Trace Id is missing
Pereiti prie pagrindinio turinio
Sauga iš vidinės perspektyvos

Rusijos grėsmių sukėlėjai įsitvirtina ir ruošiasi pasinaudoti karo nuovargiu

Atsisiųsti
Bendrinti
Kibernetinės įtakos operacijos
Įvadas
Per karą su Ukraina Rusijos kibernetiniai ir įtakos veikėjai pademonstravo gebėjimą prisitaikyti, išbandydami naujus būdus, kaip įgyti pranašumą mūšio lauke ir išsekinti Kijevo vidaus ir išorės paramos šaltinius. Šioje ataskaitoje pateikiama išsami informacija apie kibernetines grėsmes ir piktybinės įtakos veiklą, kurią „Microsoft“ pastebėjo 2023 m. kovo–spalio mėn. Tuo metu Ukrainos kariai ir civiliai gyventojai vėl atsidūrė taikiklyje, o įsibrovimo ir manipuliacijų rizika išaugo viso pasaulio subjektams, padedantiems Ukrainai ir siekiantiems patraukti Rusijos pajėgas atsakomybėn už karo nusikaltimus.

Rusijos karo Ukrainoje etapai nuo 2022 m. sausio iki 2023 m. birželio

Diagrama, kurioje matomi Rusijos karo Ukrainoje etapai
Sužinokite daugiau apie šį vaizdą visos ataskaitos 3 puslapyje

Kovo-spalio mėn. laikotarpiu „Microsoft“ pastebėti grėsmių veiksmai atspindėjo bendras operacijas, kuriomis buvo siekiama demoralizuoti Ukrainos visuomenę, ir didesnį dėmesį kibernetiniam šnipinėjimui. Rusijos kariniai, kibernetiniai ir propagandiniai veikėjai surengė suderintas atakas prieš Ukrainos žemės ūkio sektorių – civilinės infrastruktūros taikinį – pasaulinės grūdų krizės metu. Su Rusijos karine žvalgyba (GRU) susiję kibernetinių grėsmių sukėlėjai vykdė kibernetinio šnipinėjimo operacijas, nukreiptas prieš Ukrainos kariuomenę ir jos užsienio tiekimo linijas. Tarptautinei bendruomenei siekiant nubausti už karo nusikaltimus, su Rusijos užsienio žvalgybos (SVR) ir Federalinio saugumo (FSB) tarnybomis susijusios grupuotės nusitaikė į karo nusikaltimų tyrėjus Ukrainoje ir už jos ribų.

Įtakos fronte trumpas 2023 m. birželio sukilimas ir vėlesnė Jevgenijaus Prigožino, „Wagner“ grupės ir liūdnai pagarsėjusios Interneto tyrimų agentūros trolių fermos savininko, mirtis sukėlė klausimų dėl Rusijos įtakos galimybių ateities. Šią vasarą „Microsoft“ stebėjo plačiai paplitusias su Prigožinu nesusijusių organizacijų operacijas, o tai rodo, kad Rusija ateityje vykdys piktybines įtakos kampanijas ir be Prigožino.

„Microsoft“ grėsmių žvalgybos ir reagavimo į incidentus komandos informavo paveiktus klientus ir vyriausybinius partnerius ir bendradarbiavo su jais, kad sumažintų šioje ataskaitoje aprašytą grėsmę.

Rusijos pajėgos daugiau žalos Ukrainoje daro įprastiniais ginklais, tačiau kibernetinės ir įtakos operacijos tebėra neatidėliotina grėsmė Ukrainos sąjungininkių regione, NATO ir visame pasaulyje kompiuterinių tinklų ir pilietinio gyvenimo saugumui. Be to, kad atnaujiname savo saugumo produktus, siekdami aktyviai apsaugoti klientus visame pasaulyje, dalijamės šia informacija, norėdami paskatinti nuolatinį budrumą prieš grėsmes pasaulinės informacinės erdvės vientisumui.

Šią vasarą Rusijos kinetinės, kibernetinės ir propagandinės pajėgos susitelkė prieš Ukrainos žemės ūkio sektorių. Kariniai smūgiai sunaikino tiek grūdų, kad jais metus būtų galima pamaitinti daugiau kaip milijoną žmonių, o prorusiška žiniasklaida, nepaisydama humanitarinių nuostolių, stengėsi pateisinti tokius smūgius.1

Birželio–rugsėjo mėnesiais „Microsoft“ grėsmių žvalgyba stebėjo įsiskverbimą į tinklą, duomenų nutekinimą ir net destruktyvią kenkėjišką programinę įrangą, nukreiptą prieš organizacijas, susijusias su Ukrainos žemės ūkio pramone ir grūdų gabenimo infrastruktūra. Birželio ir liepos mėn. „Aqua Blizzard“ (buvusi ACTINIUM) pavogė duomenis iš įmonės, kuri padeda stebėti pasėlių derlių. „Seashell Blizzard“ (buvusi IRIDIUM) prieš maisto ir žemės ūkio sektoriaus tinklus naudojo „Microsoft“ aptiktus „WalnutWipe“ / „SharpWipe“ kenkėjiškų programų variantus.2

