייעוד של Microsoft עבור הגורם שמקושר למפלגה הקומוניסטית הסינית (CCP) אשר מוכר בשם ”Spamouflage” או ”Dragonbridge”. עד החורף, גורמים אחרים שמקושרים ל-CCP התחילו להשתמש במערך רחב יותר של תוכן בינה מלאכותית כדי להרחיב IO מקוונת. מערך זה כולל גידול מובחן בתוכן שכולל דמויות פוליטיות מטייוואן לפני הבחירות לנשיאות והחוקתיות של 13 בינואר. זו הייתה הפעם הראשונה שבה בינת האיומים של Microsoft הייתה עדה לגורם מדינת לאום שמשתמש בתוכן בינה מלאכותית בניסיונות להשפיע על בחירות זרות.

שמע שנוצר באמצעות בינה מלאכותית: ביום הבחירות של טייוואן, Storm-1376 פרסם קטעי שמע של הבעלים של Foxconn טרי גו, שעולה החשד שהם נוצרו על-ידי בינה מלאכותית, אשר מהווה מועמד מעם מפלגה עצמאית במרוץ לנשיאות של בטייוואן, והפסיד בתחרות בנובמבר 2023. הקלטות השמע כללו את קולו של גו תומך במועמד אחר במרוץ לנשיאות. קולו של גו בהקלטות ככל הנראה נוצר על-ידי בינה מלאכותית, מאחר שגו מעולם לא יצא בהצהרה כזאת. YouTube פעלה במהירות לגבי תוכן זה לפני שהוא הגיע למספר משמעותי של משתמשים. סרטונים אלה הגיעו ימים לאחר מכתב מזויף מטרי גו שהסתובב ברשת, בו הוא תומך באותו מועמד. ארגוני בדיקת העובדות המובילים של טייוואן חשפו את המכתב. הקמפיין של גו ציין גם שהמכתב לא היה אמתי ושהם לא תובעים כתגובה.4 גו לא תמך באופן רשמי באף מועמד נשיאותי במרוץ.
גבר בחליפה מדבר על דוכן עם טקסט בסינית וגרפיקה של צורת גל שמע בקדמת התמונה.
איור 3: סרטוני וידאו שפורסמו על-ידי Storm-1376 השתמשו בהקלטות קול של טרי גו, שנוצרו על-ידי בינה מלאכותית, כדי לגרום לו להופיע כאילו הוא תומך במועמד אחר.
עוגנים שנוצרים באמצעות בינה מלאכותית: עוגני חדשות שנוצרים על-ידי בינה מלאכותית על-ידי חברות טכנולוגיה של צד שלישי, משתמשים בכלי Capcut של חברת הטכנולוגיה הסינית ByteDance, הופיעו במגוון קמפיינים שכוללים נציגים רשמיים של טייוואן,5 וכן העברת הודעות במיאנמר. Storm-1376 השתמש בעוגני חדשות שנוצרים על-ידי בינה מלאכותית מסוג זה לפחות מאז פברואר 2023,6 אך הנפל של התוכן שעוגנים אלה כללו עלה בחודשים האחרונים.
