Trace Id is missing
Pereiti prie pagrindinio turinio
Security Insider

Tie patys taikiniai, naujos strategijos: Rytų Azijos grėsmių sukėlėjai taiko unikalius metodus

Atsisiųsti
Bendrinti
Abstrakti karinio laivo iliustracija su grafiniais raudonais apskritimais ir juodais tinkliniais elementais rausvame fone.

„Microsoft“ nuo 2023 m. birželio mėn. pastebėjo keletą svarbių Kinijos ir Šiaurės Korėjos kibernetinių ir įtakos tendencijų, kurios rodo, kad Kinija ir Šiaurės Korėja ne tik padidinto pastangas, nukreiptas į jau žinomus taikinius, bet ir bando naudoti sudėtingesnius įtakos metodus savo tikslams pasiekti.

Per pastaruosius septynis mėnesius Kinijos kibernetiniai veikėjai iš esmės pasirinko tris taikinių sritis:

  • Viena Kinijos veikėjų grupė plačiai taikėsi į subjektus Ramiojo vandenyno pietinėse salose.
  • Antroji Kinijos veiklos serija tęsė kibernetines atakas prieš regioninius priešininkus Pietų Kinijos jūros regione.
  • Tuo tarpu trečioji Kinijos grėsmių sukėlėjų grupė pakenkė JAV gynybos pramonės bazei.

Kinijos įtakos darymo dalyviai, užuot išplėtę savo taikinių geografinę aprėptį, tobulino savo metodus ir eksperimentavo su naujomis medijos priemonėmis. Kinijos įtakos kampanijos ir toliau tobulino DI sukurtą arba DI patobulintą turinį. Šių kampanijų įtaką darantys veikėjai rodė norą tiek stiprinti DI sukurtą mediją, kuri naudinga jų strateginiams pasakojimams, tiek kurti savo vaizdo įrašus, memus ir garso turinį. Tokia taktika buvo naudojama kampanijose, skatinančiose nesutarimus Jungtinėse Valstijose ir didinančiose nesutarimus Azijos ir Ramiojo vandenyno regione, įskaitant Taivaną, Japoniją ir Pietų Korėją. Šios kampanijos sulaukė skirtingo rezonanso lygio, tačiau nepavyko rasti vienintelės formulės, kuri užtikrintų nuolatinį auditorijos įsitraukimą.

Šiaurės Korėjos kibernetinių grėsmių sukėlėjai per pastaruosius metus pateko į antraštes dėl daugėjančių programinės įrangos tiekimo grandinės atakų ir kriptovaliutų vagysčių. Nors strateginės tikslinio sukčiavimo apsimetant kampanijos, nukreiptos į Korėjos pusiasalį tyrinėjančius tyrėjus, išliko nuolatinė tendencija, paaiškėjo, kad Šiaurės Korėjos grėsmių sukėlėjai vis dažniau naudojasi teisėta programine įranga, kad pažeistų dar daugiau aukų.

„Gingham Typhoon“ nukreiptas į vyriausybę, IT ir tarptautinius subjektus Pietų Ramiojo vandenyno salose

2023 metų vasarą „Microsoft“ grėsmių žvalgyba stebėjo plačią Kinijoje įsikūrusios šnipinėjimo grupės „Gingham Typhoon“ veiklą, kuri taikėsi beveik į visas Pietų Ramiojo vandenyno salų šalis. „Gingham Typhoon“ yra aktyviausias šio regiono veikėjas, smogęs tarptautinėms organizacijoms, vyriausybės subjektams ir IT sektoriui, naudodamas sudėtingas sukčiavimo kampanijas. Tarp nukentėjusiųjų taip pat buvo garsių Kinijos vyriausybės kritikų.

Tarp Kinijos diplomatinių sąjungininkų, kurie tapo pastarojo meto „Gingham Typhoon“ veiklos aukomis, yra vyriausybės vykdomosios įstaigos, su prekyba susiję departamentai, interneto paslaugų teikėjai ir transporto subjektas.

Šią puolamąją kibernetinę veiklą gali paskatinti sustiprėjusi geopolitinė ir diplomatinė konkurencija regione. Kinija siekia strateginių partnerysčių su Ramiojo vandenyno pietų salų valstybėmis, siekdama plėsti ekonominius ryšius ir tarpininkauti sudarant diplomatinius ir saugumo susitarimus. Kinijos kibernetinis šnipinėjimas šiame regione taip pat seka ekonominius partnerius.

Pavyzdžiui, Kinijos veikėjai vykdė plataus masto tarptautines organizacijas Papua Naujojoje Gvinėjoje – ilgametėje diplomatinėje partnerėje, kuri gauna naudos iš daugelio „Juostos ir kelio iniciatyvos“ (BRI) projektų, įskaitant pagrindinio greitkelio, jungiančio Papua Naujosios Gvinėjos vyriausybės pastatą su pagrindiniu sostinės keliu, statybą.1

Žemėlapis, kuriame iliustruojamas tikslinių kibernetinių grėsmių dažnumas Ramiojo vandenyno salų valstybėse (didesni apskritimai)
1 pav. Nuo 2023 m. birželio mėn. iki 2024 m. sausio mėn. stebėti Gingamo taifūno įvykiai. Šia veikla pabrėžiamas nuolatinis dėmesys pietinėms Ramiojo vandenyno salų valstybėms. Tačiau didžioji šios tikslinės veiklos dalis buvo vykdoma nuolat, daugelį metų skiriant dėmesį šiam regionui. Geografinės vietos ir simbolikos skersmuo yra reprezentaciniai.