Rusijos skaitmeninės propagandos veiklos, nukreiptos prieš Ukrainos žemės ūkį, paskirstymas

Rusijos skaitmeninės propagandos veiklos, nukreiptos prieš Ukrainos žemės ūkį, parodymas
Sužinokite daugiau apie šį vaizdą visos ataskaitos 4 puslapyje

Liepos mėn. Maskva pasitraukė iš Juodosios jūros grūdų iniciatyvos – humanitarinės akcijos, kuri padėjo išvengti pasaulinės maisto krizės ir per pirmuosius metus Afganistano, Etiopijos, Kenijos, Somalio ir Jemeno gyventojams pervežė daugiau kaip 725 000 tonų kviečių.3 Po Maskvos veiksmų prorusiškos žiniasklaidos priemonės ir „Telegram“ kanalai puolė juodinti grūdų iniciatyvą ir pateisinti Maskvos sprendimą. Propagandos kanalai grūdų koridorių vaizdavo kaip priedangą prekybai narkotikais arba jį pateikė kaip priemonę slaptam ginklų perdavimui, kad sumenkintų susitarimo humanitarinę reikšmę.

Keliose 2023 m. ataskaitose atkreipėme dėmesį į tai, kaip teisėtos ar pseudo haktyvistų grupės, kurios, kaip įtariama, yra susijusios su GRU, stengėsi padidinti Maskvos nepasitenkinimą priešininkais ir sureikšminti prorusiškų kibernetinių pajėgų skaičių.4 5 6Šią vasarą taip pat pastebėjome, kad haktyvistų personažai „Telegram“ platina pranešimus, kuriais bandoma pateisinti karinius išpuolius prieš Ukrainos civilinę infrastruktūrą ir nukreipti paskirstytas atsisakymo aptarnauti (DDoS) atakas prieš Ukrainos sąjungininkus užsienyje. „Microsoft“ nuolat stebėdama įsilaužėlių grupių ir nacionalinių valstybių veikėjų sąsajas, gauna papildomų įžvalgų apie abiejų subjektų veiklos tempą ir tai, kaip jų veikla papildo viena kitos tikslus.

Iki šiol nustatėme tris grupuotes – „Solntsepek“, „InfoCentr“ ir „Cyber Army of Russia“ – kurios sąveikauja su „Seashell Blizzard“. „Seashell Blizzard“ santykiai su haktyvistais gali būti trumpalaikis naudojimasis, o ne kontrolė, atsižvelgiant į tai, kad haktyvistų kibernetinių pajėgumų laikinas padidėjimas sutampa su „Seashell Blizzard“ atakomis. „Seashell Blizzard“ periodiškai vykdo destruktyvias atakas, kurių autorystę viešai prisiima „Telegram“ haktyvistų grupės. Tuomet haktyvistai vėl imasi nesudėtingų veiksmų, įskaitant „DDoS“ atakas ar Ukrainos asmeninės informacijos nutekinimą. Šis tinklas – tai lanksti infrastruktūra, kuria APT gali naudotis savo veiklai skatinti.

Prorusiškojo haktyvizmo skalė

Diagrama, rodanti prorusiškojo haktyvizmo skalę
Sužinokite daugiau apie šį vaizdą visos ataskaitos 5 puslapyje

Rusijos pajėgos ne tik vykdo veiksmus, kurie gali prieštarauti tarptautinei teisei, bet ir taikosi į baudžiamųjų bylų tyrėjus ir prokurorus, rengiančius bylas prieš jas.

„Microsoft“ telemetrija atskleidė, kad šių metų pavasarį ir vasarą su Rusijos karinėmis ir užsienio žvalgybos agentūromis susiję veikėjai taikėsi į Ukrainos teisinius ir tyrimo tinklus bei tarptautinių organizacijų, dalyvaujančių karo nusikaltimų tyrimuose, tinklus ir įsilaužė į juos.

Šios kibernetinės operacijos vyko didėjant įtampai tarp Maskvos ir tokių grupių kaip Tarptautinis baudžiamasis teismas (TBT), kuris kovo mėn. išdavė Rusijos prezidento V. Putino arešto orderį dėl kaltinimų karo nusikaltimais.7

Balandžio mėn. su GRU susijusi „Seashell Blizzard“ įsilaužė į advokatų kontoros, kuri daugiausia dėmesio skiria karo nusikaltimų byloms, tinklą. FSB priskiriama „Aqua Blizzard“ liepos mėn. įsilaužė į didelės Ukrainos tyrimų įstaigos vidaus tinklą, o rugsėjo mėn. pasinaudojusi užkrėstomis paskyromis išsiuntė apgaulingus el. laiškus kelioms Ukrainos telekomunikacijų įmonėms.