קולאז’ של כלי רכב צבאי
איור 4: Storm-1376 פרסמה סרטוני וידאו במנדרינית ובאנגלית שטוענים שארצות הברית והודו היו אחראיות למתיחות במיאנמר. אותו עוגן שנוצר על-ידי בינה מלאכותית משמש בכמה מסרטוני וידאו אלה.
סרטוני וידאו שנוצרים על-ידי בינה מלאכותית: כפי שממשלת קנדה וחוקרים אחרים חשפו, סרטוני וידאו בשיפור בינה מלאכותית השתמשו בדמיון של מתנגד משטר סיני שנמצא בקנדה בקמפיין שהיעד שלו היה ראש ממשלת קנדה.7 סרטוני וידאו אלה, שהיוו חלק אחד בלבד מקמפיין מרובה פלטפורמות שכלל הטרדה של פוליטיקאים קנדיים בחשבונות המדיה החברתית שלהם, הציג בצורה שגויה את מתנגד המשטר שמעיר הערות משלהבות לגבי הממשלה הקנדית. סרטוני וידאו דומים בשיפור בינה מלאכותית שימשו נגד מתנגד משטר זה בעבר.
אדם יושב ליד שולחן עבודה
איור 5: סרטוני וידאו מסוג דיפ-פייק שמבוססים על בינה מלאכותית של מתנגד המשטר מדבר באופן משפיל לגבי דת. תוך שימוש בטקטיקטות דומות כפי ששימשו בקמפיין בקנדה, סרטוני וידאו אלה נראים לא קשורים במונחי תוכן.
ממים שנוצרים באמצעות בינה מלאכותית: Storm-1376 קידם בדצמבר סדרה של ממים שנוצרו על-ידי בינה מלאכותית של מי שהיה אז המועמד לנשירות טייוואן מטעם המפלגה הדמוקרטית הפרוגרסיבית (DPP), ויליאם ליי, עם נושא ספירה לאחור שציין ”X ימין” עד לחיסול כוחה של ה- DPP.
ייצוג גרפי עם שתי תמונות זו לצד זו, כשאחת מציגה דמות עם x אדום והאחרת עם אותה דמות אך ללא סימון,
איור 6: ממים שנוצרו על-ידי בינה מלאכותית מאשימים את מועמד ה- DPP לנשיאות, ויליאם ליי, במעילה בכספים שמקורם בתוכנית פיתוח מבנים עתידית של טאייוואן. ממים אלה מציגים דמויות פשוטות (שנעשה בהן שימוש ב- PRC אך לא בטייוואן) והיו חלק מסדרה שהציגה ”ספירה לאחור להורדת ה- DPP מכוחה” באופן יומי.
אינפוגרפיקה של ציר זמן שמציגה את ההשפעה של תוכן שנוצר על-ידי בינה מלאכותית בבחירות של טייוואן מדצמבר 2023 עד ינואר 2024.
איור 7: ציר זמן של תוכן שנוצר ושופר על-ידי בינה מלאכותית שמופיע במרוץ הבחירות לנשיאות ולבית הנבחרים של טייוואן בינואר 2024. Storm-1376 חיזקה כמה מפיסות תוכן אלה והייתה אחראית ליצירת תוכן בשני קמפיינים.