Vakarų karinių pratybų metu Kinijos grėsmių veikėjai ir toliau sutelkia dėmesį į Pietų Kinijos jūros regioną

Kinijoje įsikūrę grėsmių subjektai ir toliau taikėsi į subjektus, susijusius su Kinijos ekonominiais ir kariniais interesais Pietų Kinijos jūroje ir aplink ją. Šie veikėjai oportunistiškai pažeidinėjo Pietryčių Azijos valstybių asociacijos (ASEAN) vyriausybių ir telekomunikacijų aukas. Paaiškėjo, kad su Kinijos valstybe susiję kibernetiniai veikėjai ypač domėjosi taikiniais, susijusiais su daugybe regione vykstančių JAV karinių pratybų. 2023 m. birželį, likus kelioms savaitėms iki retų daugiašalių jūrinių pratybų, kuriose dalyvavo Indonezija, Kinija ir Jungtinės Amerikos Valstijos, nacionalinės valstybės veiklos grupė „Raspberry Typhoon“ sėkmingai atakavo karinius ir vykdomuosius subjektus Indonezijoje ir Malaizijos jūrų sistemą.

Panašiai į su JAV ir Filipinų karinėmis pratybomis susijusius subjektus taikėsi ir kitas Kinijos kibernetinis veikėjas – „Flax Typhoon“. Tuo tarpu „Granite Typhoon“, dar vienas Kinijos grėsmių sukėlėjas, šiuo laikotarpiu daugiausia kenkė regiono telekomunikacijų subjektams, nukentėjusiems Indonezijoje, Malaizijoje, Filipinuose, Kambodžoje ir Taivane.

Nuo tada, kai buvo paskelbtas „Microsoft“ tinklaraštis apie  „Flax Typhoon“, 2023 m. ankstyvą rudenį ir žiemą „Microsoft“ pastebėjo naujus „Flax Typhoon“ taikinius Filipinuose, Honkonge, Indijoje ir Jungtinėse Valstijose.2 Šis grėsmių sukėlėjas taip pat dažnai atakuoja telekomunikacijų sektorių, o tai dažnai sukelia daug tolesnių pasekmių.

Žemėlapis, kuriame rodomi „Microsoft“ grėsmių žvalgybos duomenys apie labiausiai paveiktus Azijos regionus,
2 pav. Stebėti įvykiai, kai Pietų Kinijos jūroje arba jos apylinkėse esančioms šalims smogė Linų taifūnas, Granito taifūnas arba Aviečių taifūnas. Geografinės vietos ir simbolikos skersmuo yra reprezentaciniai.

„Nylon Typhoon“ pažeidžia užsienio reikalų subjektus visame pasaulyje

Kinijoje įsikūręs grėsmių sukėlėjas „Nylon Typhoon“ tęsia ilgametę praktiką taikydamasis į užsienio reikalų subjektus viso pasaulio šalyse. 2023 m. birželio-gruodžio mėn. „Microsoft“ stebėjo „Nylon Typhoon“ Pietų Amerikoje, įskaitant Braziliją, Gvatemalą, Kosta Riką ir Peru. Grėsmės veikėjas taip pat buvo pastebėtas Europoje; jis kėsinosi į Portugalijos, Prancūzijos, Ispanijos, Italijos ir Jungtinės Karalystės vyriausybines institucijas. Nors dauguma Europos taikinių buvo vyriausybinės institucijos, buvo įsilaužta ir į kai kurias IT įmones. Tokio nukreipimo tikslas – rinkti žvalgybinę informaciją.

Kinijos grėsmių grupė taikosi į karinius subjektus ir ypatingos svarbos infrastruktūrą Jungtinėse Valstijose

Galiausiai 2023 m. rudenį ir žiemą savo veiklą suaktyvino „Storm-0062“. Didelė šios veiklos dalis kėlė pavojų su gynyba susijusiems JAV vyriausybiniams subjektams, įskaitant rangovus, teikiančius technines inžinerijos paslaugas, susijusias su JAV nacionaliniam saugumui svarbiais aviacijos ir kosmoso, gynybos ir gamtos ištekliais. Be to, „Storm-0062“ ne kartą taikėsi į karinius subjektus Jungtinėse Amerikos Valstijose, tačiau neaišku, ar grupei pavyko juos pažeisti.

JAV gynybos pramonės bazė taip pat tebėra nuolatinis „Volt Typhoon“ taikinys. 2023 m. gegužės mėn. „Microsoft“ atakas prieš JAV ypatingos svarbos infrastruktūros organizacijas priskyrė „Volt Typhoon“, valstybės remiamam grėsmių sukėlėjui, įsikūrusiam Kinijoje. „Volt Typhoon“ įgijo prieigą prie organizacijų tinklų, naudodamasis metodais, kai operacinėje sistemoje esantys ištekliai yra naudojami kenkėjiškoms atakoms vykdyti, ir turint prieigą prie tinklo.3 Ši taktika leido „Volt Typhoon“ nepastebimai palaikyti neteisėtą prieigą prie tikslinių tinklų. Nuo 2023 m. birželio iki 2023 m. gruodžio „Volt Typhoon“ toliau taikėsi į ypatingos svarbos infrastruktūrą, tačiau taip pat siekė plėtoti išteklius, pažeisdamas mažų biurų ir namų biurų (SOHO) įrenginius Jungtinėse Valstijose.