SVR veikėjai „Midnight Blizzard“ (buvusi NOBELIUM) birželio ir liepos mėn. įsilaužė pasaulinę atsakomybę turinčios teisinės organizacijos dokumentus ir gavo prieigą prie jų, kol įsikišo „Microsoft“ atsako į incidentus tarnyba ir pašalino įsilaužimo padarinius. Ši veikla buvo viena iš agresyvesnių šio veikėjo pastangų įsilaužti į diplomatines, gynybos, viešosios politikos ir IT sektoriaus organizacijas visame pasaulyje.

Peržiūrėjus „Microsoft“ saugos pranešimus, nuo kovo mėn. pateiktus paveiktiems klientams, paaiškėjo, kad „Midnight Blizzard“ siekė gauti prieigą prie daugiau nei 240 organizacijų, daugiausia JAV, Kanadoje ir kitose Europos šalyse, ir tai sekėsi įvairiai.8

Beveik 40 proc.  atakuotų organizacijų buvo vyriausybinės, tarpvyriausybinės ar į politiką orientuotos analitinės grupės.

Rusijos grėsmių sukėlėjai naudojo įvairius metodus, kad gautų pirminę prieigą ir išliktų puolamuose tinkluose. „Midnight Blizzard“ taikė „virtuvės kriauklės“ metodą, naudodama slaptažodžių purškimą, iš trečiųjų šalių gautą prisijungimo informaciją, įtikinamas socialinės inžinerijos kampanijas per „Teams“ ir piktnaudžiavimą debesies paslaugomis, kad įsiskverbtų į debesies aplinkas.9 „Aqua Blizzard“ sėkmingai integravo HTML kontrabandą į pirminės prieigos sukčiavimo apsimetant kampanijas, kad sumažintų tikimybę, jog ją aptiks antivirusiniai parašai ir el. pašto saugos kontrolės priemonės.

„Seashell Blizzard“ pasinaudojo perimetro serverių sistemomis, tokiomis kaip „Exchange“ ir „Tomcat“ serveriai, ir kartu pasinaudojo piratine „Microsoft Office“ programine įranga, kurioje buvo įdiegtos „DarkCrystalRAT“ užpakalinės durys, kad gautų pirminę prieigą. Per šias užpakalines duris šis veikėjas galėjo įkelti antrojo etapo paketo turinį, kurį vadiname „Shadowlink“ – programinės įrangos paketą, prisidengusį „Microsoft Defender“ vardu, kuris įrenginyje įdiegia TOR tarnybą ir suteikia grėsmės sukėlėjui slaptą prieigą per TOR tinklą.10

Schema, kurioje parodyta, kaip „Shadowlink“ įdiegia TOR tarnybą į programinės įrangos įrenginį
Sužinokite daugiau apie šį vaizdą visos ataskaitos  6 puslapyje

Nuo tada, kai Rusijos pajėgos pradėjo 2023 m. pavasario puolimą, su GRU ir FSB susiję kibernetiniai veikėjai sutelkė pastangas rinkti žvalgybinę informaciją iš Ukrainos ryšių ir karinės infrastruktūros kovų zonose.

Kovo mėnesį „Microsoft“ grėsmių žvalgyba susiejo „Seashell Blizzard“ su galimomis sukčiavimo apsimetant vilionėmis ir paketais, kurie, kaip atrodė, buvo nukreipti į pagrindinį Ukrainos karinių ryšių infrastruktūros komponentą. Neturėjome galimybės matyti tolesnių veiksmų. Pasak Ukrainos saugumo tarnybos (SBU), kiti „Seashell Blizzard“ bandymai prisijungti prie Ukrainos karinių tinklų apėmė kenkėjišką programinę įrangą, kuri būtų leidusi rinkti informaciją apie prijungtų „Starlink“ palydovinių terminalų konfigūracijas ir nustatyti Ukrainos karinių dalinių buvimo vietą.11 12 13