Storm-1376 ממשיך להעביר הודעות תגובתיות, לעתים בעלות נרטיב חתרני

Storm-1376 - גורם שפעולות ההשפעה שלו השתרעו על מעל 175 אתרי אינטרנט ו- 58 שפות - המשיך להעלות בתדירות גבוהה קמפיינים תגובתיים של העברת הודעות סביב אירועים גאופוליטיים בעלי פרופיל גבוה, במיוחד אירועים שמציגים את ארצות הברית באור שלילי או מקדמים את האינטרס של ה- CCP באזור ה- APAC. מאז הדוח האחרון שלנו בספטמבר 2023, קמפיינים אלו התפתחו בכמה דרכים חשובים כולל שילוב תמונות שנוצרות על-ידי בינה מלאכותית כדי להטעות קהלים, העמסה של תוכן חתרני - במיוחד נגד הממשל האמריקאי - והצבת אוכלוסיות חדשות כיעד, כגון קוריאה הדרומית, באמצעות תוכן מותאם למקום.

1. הטענה שממשל ארצות הברית משתמש ב”נשק מזג אוויר” התחילה בשרפות שהתרחשו בהוואי

באוגוסט 2023 השתוללו שרפות בחוף הצפון מערבי של מאווי, הוואי, Storm-1376 ניצל את ההזדמנות להפיץ נרטיבים חתרניים במספר פלטפורמות מדיה חברתית. פרסומים אלה האשימו לכאורה את הממשל האמריקאי בהצתה מכוונת של השרפות כדי לבדוק את ”נשק מזג האוויר” ברמה הצבאית. בנוסף לפרסום הטקסט ב- 31 שפות לפחות ברחבי עשרות אתרי אינטרנט ופלטפורמות, Storm-1376 השתמש בתמונות שנוצרו על-ידי בינה מלאכותית של כבישים ובתי מגורים נשרפים באזור החוף כדי שהתוכן ימשוך יותר את העין.8

תמונה מורכבת עם החותמת ”מזויף” מעל סצנות של שרפות דרמטיות.
איור 8: תוכן קונספרטיבי בפרסומים של Storm-1376 תוך ימים מהתפרצות שרפות הטבע, שטוען שהשרפות היו תוצאה של בדיקת ”נשק מטאורולוגי” שנעשה על-ידי ממשל ארה”ב. פרסומים אלה לוו לעתים קרובות בתמונות של שרפות ענק שנוצרו על-ידי בינה מלאכותית.

2. הגברת הזעם על יפן בשל השלכת מי פסולת גרעיניים

Storm-1376 השיק קמפיין העברת הודעות אגרסיבי בקנה מידה גדול, שהעביר ביקורת על הממשלה היפנית לאחר שיפן התחילה להפיץ מי פסולת רדיואקטיביים מטופלים לתוך האוקיינוס השקט ב- 24 באוגוסט 2023.9 התוכן של Storm-1376 הטיל ספק על ההערכה המדעית של סוכנות האנרגיה האטומית הבינלאומי (IAEA) על כך שההשלכה הייתה בטוחה. Storm-1376 שלחה הודעות ללא אבחנה ברחבי פלטפורמות מדיה חברתית במספר שפות, כולל יפנית, קוריאנית ואנגלית. חלק מהתוכן אף האשים את ארצות הברית בהרעלה מכוונת של מדינות אחרות כדי לשמור על ”הגמוניית המים”. התוכן ששימש בקמפיינים אלה נושא סממן מובהק של יצירת בינה מלאכותית.

במקרים מסוימים, Storm-1376 מחזור תוכן שגורמים אחרים השתמשו בו באקוסיסטמה של התעמולה הסינית, כולל משפיעני מדיה חברתית שמשויכים למדיה של מדינת סין.10 משפיענים ונכסים ששייכים ל- Storm-1376 העלו שלושה סרטוני וידאו זהים שהעבירו ביקורת על הפצת מי הפסולת של פוקושימה. מקרים מסוג זה של פרסומים מגורמים שונים שמשתמשים בתוכן זהה בעל נוהג קבוע דומה - אשר עשוי לרמז על כך תיאום או ניהול של העברת הודעות - התרבו במהלך 2023.

תמונה מורכבת שמציגה איור סטירי של אנשים, צילום מסך של וידאו שמציג את גודזילה, ופרסום במדיה החברתית
איור 9: ממים ותמונות שנוצרו על-ידי בינה מלאכותית ומבקרים את השלכת מי הפסולת של פוקושימה ממסתור של נכסי IO סיניים (שמאל) ונציגי הממשלה הסינית (מרכז). משפיענים שמשויכים למדיה בבעלות מדינת סין חיזקו גם את העברת ההודעות שתואמת לממשלה ומעבירות ביקורת על ההשלכה (ימין).