2023 m. rugsėjo mėn. ataskaitoje išsamiai aprašėme, kaip Kinijos įtakos operacijų tarnybos pradėjo naudoti generatyvinį dirbtinį intelektą elegantiškam ir patraukliam vizualiniam turiniui kurti. Visą vasarą „Microsoft“ grėsmių žvalgyba toliau nustatinėjo DI sukurtus memus, nukreiptus prieš Jungtines Amerikos Valstijas, kuriuose buvo pabrėžiami prieštaringi vidaus klausimai ir kritikuojama dabartinė administracija. Su Kinija susiję IO veikėjai visus metus vis dažniau ir intensyviau naudojo su DI paremtą ir dirbtiniu intelektu sukurtą mediją (toliau – AI turinys) įtakos kampanijose.

DI veikla intensyvėja (bet nesugeba palenkti)

Pats produktyviausias iš šių DI turinį naudojančių veikėjų yra „Storm-1376“ – juo „Microsoft“ vadina su Kinijos komunistų partija (KKP) siejamą veikėją, paprastai žinomą kaip „Spamouflage“ arba „Dragonbridge“. Žiemą kiti su CCP susiję veikėjai pradėjo naudoti platesnį DI turinio spektrą, kad papildytų žiniatinklio IO. Be kita ko, prieš sausio 13 d. prezidento ir įstatymų leidžiamosios valdžios rinkimus pastebimai padaugėjo Taivano politinių veikėjų turinio. Tai pirmas kartas, kai „Microsoft“ grėsmių žvalgyba pastebėjo valstybinį veikėją, kuris naudojo DI turinį siekdamas paveikti užsienio valstybėje vykstančius rinkimus.

DI sugeneruotas garsas: Taivano rinkimų dieną „Storm-1376“ paskelbė, kaip įtariama, DI sukurtus „Foxconn“ savininko Terry Gou, nepriklausomos partijos kandidato Taivano prezidento rinkimuose, kuris pasitraukė iš 2023 m. lapkričio mėn. varžybų, garso įrašus. Garso įrašuose girdimas Gou balsas, kuriuo jis palaiko kitą kandidatą prezidento rinkimuose. Tikėtina, kad Gou balsas įrašuose yra sukurtas dirbtinio intelekto, nes Gou tokio pareiškimo nepadarė. „YouTube“ greitai ėmėsi veiksmų su šiuo turiniu, kol jis nepasiekė daug vartotojų. Šie vaizdo įrašai pasirodė praėjus kelioms dienoms po to, kai internete buvo išplatintas suklastotas Terry Gou laiškas, kuriame buvo palaikomas tas pats kandidatas. Pagrindinės Taivano faktų tikrinimo organizacijos šį laišką paneigė. Gou kampanija taip pat pareiškė, kad laiškas nebuvo tikras ir kad jie imsis teisinių veiksmų.4 Gou oficialiai nepalaikė nė vieno kandidato į prezidentus lenktynėse.
Kostiumą dėvintis vyras kalba scenoje, o pirmajame plane – kiniškas tekstas ir garso bangos formos grafinis vaizdas.
3 pav. „Storm-1376“ paskelbtuose vaizdo įrašuose buvo naudojami dirbtinio intelekto sukurti Terry Gou balso įrašai, kad jis atrodytų, tarsi rekomenduotų kitą kandidatą.
DI sukurti naujienų pranešėjai: Įvairiose kampanijose, kuriose dalyvavo Taivano pareigūnai,5, taip pat pranešimuose apie Mianmarą, pasirodė trečiųjų šalių technologijų bendrovių, naudojančių Kinijos technologijų bendrovės „ByteDance“ įrankį „Capcut“, sukurti dirbtinio intelekto sugeneruoti naujienų pranešėjai. „Storm-1376“ tokius DI sukurtus naujienų pranešėjai naudoja bent nuo 2023 m. vasario 6, tačiau pastaraisiais mėnesiais turinio su šiais vedėjais apimtis padidėjo.
Karinės transporto priemonės koliažas
4 pav. „Storm-1376“ paskelbė vaizdo įrašus mandarinų ir anglų kalbomis, kuriuose buvo teigiama, kad už neramumus Mianmare atsakingos buvo Jungtinės Valstijos ir Indija. Kai kuriuose iš šių vaizdo įrašų yra naudojamas tas pats dirbtinio intelekto sukurtas inkaras.
DI patobulinti vaizdo įrašai: Kaip atskleidė Kanados vyriausybė ir kiti tyrėjai, DI patobulintuose vaizdo įrašuose, nukreiptuose prieš Kanados parlamento narius, buvo naudojamas Kanadoje gyvenančio Kinijos disidento atvaizdas.7 Šiuose vaizdo įrašuose, kurie buvo tik viena iš daugelio platformų kampanijos, apimančios Kanados politikų persekiojimą jų socialinės medijos paskyrose, dalių, disidentas buvo melagingai vaizduojamas sakantis kurstančias pastabas apie Kanados vyriausybę. Panašūs DI patobulinti vaizdo įrašai jau anksčiau buvo naudojami prieš šį disidentą.
Prie stalo sėdintis žmogus
5 pav. Dirbtinio intelekto įgalinti giliai suklastoti vaizdo įrašai, kuriuose disidentas paniekinamai kalba apie religiją. Nors šiuose vaizdo įrašuose naudojama panaši taktika kaip ir Kanados kampanijoje, jų turinys atrodo nesusijęs.
DI sugeneruoti memai: Gruodį „Storm-1376“ reklamavo seriją dirbtinio intelekto sukurtų Taivano tuometinės Demokratinės pažangos partijos (DPP) kandidato į prezidentus Williamo Lajaus memų, kuriuose buvo skaičiuojama „X dienų“ iki DPP patraukimo iš valdžios.
Grafinis vaizdas, kuriame vienas šalia kito yra du paveikslėliai; viename pavaizduota figūra su raudonu „x“, o kitame ta pati figūra nepažymėta,
6 pav. Dirbtinio intelekto sukurtuose memuose DPP kandidatas į prezidentus Williamas Lai kaltinamas pasisavinęs Taivano perspektyvinės infrastruktūros plėtros programos lėšas. Šiuose memuose buvo pavaizduoti supaprastinti rašmenys (naudojami KLR, o ne Taivane) ir jie priklausė serijai, kurioje kasdien buvo rodomas „atgalinis laiko skaičiavimas, kad DPP pasitrauktų iš valdžios.“
Laiko juostos informacinė diagrama, kurioje rodoma dirbtinio intelekto sukurto turinio įtaka Taivano rinkimams nuo 2023 m. gruodžio mėn. iki 2024 m. sausio mėn.
7 pav. Iki 2024 m. sausio mėn. Taivane vykusių prezidento ir parlamento rinkimų dirbtinio intelekto sukurto ir patobulinto turinio laiko juosta. „Storm-1376“ sustiprino keletą šių turinio dalių ir buvo atsakinga už dviejų kampanijų turinio kūrimą.