„Secret Blizzard“ (buvusi KRYPTON) taip pat ėmėsi veiksmų, kad užtikrintų žvalgybos duomenų rinkimo pozicijas su Ukrainos gynyba susijusiuose tinkluose. Bendradarbiaudama su Ukrainos vyriausybine kompiuterinių incidentų tyrimo grupe (CERT-UA), „Microsoft“ grėsmių žvalgyba nustatė, kad Ukrainos gynybos pajėgų sistemose yra „Secret Blizzard“ kenkėjiškų programų „DeliveryCheck“ ir „Kazuar“.14 „Kazuar“ gali atlikti daugiau kaip 40 funkcijų, įskaitant prisijungimo informacijos iš įvairių programų, autentifikavimo duomenų, tarpinių serverių ir slapukų vagystę bei duomenų gavimą iš operacinės sistemos žurnalų.15 „Secret Blizzard“ ypač domino failų su žinutėmis iš „Signal“ kompiuterio pranešimų siuntimo programos vagystė, kuri leistų skaityti privačius „Signal“ pokalbius.16

„Forest Blizzard“ (buvusi STRONTIUM) vėl sutelkė dėmesį į savo tradicinius šnipinėjimo taikinius – su gynyba susijusias organizacijas Jungtinėse Amerikos Valstijose, Kanadoje ir Europoje, kurių teikiama karinė parama ir mokymas padeda Ukrainos pajėgoms būti pasirengusioms tęsti kovą.

Nuo kovo mėnesio „Forest Blizzard“ bandė įgyti pirminę prieigą prie gynybos organizacijų pasitelkusi sukčiavimo apsimetant pranešimus, kuriuose buvo naudojami nauji išsisukinėjimo metodai. Pavyzdžiui, rugpjūtį „Forest Blizzard“ Europos gynybos organizacijos sąskaitų turėtojams išsiuntė sukčiavimo apsimetant el. laišką, į kurį buvo įtrauktas CVE-2023-38831 išnaudojimo būdas. CVE-2023-38831 – tai „WinRAR“ programinės įrangos saugumo pažeidžiamumas, leidžiantis įsilaužėliams paleisti savavališką kodą, kai vartotojas bando peržiūrėti nekenksmingą ZIP archyvo failą.

Šis veikėjas taip pat naudoja teisėtus kūrėjų įrankius, tokius kaip „Mockbin“ ir „Mocky“, kad galėtų valdyti ir kontroliuoti. Rugsėjo pabaigoje šis veikėjas vykdė sukčiavimo apsimetant kampaniją, piktnaudžiaudamas „GitHub“ ir „Mockbin“ paslaugomis. CERT-UA ir kitos kibernetinio saugumo įmonės apie šią veiklą paskelbė rugsėjo mėn., nurodydamos, kad veikėjas naudojo suaugusiųjų pramogų puslapius, kad įtikintų aukas spustelėti nuorodą arba atidaryti failą, kuris nukreiptų jas į kenkėjišką „Mockbin“ infrastruktūrą.17 18Rugsėjo pabaigoje „Microsoft“ pastebėjo posūkį į technologijų tematikos puslapio naudojimą. Kiekvienu atveju veikėjai siuntė sukčiavimo apsimetant el. laišką su kenkėjiška nuoroda, kuri nukreipdavo auką į „Mockbin“ URL adresą ir atsisiųsdavo zip failą su kenkėjišku LNK (nuorodos) failu, užmaskuotu kaip „Windows“ naujinimas. Tada iš LNK failo būtų atsisiųstas ir įvykdytas kitas „PowerShell“ scenarijus, kad būtų atlikti tolesni veiksmai, pavyzdžiui, duomenų vagystė.

Su „Forest Blizzard“ apgaulingu laišku gynybinėms organizacijoms susijusio PDF jauko pavyzdys.

Grėsmės sukėlėjas apsimetė Europos Parlamento personalu
El. laiško priedas: 2023 m. rugpjūčio 28 d. – rugsėjo 3 d. Europos Parlamento posėdžių darbotvarkė. Spaudos tarnybos pranešimas. 160 KB bulletin.rar
5 pav. Su „Forest Blizzard“ apgaulingu laišku gynybinėms organizacijoms susijusio PDF jauko pavyzdys.  Sužinokite daugiau apie šį vaizdą visos ataskaitos 8 puslapyje

2023 m. MTAC toliau stebėjo „Storm-1099“ – su Rusija susijusį įtakos veikėją, nuo 2022 m. pavasario atsakingą už sudėtingą prorusišką įtakos operaciją, nukreiptą prieš tarptautinius Ukrainos rėmėjus.