3. העמסת סכסוכים בקוריאה הדרומית

בהקשר להשלכת מי הפסולת של פוקושימה, Storm-1376 ביצע מאמץ מרוכז להציב את קוריאה הדרומית כיעד באמצעות תוכן שהותאם למקום, מאמץ שהגביר את המחאות שהתרחשו במדינה נגד ההשלכה, וכן תוכן קריטי לממשלה היפנית. קמפיין זה כלל מאות של פרסומים בקוריאנית ברחבי פלטפורמות ואתרי אינטרנט מרובים, כולל אתרי מדיה חברתית בקוריאה הדרומית כגון Kakao Story,‏ Tistory ו- Velog.io.11

כחלק מקמפיין ייעודי זה, Storm-1376 הגבירה באופן פעיל את ההערות והפעולות ממנהיג Minjoo והמועמד הנשיאותי הכושל של שנת 2022, לי ג’אומיונג (이재명, 李在明). לי העביר ביקורת על הצעד של יפן וכינה אותו ”טרור מים מזוהמים” והציג אותו כפעולה ששקולה ל”מלחמה שנייה באוקיינוס השקט”. הוא גם האשים את הממשלה הנוכחית של קוריאה הדרומית על כך שהיא ”שותפה על-ידי גיבוי” להחלטה של יפן והתחיל בשביתת רעב כמחאה שנמשכה 24 ימים.12

רצועת קומיקס עם ארבעה חלוניות שמתייחסת לזיהום הסביבתי ולהשפעה שלו על חיי הים.
איור 10: ממים בשפה הקוריאנית מפלטפורמת יצירת הבלוגים הדרום קוריאנית Tistory, מגבירים את הסכסוך לגבי השלכת מי הפסות בפוקושימה.

4. הירידה מהפסים בקנטאקי

במהלך חג ההודיה שחל בנובמבר 2023, רכבת שנושאת גופרית נוזלית הורדה מהפרסים במחוז רוקאסל, קנטאקי. בערך שבוע אחד לאחר ההורדה מהפסים, Storm-1376 השיקה קמפיין מדיה חברתית שגביר את ההורדה מהפסים, הפיץ תיאוריות קונספירציה נגד הממשל האמריקאי, והדגיש פילוג פוליטי בקרב מצביעים אמריקאיים, אשר בסופו של דבר עודד חוסר אמון והתפכחות מפעולות הממשל האמריקאי. Storm-1376 דרבנה את הקהלים שלה לשקול אם ייתכן שהממשל האמריקאי גרם להורדה מהפסים ו”מסתיר משהו באופן מכוון”.13 הודעות מסוימות אפילו השוו את תיאוריות הטיוח של השימוט של 9/11 ופרל ה-רבור.14

בובות גרב של IO סינית מחפשות נקודות מבט לגבי נושאים פוליטיים בארה”ב

בדוח שלנו מספטמבר 2023, הדגשנו את האופן שבו חשבונות מדיה חברתית שמשויכים ל- CCP התחילו לחקות מצביעים אמריקאים על-ידי התחזות לאמריקאים ברחבי הקשת הפוליטית ותגובה להערות ממשתמשים אמתיים.15 מאמצים אלו להשפעה על בחירות הביניים האמריקאיות בשנת 2022, היו הפעם הראשונה שבה נצפתה IO סינית.

מרכז ניתוח האיומים של Microsoft (‏MTAC) צפה עלייה קטנה אך יציבה של חשבונות בובות גרב נוספים שאנו מעריכים בביטחון מתון, שהם מופעים על-ידי ה- CCP. ב- X (נקראה בעבר Twitter), חשבונות אלה נוצרו עוד בשנת 2012 או 2013, אך התחילו לפרסם תחת האישיות הנוכחית שלהם רק בתחילת 2023 - מה שמרמז על כך שהחשבונות נרכשו לאחרונה או שמטרתם חודשה. בובות גרב אלה מפרסמות סרטוני וידאו שמופקים באופן מקורי, ממים ואינפוגרפיקות, וכן תוכן ממוחזר מחשבונות פוליטיים אחרים בעלי פרופיל גבוה. חשבונות אלה מפרסים באופן כמעט בלעדי לגבי בעיות אמריקאיות מקומיות - החל משימוש סמים בקרב אמריקאים, מדיניות הגירה ומתחים בין גזעיים - אך מדי פעם יגיבו לגבי נושאים שמעניינים את סין - כגון הצפת מי פסולת בפוקושימה או מתנגדי משטר סיניים.