„Storm-1376“ toliau siunčia reaktyvias žinutes, kartais su konspiraciniais naratyvais

„Storm-1376“ – veikėjas, kurio įtakos operacijos vykdomos daugiau nei 175 interneto svetainėse ir 58 kalbomis, ir toliau dažnai rengia reaktyvias pranešimų kampanijas, susijusias su svarbiais geopolitiniais įvykiais, ypač tais, kurie nepalankiai vaizduoja Jungtines Valstijas arba palaiko KKP interesus Azijos, Karibų jūros ir Ramiojo vandenyno regione. Nuo mūsų paskutinės 2023 m. rugsėjo mėn. ataskaitos šios kampanijos pasikeitė keliais svarbiais aspektais, įskaitant DI generuojamas nuotraukas, kuriomis siekiama suklaidinti auditoriją, kurstomą konspiracinį turinį, ypač nukreiptą prieš JAV vyriausybę, ir lokalizuotą turinį, skirtą naujoms gyventojų grupėms, pavyzdžiui, Pietų Korėjai.

1. Teiginys, kad Havajų gaisrus sukėlė JAV vyriausybės „orų ginklas“

2023 m. rugpjūtį, kai šiaurės vakarinėje Maui pakrantėje Havajuose siautėjo miškų gaisrai, „Storm-1376“ pasinaudojo proga ir įvairiose socialinės medijos platformose skleidė sąmokslo naratyvus. Šiuose pranešimuose buvo teigiama, kad JAV vyriausybė tyčia sukėlė gaisrus, siekdama išbandyti karinės paskirties „orų ginklą“. Be to, kad dešimtyse žiniatinklio svetainių ir platformų tekstas buvo paskelbtas mažiausiai 31 kalba, „Storm-1376“ naudojo DI sukurtus degančių pakrantės kelių ir gyvenamųjų namų vaizdus, kad turinys būtų patrauklesnis.8

Sudėtinis vaizdas su „netikru“ antspaudu virš dramatiškų gaisrų scenų.
8 pav. Praėjus kelioms dienoms nuo gaisrų miškuose pradžios, „Storm-1376“ skelbia konspiracinio turinio pranešimus, kuriuose teigiama, kad gaisrai kilo dėl JAV vyriausybės atliekamų „meteorologinio ginklo“ bandymų. Prie šių pranešimų dažnai buvo pridedamos dirbtinio intelekto sukurtos didžiulių gaisrų nuotraukos.

2. Pasipiktinimo dėl Japonijos branduolinių nuotekų šalinimo didinimas

2023 m. rugpjūčio 24 d. Japonijai pradėjus į Ramųjį vandenyną leisti apdorotas radioaktyvias nuotekas, „Storm-1376“ pradėjo plataus masto agresyvią informacinę kampaniją, kritikuojančią Japonijos vyriausybę.9 „Storm-1376“ turinys kėlė abejones dėl Tarptautinės atominės energijos agentūros (TATENA) mokslinio įvertinimo, kad išmetimas yra saugus. „Storm-1376“ daugybe kalbų, įskaitant japonų, korėjiečių ir anglų, masiškai rašė žinutes socialinės medijos platformose. Kai kuriame turinyje Jungtinės Valstijos netgi buvo kaltinamos, kad tyčia nuodija kitas šalis, siekdamos išlaikyti „vandens hegemoniją“. Šioje kampanijoje naudotas turinys turi dirbtinio intelekto kartos požymių.