„Storm-1099“ veikla, ko gero, geriausiai žinoma dėl masinės interneto svetainių klastojimo operacijos, kurią tyrimų grupė „EU DisinfoLab“19 pavadino „Doppelganger“, taip pat apima unikalius firminius kanalus, tokius kaip „Reliable Recent News“ (RRN), daugialypės terpės projektus, tokius kaip antiukrainietiškų animacinių filmų serija „Ukraine Inc.“, ir demonstracijas, jungiančias skaitmeninį ir fizinį pasaulius. Nors priskyrimas yra neišsamus, gerai finansuojami Rusijos politiniai technologai, propagandistai ir ryšių su visuomene specialistai, turintys akivaizdžių ryšių su Rusijos valstybe, vykdė ir rėmė kelias kampanijas „Storm-1099“.20

Šios ataskaitos rengimo metu „Storm-1099“ operacija „Doppelganger“ tebevykdoma visu pajėgumu, nepaisant nuolatinių technologijų bendrovių ir mokslinių tyrimų įstaigų bandymų pranešti apie ją ir sumažinti jos mastą.21 Nors istoriškai šis veikėjas taikėsi į Vakarų Europą (daugiausia į Vokietiją), jis taip pat taikėsi į Prancūziją, Italiją ir Ukrainą. Pastaraisiais mėnesiais „Storm-1099“ persiorientavo į Jungtines Amerikos Valstijas ir Izraelį. Šis perėjimas prasidėjo dar 2023 m. sausį, Izraelyje vykstant didelio masto protestams prieš siūlomą teismų pertvarką, ir suintensyvėjo spalio pradžioje prasidėjus Izraelio ir „Hamas“ karui. Naujai sukurtuose firminiuose kanaluose vis daugiau dėmesio skiriama JAV politikai ir artėjantiems 2024 m. JAV prezidento rinkimams, o esami „Storm-1099“ ištekliai įnirtingai propaguoja melagingą teiginį, kad „Hamas“ spalio 7 d. išpuoliams Izraelyje juodojoje rinkoje įsigijo ukrainietiškų ginklų.

Visai neseniai, spalio pabaigoje, MTAC pastebėjo pranešimus, kurias „Microsoft“ laiko „Storm-1099“ ištekliais, propaguojančiais naujos rūšies klastotes, taip pat netikrus straipsnius ir svetaines socialinėje žiniasklaidoje. Tai keli trumpi netikrų naujienų klipai, tariamai sukurti patikimų žiniasklaidos priemonių, kuriais skleidžiama prorusiška propaganda, siekiant sumažinti paramą Ukrainai ir Izraeliui. Nors ši taktika – melagingų vaizdo įrašų naudojimas propagandai skleisti – pastaraisiais mėnesiais buvo pastebėta prorusiškų veikėjų veikloje platesniu mastu, tačiau „Storm-1099“ vykdomas tokio vaizdo įrašų turinio propagavimas tik išryškina įvairius šio veikėjo įtakos metodus ir pranešimų tikslus.

Straipsniai, paskelbti netikrose „Doppelganger“ svetainėse

Kampaniją, kurią vykdė Rusijos kibernetinės įtakos grėsmės sukėlėjas „Storm 1099“, stebėjo ir sekė „Microsoft“.
„Microsoft“ stebėta ir sekta 2023 m. spalio 31 d. Straipsniai, paskelbti netikrose „Doppelganger“ svetainėse; kampanija, kurią vykdė Rusijos kibernetinės įtakos grėsmės sukėlėjas „Storm 1099“.
Sužinokite daugiau apie šį vaizdą visos ataskaitos 9 puslapyje

Nuo spalio 7 d. „Hamas“ išpuolių Izraelyje Rusijos valstybinė žiniasklaida ir su valstybe susiję įtakos veikėjai siekė išnaudoti Izraelio ir „Hamas“ karą antiukrainietiškiems pasakojimams, prieš JAV nukreiptoms nuotaikoms ir įtampai tarp visų šalių didinti. Ši veikla, nors ir reaguojanti į karą ir paprastai ribotos apimties, apima tiek atvirą valstybės remiamą žiniasklaidą, tiek slaptus su Rusija susijusius socialinės žiniasklaidos tinklus, apimančius įvairias socialinės žiniasklaidos platformas.

 

Rusijos propagandistų ir prorusiškų socialinės žiniasklaidos tinklų propaguojamais pasakojimais siekiama supriešinti Izraelį su Ukraina ir sumažinti Vakarų paramą Kijevui, melagingai teigiant, kad Ukraina ginkluoja „Hamas“ kovotojus, parodijuojant patikimas žiniasklaidos priemones ir manipuliuojant vaizdo įrašais. Netikras vaizdo įrašas, kuriame teigiama, kad iš Ukrainos į Izraelio gynybos pajėgų (IDF) operacijas Gazos ruože perkeliami užsieniečiai, įskaitant amerikiečius, ir kuris sulaukė šimtų tūkstančių peržiūrų socialinės žiniasklaidos platformose, yra tik vienas iš tokio turinio pavyzdžių. Ši strategija platina antiukrainietiškus naratyvus plačiajai auditorijai ir skatina įsitraukimą taip kuriant melagingus naratyvus, kad jie atitiktų svarbiausias naujienų istorijas.