צילום מסך של מחשב עם הטקסט ’מלחמה וקונפליקטים’, ’בעיית סמים’, ’יחסי גזעים’ וכן הלאה.
איור 11: לאורך הקיץ והסתיו, בובות הגרב ודמויות סיניות השתמשו לעתים קרובות בעזרים חזותיים מרתקים - אשר לעתים שופרו באמצעות בינה מלאכותית יצרנית - בפרסומים שלהן בעת דיון על בעיות פוליטיות ואירועי היום בארה”ב.
לצד אינפוגרפיקות וסרטוני וידאו בעלי מוטיבציה גאופוליטית, חשבונות אלה לעתים קרובות שואלים עוקבים אם הם מסכימים עם נושא נתון. חלק מחשבונות אלה פרסמו בנוגע למועמדים שונים לנשיאות ולאחר מכן ביקשו מהעוקבים שלהם להגיב אם הם תומכים בהם או לא. ייתכן שטקטיקה זו שימשה למטרת חיפוש מעורבות נוספת, או אולי כדי להשיג תובנה לאופן שבו אמריקאים רואים את הפוליטיקה האמריקאית. חשבונות נוספים מסוג זה עשויים לפעול כדי להגדיל את איסוף המודיעין סביב קבוצות דמוגרפיות חשובות שמצביעות בתוך ארצות הברית.
השוואת תמונה במסך מפוצל: משמאל מטוס סילון צבאי ממריא מנושאת מטוסים ומימין קבוצה של אנשים יושבים מאחורי מחסום
איור 12: בובות גרב סיניות משדלות את דעותיהן לגבי נושאים פוליטיים ממשתמשים אחרים ב- X

גורמי איום סייבר צפון קוריאניים גנבו מאות מיליוני דולרים במטבעות קריפטו, ביצעו מתקפות על שרשרת אספקה של תוכנה והציבו כיעד את יריבי אבטחה לאומיים ב- 2023. הפעולות שלהם יוצרות הכנסה עבור ממשלת קוריאה הצפונית - במיוחד לתוכנית הנשק שלה - ואוספות מודיעין לגבי ארצות הברית, קוריאה הדרומית ויפן.16

אינפוגרפיקות שמציגות את המגזרים והמדיניות שמהווים יעדים מרכזיים לאיומי סייבר.
איור 13: המגזרים והמדינות שמהווים יעדים מרכזיים של קוריאה הצפונית החל מיוני 2023 ועד ינואר 2024, בהתבסס על נתוני התראת מדינת הלאום של בינת האיומים של Microsoft.

גורמי סייבר צפון קוריאניים בזזו כמות שיא של מטבעות קריפטו כדי ליצור הכנסה עבור המדינה.

האו”ם מעריך שגורמי הסייבר הצפון קוריאניים גנבו מעל 3 מיליארד USD$ במטבעות קריפטו מאז 2017.17 פעולות השוד מסתכמות בסכומים של בין 600 מיליון USD$ ל- 1 מיליארד USD$ שהתרחשו בשנת 2023 בלבד. כפי שנמסר, כספים גנובים אלה ממנים מעל מחצית מהתוכנית הגרעין והטילים של המדינה, מה שמאפשר התרבות מהירה של נשק צפון קוריאני ובדיקה שלו למרות הסנקציות.18 קוריאה הצפון ביצעה מספק בדיקות טילים ותרגילים צבאיים במהלך השנה האחרונה ואפילו הצליחה לשגר לחלל לוויין ריגול צבאי ב- 21 בנובמבר 2023.19