Kai kuriais atvejais „Storm-1376“ pakartotinai naudojo turinį, kurį naudojo kiti Kinijos propagandos ekosistemos dalyviai, įskaitant su Kinijos valstybine žiniasklaida susijusius socialinės medijos nuomonės formuotojus.10 „Storm-1376“ priklausantys nuomonės formuotojai ir ištekliai įkėlė tris vienodus vaizdo įrašus, kuriuose kritikuojamas Fukušimos nuotekų išleidimas. Tokių atvejų, kai skirtingi veikėjai iš pažiūros lygiagrečiai naudoja identišką turinį – tai gali rodyti pranešimų koordinavimą ar kryptį – 2023 m. padaugėjo.

Sudėtinis vaizdas, kuriame pavaizduota satyrinė žmonių iliustracija, vaizdo įrašo, kuriame vaizduojama godzila, ekrano nuotrauka ir pranešimas socialiniame tinkle.
9 pav. Dirbtinio intelekto sukurtos žinutės ir vaizdai, kuriais kritikuojamas Fukušimos nuotekų šalinimas iš slaptų Kinijos IO objektų (kairėje) ir Kinijos vyriausybės pareigūnai (centre). Su Kinijos valstybine žiniasklaida susiję įtaką darantys asmenys taip pat platino vyriausybei palankius pranešimus, kuriuose kritikuojamas šalinimas (dešinėje).

3. Nesutarimų kurstymas Pietų Korėjoje

Su Fukušimos nuotekų išmetimu susijusi „Storm-1376“ dėjo nuoseklias pastangas, nukreiptas į Pietų Korėją, kur buvo skelbiamas vietinis turinys, kuriuo buvo stiprinami šalyje vykstantys protestai prieš nuotekų išmetimą, taip pat Japonijos vyriausybę kritikuojantis turinys. Ši kampanija apėmė šimtus pranešimų korėjiečių kalba įvairiose platformose ir svetainėse, įskaitant Pietų Korėjos socialinės medijos svetaines, tokias kaip „Kakao Story“, „Tistory“ ir „Velog.io“.11

Vykdydama šią tikslinę kampaniją, „Storm-1376“ aktyviai stiprino „Minjoo“ lyderio ir nesėkmingo 2022 m. kandidato į prezidentus Lee Jaemyungo (이재명, 李在明) komentarus ir veiksmus. Lee kritikavo Japonijos veiksmus kaip „užteršto vandens terorą“ ir prilygstančius „antrajam Ramiojo vandenyno karui“. Jis taip pat apkaltino dabartinę Pietų Korėjos vyriausybę, kad ši „prisideda prie Japonijos sprendimo“, ir protestuodamas pradėjo bado streiką, kuris truko 24 dienas.12

Keturių langelių komiksas apie aplinkos taršą ir jos poveikį jūrų gyvūnijai.
10 pav. Pietų Korėjos tinklaraščių platformos „Tistory“ memai korėjiečių kalba kaitina nesutarimus dėl Fukušimos nuotekų šalinimo.

4. Kentukio traukinio nuvažiavimas nuo bėgių

2023 m. lapkritį, per Padėkos dienos šventę, Rokaslo apygardoje, Kentukio valstijoje, nuo bėgių nuvažiavo traukinys, vežęs išlydytą sierą. Praėjus maždaug savaitei po bėgių nuvažiavimo, „Storm-1376“ pradėjo kampaniją socialinėje medijoje, kurios metu buvo skleidžiamos prieš JAV vyriausybę nukreiptos sąmokslo teorijos, pabrėžiami politiniai nesutarimai tarp JAV rinkėjų ir galiausiai skatinamas nepasitikėjimas JAV vyriausybe ir nusivylimas ja. „Storm-1376“ ragino apsvarstyti, ar JAV vyriausybė nesukėlė šios avarijos ir ar „sąmoningai kažko neslepia“.13 Kai kuriose žinutėse bėgių avarija net buvo lyginama su rugsėjo 11-osios ir Perl Harboro nuslėpimo teorijomis.14

Kinijos IO marionetės siekia požiūrio į JAV politines temas

2023 m. rugsėjo mėn. ataskaitoje atkreipėme dėmesį į tai, kaip su KKP susijusios socialinės medijos paskyros pradėjo apsimetinėti JAV rinkėjais, apsimesdamos viso politinio spektro amerikiečiais ir reaguodamos į autentiškų vartotojų komentarus15. Šios pastangos daryti įtaką 2022 m. JAV vidurio kadencijos rinkimams buvo pirmosios, stebėtos Kinijos IO.