 

Rusija taip pat prisideda prie skaitmeninės įtakos veiklos reklamuodama realaus pasaulio įvykius. Rusijos žiniasklaidos priemonės agresyviai propagavo kurstytojišką turinį, kuriuo stiprinami protestai, susiję su Izraelio ir „Hamas“ karu Artimuosiuose Rytuose ir Europoje, įskaitant Rusijos valstybinių naujienų agentūrų korespondentus vietoje. 2023 m. spalio pabaigoje Prancūzijos valdžios institucijos įtarė, kad keturi Moldovos piliečiai greičiausiai yra susiję su Paryžiaus viešosiose erdvėse išpieštais grafičiais su Dovydo žvaigžde. Du iš moldavų teigė, kad jiems vadovavo rusakalbis asmuo, o tai rodo, kad už grafičius gali būti atsakinga Rusija. Vėliau šių grafičių vaizdai buvo platinti „Storm-1099“ priemonėmis.22

 

Rusija tikriausiai mano, kad vykstantis Izraelio ir „Hamas“ konfliktas jai yra geopolitiškai naudingas, nes atitraukia Vakarų dėmesį nuo karo Ukrainoje. MTAC mano, kad tokie veikėjai, vadovaudamiesi dažnai Rusijos naudojamomis taktikomis, ir toliau skleis propagandą internete ir pasinaudodami kitais svarbiais tarptautiniais įvykiais provokuos įtampą ir bandys apsunkinti Vakarų gebėjimą pasipriešinti Rusijos invazijai į Ukrainą.

Antiukrainietiška propaganda buvo plačiai paplitusi Rusijos įtakos veikloje dar prieš 2022 m. plataus masto invaziją. Tačiau pastaraisiais mėnesiais prorusiški ir su Rusija susiję įtakos tinklai daugiausia dėmesio skyrė vaizdo įrašų, kaip dinamiškesnės informacijos skleidimo priemonės, naudojimui, taip pat apsimetimui autoritetingomis žiniasklaidos priemonėmis, siekiant padidinti jų patikimumą. MTAC pastebėjo dvi nežinomų prorusiškų veikėjų vykdomas kampanijas, kurių metu, apsimetus populiariais naujienų ir pramoginės žiniasklaidos prekių ženklais, platinamas suklastotų vaizdo įrašų turinys. Kaip ir ankstesnėse Rusijos propagandos kampanijose, šioje veikloje daugiausia dėmesio skiriama pastangoms Ukrainos prezidentą Volodymyrą Zelenskį pavaizduoti kaip korumpuotą narkomaną, o Vakarų parama Kijevui – kaip žalingą tų šalių gyventojams. Abiejų kampanijų turiniu nuosekliai siekiama sumažinti paramą Ukrainai, tačiau naratyvai pritaikomi prie naujų naujienų įvykių, pavyzdžiui, 2023 m. birželio mėn. įvykusio „Titan“ povandeninio aparato sprogimo arba Izraelio ir „Hamas“ karo, kad pasiektų platesnę auditoriją.

Apsimestinių naujienų klipų rodymo apžvalgos schema

Apsimestinių naujienų klipų rodymo apžvalga
Sužinokite daugiau apie šį vaizdą visos ataskaitos 11 puslapyje

Viena iš tokių vaizdo įrašų kampanijų – serija sufabrikuotų vaizdo įrašų, kuriuose skleidžiamos melagingos, prieš Ukrainą nukreiptos, su Kremliumi susijusios temos ir pasakojimai, prisidengiant trumpais naujienų reportažais iš populiarių žiniasklaidos priemonių. Pirmą kartą šią veiklą MTAC pastebėjo 2022 m. balandžio mėn., kai prorusiški „Telegram“ kanalai paskelbė suklastotą „BBC News“ vaizdo įrašą, kuriame teigiama, kad Ukrainos kariuomenė yra atsakinga už raketų smūgį, per kurį žuvo dešimtys civilių. Vaizdo įraše naudojamas BBC logotipas, spalvinė gama ir estetika, o angliškose antraštėse yra klaidų, dažniausiai daromų verčiant iš slavų kalbų į anglų kalbą.

Ši kampanija tęsėsi visus 2022 m. ir suaktyvėjo 2023 m. vasarą. Rengdama šią ataskaitą, MTAC pastebėjo daugiau nei tuziną apsimestinių kampanijos žiniasklaidos vaizdo įrašų, iš kurių dažniausiai buvo apsimesta „BBC News“, „Al Jazeera“ ir „EuroNews“. Pirmiausia vaizdo įrašai buvo paskelbti „Telegram“ kanaluose rusų kalba, o tik po to paplito populiariose socialinės žiniasklaidos platformose.