Microsoft עקבה אחרי שלושה גורמי איום - Jade Sleet,‏ Sapphire Sleet ו- Citrine Sleet - תוך התמקדות רבה ביותר על יעדים מטבעות קריפטו מיוני 2023. Jade Sleet ביצעה שודי מטבעות קריפטו גדולים, בעוד ש- Sapphire Sleet ביצעה פעולות גניבת מטבעות קריפטו קטנות יותר אך בתדירות גבוהה יותר. Microsoft שייכה את הגניבה של לפחות 35 מיליון USD$ מחברת מטבעות קריפטו שממוקמת באסטוניה בתחילת יוני 2023, ל- Jade Sleet. Microsoft גם שייכה את השוד של מעל 125 מיליון USD$ מפלטפורמת מטבעות קריפטו שממוקמת בסינגפור ל- Jade Sleet חודש מאוחר יותר. Jade Sleet התחילה לחשוף לסנה אתרי קזינו מקוונים של מטבעות קריפטו באוגוסט 2023.

Sapphire Sleet חשפה לסכנה באופן עקבי מספר עובדים, כולל מנהלים בכירים ומפתחים בארגוני מטבעות קריפטו, הון סיכון וארגונים פיננסיים אחרים. Sapphire Sleet גם פיתחה טכניקות חדשות, כגון שליחת הזמנות מזויפות לפגישה וירטואלית שמכילים קישורים לתחום של תוקף או רישום אתרי אינטרנט מזויפים לגיוס עובדים. Citrine Sleet המשיכה עם מתקפת שרשרת האספקה 3CX במרץ 2023 על-ידי חשיפה לסכנה של חברת מטבעות קריפטו ונכסים דיגיטליים מזדמנת שממוקמת בטורקיה. הקרבן אירחה גרסה פגיעה של אפליקציית 3CX שמקושרת לחשיפה לסכנה של שרשרת האספקה.

גורמי סייבר צפון קוריאניים מאיימים על גורם ה- IT במתקפות דיוג ממוקדות ושרשרת אספקה של תוכנה

גורמי איום צפון קוריאניים ביצעו גם מתקפות שרשרת אספקה של תוכנה על חברות IT, שהובילו לגישה אל לקוחות מזדמנים. Jade Sleet השתמשה במאגרי GitHub ובחבילות npm חמושות בקמפיין דיוג ממוקד של הנדסה חברתית שהציב כיעד עובדים של ארגוני מטבעות קריפטו וטכנולוגיה.20 התוקפים התחזו למפתחים או למגייסים, הזמינו יעדים לשתף פעולה במאגר GitHub, ושכנעו אותם לשכפל ולהוציא לפועל את התוכן שלהם, אשר הכיל חבילות npm זדוניות. Diamond Sleet ביצעה חשיפה לסכנה של שרשרת אספקה בחברת IT שממוקמת בגרמניה באוגוסט 2023 וחימשה אפליקציה מחברת IT שממוקמת בטייוואן כדי לבצע מתקפת שרשרת אספקה בנובמבר 2023. הן Diamond Sleet ו- Onyx Sleet ניצלו את הפגיעות של TeamCity CVE-2023- 42793 באוקטובר 2023, אשר איפשרה לתוקף לבצע מתקפת ביצוע של קוד מרחוק ולהשיג שליטה מנהלית של השרת. Diamond Sleet השתמשה בטכניקה זו כדי לחשוף לסכנה מאות קרבנות במגוון ענפים בארצות הברית ובמדינות אירופאיות כולל בריטניה, דנמרק, אירלנד וגרמניה. Onyx Sleet ניצלה את אותה פגיעות כדי לחשוף לסכנה לפחות 10 קרבנות - לרבות ספק תוכנה באוסטרליה וסוכנות ממשלתית בנורווגיה - והשתמשה בכלים לאחר חשיפה לסכנה כדי להוציא לפועל תוכני מנה נוספים.