„Microsoft“ grėsmių analizės centras (MTAC) pastebėjo, kad nedaug, bet nuolat daugėja papildomų marionetinių paskyrų, kurios, mūsų vidutiniškai patikimu vertinimu, valdo KKP. Tinkle „X“ (anksčiau – „Twitter“) šios paskyros buvo sukurtos jau 2012 arba 2013 m., tačiau dabartinės jų personos pradėjo skelbti turinį tik 2023 m. pradžioje, o tai rodo, kad paskyros buvo neseniai įsigytos arba buvo panaudotos iš naujo. Šios marionetės skelbia tiek originaliai sukurtus vaizdo įrašus, memus ir infografinius elementus, tiek perdirbtą turinį iš kitų aukšto lygio politinių paskyrų. Šiose paskyrose beveik išimtinai rašoma tik apie JAV vidaus problemas – nuo Amerikoje vykstančio narkotikų vartojimo, imigracijos politikos iki rasinės įtampos – tačiau kartais komentuojamos Kiniją dominančios temos, kaip antai Fukušimos nuotekų išmetimas arba Kinijos disidentai.

Kompiuterio ekrano nuotrauka su tekstu „Karas ir konfliktai, narkotikų problema, rasiniai santykiai ir t. t.“
11 pav. Visą vasarą ir rudenį, aptarinėdami JAV politinius klausimus ir dabartinius įvykius, kinų marionetės ir personos savo žinutėse dažnai naudojo patrauklius vaizdinius, kartais patobulintus naudojant kuriamąjį dirbtinį intelektą.
Šalia politiškai motyvuotų infografinių diagramų ar vaizdo įrašų šios paskyros dažnai klausia stebėtojų, ar jie pritaria tam tikrai temai. Kai kurios iš šių paskyrų skelbė pranešimus apie įvairius kandidatus į prezidentus ir prašė stebėtojų komentuoti, ar jie juos palaiko, ar ne. Šia taktika gali būti siekiama tolesnio įsitraukimo arba galbūt norima sužinoti, kaip amerikiečiai vertina JAV politiką. Daugiau tokių paskyrų galėtų būti naudojama siekiant padidinti žvalgybinės informacijos rinkimą apie pagrindinius Jungtinių Valstijų rinkėjų demografiją.
Dviejų ekrano pusių vaizdo palyginimas: kairėje – nuo lėktuvnešio kylantis karinis reaktyvinis lėktuvas, o dešinėje – už užtvaros sėdi grupė žmonių
12 pav. Kinijos marionetės prašo kitų „X“ naudotojų nuomonių politinėmis temomis

2023 m. Šiaurės Korėjos kibernetinių grėsmių dalyviai pavogė šimtus milijonų dolerių kriptovaliutomis, vykdė programinės įrangos tiekimo grandinės atakas ir taikėsi į savo numanomus nacionalinio saugumo priešininkus. Jų operacijos generuoja pajamas Šiaurės Korėjos vyriausybei, ypač jos ginklų programai, ir renka žvalgybinę informaciją apie Jungtines Valstijas, Pietų Korėją ir Japoniją.16

Informacinės diagramos, rodančios labiausiai kibernetinių grėsmių atakuojamus sektorius ir šalis.
13 pav. Šiaurės Korėjos dažniausiais taikiniais tapę sektoriai ir šalys nuo 2023 m. birželio mėn. iki 2024 m. sausio mėn., remiantis „Microsoft“ grėsmių žvalgybos valstybinio lygmens pranešimų duomenimis.

Šiaurės Korėjos kibernetiniai veikėjai pagrobė rekordinę kriptovaliutų sumą, kad atnešų pajamų valstybei.

Jungtinių Tautų duomenimis, Šiaurės Korėjos kibernetiniai grėsmių sukėlėjai nuo 2017 m. pavogė daugiau kaip 3 mlrd. dolerių kriptovaliutų17 Vien 2023 m. pavogta nuo 600 mln. iki 1 mlrd. dolerių. Pranešama, kad šiomis pavogtomis lėšomis finansuojama daugiau nei pusė šalies branduolinės ir raketų programos, todėl Šiaurės Korėja gali platinti ir bandyti ginklus apeidama sankcijas.18. Per praėjusius metus Šiaurės Korėja atliko daugybę raketų bandymų ir karinių pratybų, o 2023 m. lapkričio 21 d. netgi sėkmingai į kosmosą paleido karinį žvalgybos palydovą19.

Trys „Microsoft“ sekami grėsmių sukėlėjai – „Jade Sleet“, „Sapphire Sleet“ ir „Citrine Sleet“ – nuo 2023 m. birželio mėn. daugiausia dėmesio skyrė kriptovaliutų taikiniams. „Jade Sleet“ vykdė dideles kriptovaliutų vagystes, o „Sapphire Sleet“ – mažesnes, tačiau dažnesnes kriptovaliutų vagystės operacijas. 2023 m. birželio pradžioje „Microsoft“ priskyrė „Jade Sleet“ mažiausiai 35 mln. dolerių vagystę iš Estijoje įsikūrusios kriptovaliutų įmonės. Po mėnesio „Microsoft“ taip pat priskyrė „Jade Sleet“ daugiau kaip 125 mln. dolerių vagystę iš Singapūre įsikūrusios kriptovaliutų platformos. „Jade Sleet“ 2023 m. rugpjūtį pradėjo pažeidinėti internetinius kriptovaliutų kazino.