Vaizdo įrašų, imituojančių BBC naujienų (kairėje) ir „EuroNews“ (dešinėje) logotipą ir estetiką, ekrano nuotraukos

Suklastoti naujienų klipai, kuriuose pateikiama Rusijai palanki dezinformacija
„Microsoft“ grėsmių žvalgyba: Suklastotose naujienose susiejamos Ukrainos karinė nesėkmė, HAMAS išpuolis, melaginga Izraelio atsakomybė
Suklastoti naujienų klipai, kuriuose pateikiama Rusijai palanki dezinformacija. Vaizdo įrašų, imituojančių BBC naujienų (kairėje) ir „EuroNews“ (dešinėje) logotipą ir estetiką, ekrano nuotraukos. Sužinokite daugiau apie šį vaizdą visos ataskaitos 12 puslapyje

Nors šio turinio pasiekiamumas ribotas, jis gali kelti realią grėsmę būsimiems taikiniams, jei bus patobulintas ar pagerintas pasitelkus dirbtinio intelekto galimybes arba jei jį sustiprins patikimesnis pasiuntinys. Už suklastotus naujienų klipus atsakingas prorusiškas veikėjas greitai reaguoja į dabartinius pasaulio įvykius ir yra apsukrus. Pavyzdžiui, apsimestiniame „BBC News“ vaizdo įraše buvo melagingai teigiama, kad tiriamosios žurnalistikos organizacija „Bellingcat atskleidė, jog „Hamas kovotojų naudojamus ginklus šiai grupuotei juodojoje rinkoje pardavė Ukrainos kariuomenės pareigūnai. Šio vaizdo įrašo turinys tiksliai atspindėjo buvusio Rusijos prezidento Dmitrijaus Medvedevo viešus pareiškimus, išsakytus likus vos vienai dienai iki vaizdo įrašo pasirodymo, o tai rodo, kad kampanija stipriai atitiko atvirus Rusijos vyriausybės pranešimus.23

Nuo 2023 m. liepos mėn. prorusiški socialinės žiniasklaidos kanalai pradėjo platinti įžymybių vaizdo įrašus, apgaulingai sumontuotus siekiant skleisti antiukrainietišką propagandą. Atrodo, kad vaizdo įrašuose, už kuriuos atsakingas nežinomas Rusijai palankus įtakos veikėjas, naudojamasi „Cameo“ – populiaria interneto svetaine, kurioje įžymybės ir kiti vieši asmenys gali įrašyti ir siųsti asmenines vaizdo žinutes vartotojams, kurie sumoka mokestį. Trumpas vaizdo žinutes, kuriose įžymybės dažnai prašo „Vladimiro“ kreiptis pagalbos dėl piktnaudžiavimo narkotinėmis medžiagomis, redaguoja nežinomas veikėjas, įtraukdamas „emoji“ ir nuorodas. Vaizdo įrašai platinami prorusiškose socialinės žiniasklaidos bendruomenėse, juos platina su Rusijos valstybe susijusios ir valstybinės žiniasklaidos priemonės ir melagingai pateikia kaip žinutes Ukrainos prezidentui Volodymyrui Zelenskiui. Kai kuriais atvejais veikėjas pridėdavo žiniasklaidos priemonių logotipus ir įžymybių socialinės žiniasklaidos vartotojų vardus, kad vaizdo įrašas atrodytų kaip naujienų ištraukos iš reportažų apie įžymybių tariamus viešus kreipimusis į V. Zelenskį arba pačių įžymybių įrašai socialinėje žiniasklaidoje. Kremliaus pareigūnai ir Rusijos valstybės remiama propaganda jau seniai propaguoja melagingą teiginį, kad prezidentas V. Zelenskis piktnaudžiauja narkotinėmis medžiagomis, tačiau ši kampanija yra naujas prorusiškų veikėjų, siekiančių plėtoti šį pasakojimą internetinėje informacinėje erdvėje, metodas.

Pirmajame kampanijos vaizdo įraše, pastebėtame liepos pabaigoje, vaizduojami Ukrainos vėliavos „emoji“, Amerikos žiniasklaidos priemonės TMZ vandenženkliai ir nuorodos į priklausomybės ligų centrą ir vieną iš oficialių prezidento V. Zelenskio socialinės žiniasklaidos puslapių. 2023 m. spalio pabaigoje prorusiški socialinės žiniasklaidos kanalai išplatino dar šešis vaizdo įrašus. Pažymėtina, kad rugpjūčio 17 d. Rusijos valstybinė naujienų agentūra „RIA Novosti“ paskelbė straipsnį apie vaizdo įrašą su amerikiečių aktoriumi Johnu McGinley, tarsi tai būtų autentiškas McGinley kreipimasis į Zelenskį.24 Be McGinley, tarp įžymybių, kurių turinys rodomas kampanijoje, yra aktoriai Elijah Woodas, Deanas Norrisas, Kate Flannery ir Priscilla Presley, muzikantas Shavo Odadjianas ir boksininkas Mike'as Tysonas. Kitos su valstybe susijusios Rusijos žiniasklaidos priemonės, įskaitant JAV sankcionuotą žiniasklaidos priemonę „Tsargrad“, taip pat platino šios kampanijos turinį.25