גורמי איום צפון קוריאניים הציבו כיעד את ארצות הברית, קוריאה הדרומית ואת בעלות הברית שלהן

גורמי איום צפון קוריאניים המשיכו להציב כיעד את מי שהם ראו כיריבי האבטחה הלאומיים שלהם. פעילות סייבר זו הדגימה את המטרה הגאופוליטית של קוריאה הצפונית שהיא התנגדות לברית המשולשת בין ארצות הברית, קוריאה דרומית ויפן. מנהיגי שלוש המדינות גיבשו שותפות זו במהלך פסגת קמפ דייויד באוגוסט 2023.21 Ruby Sleet ו- Onyx Sleet המשיכו במגמות שלהם של הצבת ארגוני חלל ותעופה והגנה כיעד בארצות הברית וקוריאה הדרומית. Emerald Sleet שמרה על קמפיין הריגול והדיוג הממוקד שלה שהציב כיעד דיפלומטים ומומחים של חצי האי קוריאה בממשלה, צוותי חשיבה/ארגונים ללא מטרות רווח, ארגוני מדיה וחינוך. Pearl Sleet המשיכה בפעולות שלה שהציבו כיעד ישויות דרום קוריאניות שמעורבות עם עריקים ואקטיביסטיים צפון קוריאניים שהתמקדו בבעיות זכויות אדם של קוריאה הצפונית ביוני 2023. Microsoft מעריכה שהמוטיב מאחורי פעילויות אלה הוא איסוף מודיעין.

גורמים צפון קוריאניים מטמיעים דלתות אחוריות בתוכנה חוקית

גורמי איום צפון קוריאניים השתמשו גם בדלתות אחוריות אל תוכנה חוקית, להפקת תועלת מפגיעויות בתוכנה קיימת. במחצית הראשונה של 2023, Diamond Sleet השתמשה לעתים תכופות בתוכנה זדונית חמושה ב- VNC כדי לחשוף קרבנות לסכנה. Diamond Sleet גם חידשה פעולת שימוש בתוכנה זדונית חמושה של קורא PDF ביולי 2023, טכניקות שבינת האיומים של Microsoft ניתחוה ברשומת בלוג מספטמבר 2022.22 קיימת בירות שגם Ruby Sleet השתמשה במתקין מהדלת האחורית של תוכנית מסמך אלקטרוני בקוריאה הדרומית בדצמבר 2023.

השימוש של קוריאה הצפונית בכלי בינה מלאכותית כדי לאפשר פעילויות סייבר זדוניות

גורמי איום צפון קוריאניים מסתגלים לעידן של בינה מלאכותית. הם לומדים להשתמש בכלים שמופעלים על-ידי מודלי שפה גדולים (LLM) של בינה מלאכותית כדי להפוך את הפעולות שלהם ליעילות יותר. לדוגמה, Microsoft ו- OpenAI צפו ב- Emerald Sleet משתמת במודלי שפה גדולים כדי לשפר את קמפייני הדיוג הממוקד שהציבו כיעד מומחים מחצי האי קוריאה.23 Emerald Sleet השתמש במודלי שפה גדולים כדי לחקור פגיעויות ולבצע ריגול אחר ארגונים ומומחים שמתמקדים בקוריאה הצפונית. Emerald Sleet השתמשה במודלי LLM גם כדי לפתור בעיות טכניות, לבצע משימות סקריפט בסיסיות וליצור טיוטה של תוכן עבור הודעות דיוג ממוקד. Microsoft חברה ל- OpenAI כדי להשבית חשבונות ונכסים שמשויכים ל- Emerald Sleet.

סין תחגוג את יום השנה ה- 75 של הקמת הרפובליקה העממית של סין באוקטובר, וקוריאה הצפונית תמשיך לדחוף לקראת תוכניות חשובות לייצור נשק מתקדם. בינתיים, בשעה שהאוכלוסייה בהודו, קוריאה הדרומית וארצות הברית פונה לעבר הסקרים, קיימת סבירות גבוהה שנראה גורמי סייבר והשפעה סיניים, ובהיקף מסוים גם גורמי סייבר צפון קוריאנים, שפועלים להצבת בחירות אלה כיעד.