„Sapphire Sleet“ nuosekliai pažeidinėjo daug darbuotojų, įskaitant kriptovaliutų, rizikos kapitalo ir kitų finansinių organizacijų vadovus ir kūrėjus. „Sapphire Sleet“ taip pat sukūrė naujus metodus, pavyzdžiui, siunčiant netikrus virtualius susitikimų kvietimus su nuorodomis į užpuoliko domeną ir registruojant netikras įdarbinimo svetaines. „Citrine Sleet“ įvykdė 2023 m. kovo mėn. 3CX tiekimo grandinės ataką ir dėl to pakenkė Turkijoje įsikūrusiai kriptovaliutų ir skaitmeninio turto įmonei. Nukentėjusysis laikė pažeidžiamą 3CX programos versiją, susijusią su pažeista tiekimo grandine.

Šiaurės Korėjos kibernetiniai veikėjai kelia grėsmę IT sektoriui, vykdydami tikslinio sukčiavimo apsimetant ir programinės įrangos tiekimo grandinės atakas

Šiaurės Korėjos grėsmių dalyviai taip pat vykdė programinės įrangos tiekimo grandinės atakas prieš IT įmones, dėl kurių buvo suteikta prieiga prie tolesnių klientų. „Jade Sleet“ naudojo „GitHub saugyklas ir ginkluotus npm paketus socialinės inžinerijos tikslinio sukčiavimo apsimetant kampanijoje, kuri buvo nukreipta į kriptovaliutų ir technologijų organizacijų darbuotojus.20 Užpuolikai apsimetė kūrėjais arba įdarbintojais, pakvietė taikinius bendradarbiauti „GitHub“ saugykloje ir įtikino juos klonuoti ir paleisti jos turinį, kuriame buvo kenkėjiškų npm paketų. 2023 m. rugpjūtį „Diamond Sleet“ įvykdė Vokietijoje įsikūrusios IT bendrovės tiekimo grandinės įsilaužimą, o 2023 m. lapkritį panaudojo Taivane įsikūrusios IT bendrovės programą, kad įvykdytų tiekimo grandinės ataką. 2023 m. spalio mėn. „Diamond Sleet“ ir „Onyx Sleet“ išnaudojo „TeamCity“ CVE-2023-42793 pažeidžiamumą, leidžiantį užpuolikui atlikti nuotolinio kodo vykdymo ataką ir įgyti administracinę serverio kontrolę. „Diamond Sleet“ naudojo šį metodą, kad pažeistų šimtus aukų įvairiose pramonės šakose JAV ir Europos šalyse, įskaitant Jungtinę Karalystę, Daniją, Airiją ir Vokietiją. „Onyx Sleet“ pasinaudojo tuo pačiu pažeidžiamumu ir pažeidė mažiausiai 10 aukų, įskaitant programinės įrangos tiekėją Australijoje ir vyriausybinę agentūrą Norvegijoje, o po pažeidimo naudojo įrankius papildomiems paketo turiniams vykdyti.

Šiaurės Korėjos kibernetinių grėsmių sukėlėjai taikėsi į Jungtines Valstijas, Pietų Korėją ir jų sąjungininkus

Šiaurės Korėjos grėsmių sukėlėjai ir toliau taikėsi į savo numanomus nacionalinio saugumo priešininkus. Ši kibernetinė veikla buvo Šiaurės Korėjos geopolitinio tikslo – pasipriešinti trišaliam Jungtinių Valstijų, Pietų Korėjos ir Japonijos aljansui – pavyzdys. Trijų šalių lyderiai užtvirtino šią partnerystę per „Camp David“ viršūnių susitikimą 2023 m. rugpjūčio mėn.21 „Ruby Sleet“ ir „Onyx Sleet“ tęsė savo pastangas, nukreiptas į aviacijos ir gynybos organizacijas JAV ir Pietų Korėjoje. „Emerald Sleet“ tęsė žvalgybos ir tikslinio sukčiavimo apsimetant kampaniją, skirtą diplomatams ir Korėjos pusiasalio ekspertams vyriausybėje, analitiniuose centruose / nevyriausybinėse organizacijose, žiniasklaidoje ir švietimo srityje. 2023 m. birželio mėn. „Pearl Sleet“ toliau vykdė operacijas, nukreiptas prieš Pietų Korėjos subjektus, kurie palaiko ryšius su Šiaurės Korėjos perbėgėliais ir aktyvistais, besirūpinančiais Šiaurės Korėjos žmogaus teisių klausimais. „Microsoft“ vertinimu, šios veiklos motyvas yra žvalgybos duomenų rinkimas.

Šiaurės Korėjos veikėjai į teisėtą programinę įrangą įdiegia „atgalines duris“

Šiaurės Korėjos grėsmių sukėlėjai taip pat naudojo teisėtą programinę įrangą, pasinaudodami esamos programinės įrangos pažeidžiamumu. Pirmąjį 2023 m. pusmetį „Diamond Sleet“ dažnai naudojo pritaikytą VNC kenkėjišką programą, kad pažeistų aukas. 2023 m. liepos mėn. „Diamond Sleet“ taip pat vėl pradėjo naudoti pritaikytą PDF skaitytuvo kenkėjišką programą – metodus, kuriuos „Microsoft“ grėsmių žvalgyba išanalizavo 2022 m. rugsėjo mėn. tinklaraščio įraše.22 2023 m. gruodžio mėn. „Ruby Sleet“ taip pat tikriausiai naudojo Pietų Korėjos elektroninių dokumentų programos „atgalinių durų“ diegimo įrankį.