Vaizdai iš vaizdo įrašų, kuriuose įžymybės tariamai skleidžia prorusišką propagandą

Vaizdai iš vaizdo įrašų, kuriuose įžymybės tariamai propaguoja prorusišką propagandą
Sužinokite daugiau apie šį vaizdą visos ataskaitos 12 puslapyje

Pasak Ukrainos kariuomenės vado, rusų kovotojai pereina į naują statiško, pozicinio karo etapą, o tai leidžia manyti, kad konfliktas dar labiau užsitęs.26 Kad galėtų tęsti pasipriešinimą, Kijevui reikės nuolatinio ginklų tiekimo ir visuotinės paramos, todėl tikėtina, kad Rusijos kibernetinės ir įtakos veiklos vykdytojai suintensyvins pastangas demoralizuoti Ukrainos gyventojus ir sumažinti Kijevo išorinius karinės ir finansinės pagalbos šaltinius.

Artėjant žiemai galime vėl sulaukti karinių smūgių, nukreiptų į elektros ir vandens tiekimo įmones Ukrainoje, ir destruktyvių atakų prieš šiuos tinklus.27CERT-UA Ukrainos kibernetinio saugumo institucijos rugsėjį paskelbė, kad Ukrainos energetikos tinklams kyla nuolatinė grėsmė, o „Microsoft“ grėsmių žvalgyba rugpjūčio–spalio mėn. Ukrainos energetikos sektoriaus tinkluose pastebėjo GRU grėsmingos veiklos artefaktų.28 Rugpjūtį „Microsoft“ pastebėjo bent vieną destruktyvų „Sdelete“ įrankio panaudojimą Ukrainos energetikos bendrovės tinkle.29

Už Ukrainos ribų, 2024 m. vyksiančiuose JAV prezidento rinkimuose ir kitose svarbiose politinėse varžybose piktavaliai įtaką darantys veikėjai gali pasinaudoti savo vaizdo žiniasklaidos ir atsiradusio dirbtinio intelekto įgūdžiais, kad nukreiptų politinę srovę nuo išrinktų pareigūnų, kurie remia Ukrainą.30

„Microsoft“ dirba įvairiose srityse, kad apsaugotų savo klientus Ukrainoje ir visame pasaulyje nuo šių daugialypių grėsmių. Įgyvendindami Saugios ateities iniciatyvą integruojame dirbtiniu intelektu paremtos kibernetinės gynybos ir saugios programinės įrangos inžinerijos pažangą, taip pat dedame pastangas stiprinti tarptautines normas, kad civiliai gyventojai būtų apsaugoti nuo kibernetinių grėsmių. 31 Taip pat diegiame išteklius ir pagrindinius principus, kad apsaugotume rinkėjus, kandidatus, kampanijas ir rinkimų institucijas visame pasaulyje, nes ateinančiais metais daugiau nei 2 mlrd. žmonių ruošiasi dalyvauti demokratiniame procese.32

  1. [1]
  2. [2]

    Techninės informacijos apie naujausius destruktyvius puolimo metodus Ukrainoje žr.  https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    Remiantis nuo 2023 m. kovo 15 d. iki 2023 m. spalio 23 d. išleistais pranešimais. 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]

Susiję straipsniai

Didėja Rytų Azijos skaitmeninių grėsmių mastas ir veiksmingumas

Įsigilinkite ir susipažinkite su naujomis tendencijomis besikeičiančioje Rytų Azijos grėsmių aplinkoje, kur Kinija vykdo plataus masto kibernetines ir įtakos operacijas, o Šiaurės Korėjos kibernetinių grėsmių sukėlėjai demonstruoja vis didesnę pažangą.
Sužinokite daugiau

Iranas renkasi kibernetines įtakos operacijas, siekdamas didesnio poveikio

„Microsoft“ grėsmių žvalgyba atskleidė, kad iš Irano vykdoma vis daugiau kibernetinių įtakos operacijų. Gaukite įžvalgų apie grėsmes, išsamią informaciją apie naujus metodus ir būsimų grėsmių potencialą.
Sužinokite daugiau

Kibernetinės ir įtakos karinės operacijos Ukrainos skaitmeniniame mūšio lauke

„Microsoft“ grėsmių žvalgyba analizuoja kibernetinių ir įtakos operacijų Ukrainoje metus, atskleidžia naujas kibernetinių grėsmių tendencijas ir paaiškina, ko galima tikėtis prasidėjus antriesiems karo metams.
Sužinokite daugiau

Sekite „Microsoft“