סין לפחות תיצור ואולי גם תגביר תוכן שנוצר על-ידי בינה מלאכותית שמועיל לעמדות שלה בבחירות בעלות חשיפה גבוהה אלה. בעוד שההשפעה של תוכן מסוג זה בקרב הקולות הצפים נותר נמוך, ימשיך הניסוי הגדל של סין בהרחבת ממים, סרטוני וידאו ושמע - והוא עשוי להוכיח את יעילותו לאורך הדרך. בעוד שגורמי סייבר סיניים ביצעו ריגול זה זמן רב אחר מוסדות פוליטיים אמריקאים, אנחנו מוכנים לראות גורמי השפעה יוצרים אינטראקציה עם אמריקאיים לצורך מעורבות ואולי כדי לחקור נקודות מבט על הפוליטיקה האמריקאית.

לבסוף, בשעה שקוריאה הצפונית מצטרפת לפריטי מדיניות ממשלתיים חדשים ורודפת אחר תוכניות שאפתיות לבדיקת כלי נשק, אנו יכולים לצפות לעלייה במקרי שוד מטבעות קריפטו מתוחכמים ומתקפות שרשרת אספה שהיעד שלהם הוא מגזר ההגנה, אשר משרתים הזרמת כסף לתוך המשטח והקלה על פיתוח יכולות צבאיות חדשות.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 בינואר 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11 בינואר 2024 tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    ”קיימת הסבירות שקמפיין “Spamouflage” של PRC הציב כיעד עשרות חברי פרלמנט קנדיים בקמפיין מידע כוזב”, אוקטובר 2023,

  8. [8]
  9. [9]

    מקורות מרובים תיעדו את קמפיין התעמולה המתמשך של ממשלת סין שמטרתו להפיק שערורייה בינלאומית לגבי ההחלטה של יפן להשליך מי פסולת גרעינית מהאסון הגרעיני בפוקושימה בשנת 2011, ראה: המידע הכוזב של סין מעודד כעס לגבי שחרור מי פוקושימה”, 31 באוגוסט 2023”יפן הפכה ליעד תעמולה סינית ומסתירה קמפיין מקוון”, 8 ביוני 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
פעולות שמשפיעות על תחום הסייבר מדינת לאום דוחות מדינת לאום הנדסה חברתית גורמי איום

מאמרים קשורים

איומים דיגיטליים ממזרח אסיה גדלים בהיבטי הרוחב והיעילות

צלול פנימה וחקור מגמות עולות בנוף האיומים המתפתח של מזרח אסיה, היכן שסין מבצעת סייבר נרחב ופעולות השפעה (IO), בעוד שגורמי איום הסייבר של קוריאה הצפונית מפגינים תחכום מתפתח.
למידע נוסף

ניצול של כלכלת האמון: הונאת ההנדסה החברתית

בוא לגלות נוף דיגיטלי מתפתח שבו האמון הוא גם הון וגם פגיעות. גלה את טקטיקות ההונאה של הנדסה חברתית שבהן משתמשים תוקפי סייבר יותר מכל היתר, וסקור אסטרטגיות שיכולות לעזור לך לזהות איומי הנדסה חברתית שנועדו לתמרן את הטבע האנושי, ולהערים עליהם.
למידע נוסף

איראן מקדמת פעולות השפעה תומכות סייבר לתמיכה בחמאס

גלה פרטים על פעולות השפעה תומכות סייבר של איראן התומכות בחמאס בישראל. למד כיצד הפעולות התקדמו בשלבי המלחמה השונים ובחן את ארבעת הטקטיקות, הטכניקות והנהלים המרכזיים (TTP) של ההשפעה שאיראן מעדיפה במיוחד.
מידע נוסף

עקוב אחר 'האבטחה של Microsoft'