Šiaurės Korėja naudojo DI įrankius, kad galėtų vykdyti kenkėjišką kibernetinę veiklą

Šiaurės Korėjos grėsmių sukėlėjai prisitaiko prie DI amžiaus. Jie išmoksta naudotis įrankiais, paremtais DI didelės kalbos modeliais (LLM), kad jų veikla būtų veiksmingesnė ir efektyvesnė. Pavyzdžiui, „Microsoft“ ir „OpenAI“ pastebėjo, kad „Emerald Sleet“ naudojo LLM, kad pagerintų slaptų sukčiavimo kampanijas, nukreiptas į Korėjos pusiasalio ekspertus.23 „Emerald Sleet“ naudojo LLM pažeidžiamoms vietoms tirti ir organizacijų bei ekspertų žvalgybai, orientuotai į Šiaurės Korėją. „Emerald Sleet“ taip pat naudojo LLM šalinti technines problemas, atlikti pagrindines scenarijų užduotis ir rengti tikslinio sukčiavimo apsimetant pranešimų turinį. „Microsoft“ bendradarbiauja su „OpenAI“, kad išjungtų paskyras ir išteklius, susijusius su „Emerald Sleet“.

Spalio mėnesį Kinija švęs Kinijos Liaudies Respublikos įkūrimo 75-ąsias metines, o Šiaurės Korėja toliau vykdys svarbiausias pažangių ginklų programas. Tuo tarpu Indijos, Pietų Korėjos ir Jungtinių Valstijų gyventojams einant prie balsadėžių, tikėtina, kad Kinijos kibernetiniai ir įtakos veikėjai, o iš dalies ir Šiaurės Korėjos kibernetiniai veikėjai, sieks paveikti šiuos rinkimus.

Kinija bent jau kurs ir platins DI sukurtą turinį, kuris bus naudingas jos pozicijoms šiuose svarbiuose rinkimuose. Nors tokio turinio poveikis auditorijai tebėra nedidelis, Kinija ir toliau eksperimentuos papildydama memus, vaizdo ir garso įrašus, ir tai gali būti veiksminga. Nors Kinijos kibernetiniai veikėjai jau seniai vykdo JAV politinių institucijų žvalgybą, esame pasirengę stebėti, kaip įtakos veikėjai bendrauja su amerikiečiais, siekdami įsitraukti ir galimai tyrinėti JAV politikos perspektyvas.

Galiausiai, Šiaurės Korėjai įgyvendinant naują vyriausybės politiką ir ambicingus ginklų bandymų planus, galime tikėtis vis sudėtingesnių kriptovaliutų vagysčių ir tiekimo grandinės atakų, nukreiptų į gynybos sektorių, kuriomis siekiama tiek pervesti pinigus režimui, tiek palengvinti naujų karinių pajėgumų kūrimą.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 January 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?“, 2024 m. sausio 11 d., tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    „Probable PRC “Spamouflage” campaign targets dozens of Canadian Members of Parliament in disinformation campaign“, 2023 m. spalis,

  8. [8]
  9. [9]

    Daugelis šaltinių užfiksavo, kad Kinijos vyriausybė vykdo propagandinę kampaniją, kuria siekiama sukelti tarptautinį pasipiktinimą dėl Japonijos sprendimo šalinti branduolines nuotekas, susidariusias po 2011 m. Fukušimos Daiči branduolinės avarijos, žr: „China’s Disinformation Fuels Anger Over Fukushima Water Release“, 2023 m. rugpjūčio 31 d.„Japan targeted by Chinese propaganda and covert online campaign“, 2023 m. birželio 8 d.

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Kibernetinės įtakos operacijos Valstybė Valstybinės ataskaitos Socialinė inžinerija Grėsmių sukėlėjai

Susiję straipsniai

Didėja Rytų Azijos skaitmeninių grėsmių mastas ir veiksmingumas

Įsigilinkite ir susipažinkite su naujomis tendencijomis besikeičiančioje Rytų Azijos grėsmių aplinkoje, kur Kinija vykdo plataus masto kibernetines ir įtakos operacijas, o Šiaurės Korėjos kibernetinių grėsmių sukėlėjai demonstruoja vis didesnę pažangą.
Sužinokite daugiau

Naudojimasis pasitikėjimo ekonomika: socialinės inžinerijos sukčiavimas

Susipažinkite su besikeičiančia skaitmenine aplinka, kurioje pasitikėjimas yra ir valiuta, ir pažeidžiamumas. Sužinokite, kokias socialinės inžinerijos sukčiavimo taktikas kibernetiniai įsilaužėliai naudoja dažniausiai, ir peržiūrėkite strategijas, padėsiančias atpažinti ir įveikti socialinės inžinerijos grėsmes, kuriomis siekiama manipuliuoti žmogaus prigimtimi.
Sužinokite daugiau

Iranas stiprina kibernetinės įtakos operacijas, kuriomis remiamas „Hamas“

Gaukite išsamios informacijos apie Irano kibernetinės įtakos operacijas, palaikančias „Hamas“ Izraelyje. Sužinokite, kaip operacijos buvo vykdomos skirtingais karo etapais, ir išanalizuokite pagrindines keturias įtakos taktikas, technikas ir procedūras (TTP), kurioms Iranas teikia pirmenybę.
Sužinokite daugiau

Stebėkite „Microsoft“ saugą