Trace Id is missing

Tie paši mērķi, jaunas rokasgrāmatas: Austrumāzijas draudu izpildītāji izmanto unikālas metodes

Lejupielādēt
Koplietošana
Abstrakts karakuģa attēls ar grafiskiem sarkaniem apļiem un melniem tīkla elementiem uz rozā fona.

Korporācija Microsoft kopš 2023. gada jūnija novēroja vairākas nozīmīgas Ķīnas un Ziemeļkorejas kiberdarbības un ietekmes tendences, kas parādīja ne tikai apņēmīgākus uzbrukumus pazīstamiem mērķiem, bet arī mēģinājumus izmantot sarežģītākas ietekmēšanas metodes mērķu sasniegšanai.

Pēdējo septiņu mēnešu laikā Ķīnas kiberdarbību izpildītāji izvēlējās trīs plašus mērķu virzienus:

  • Viena daļa Ķīnas izpildītāju plaši vērsās pret organizācijām Klusā okeāna dienvidu salās.
  • Otra daļa Ķīnas darbību turpinājās, veicot virkni kiberuzbrukumu reģionālajiem pretiniekiem Dienvidķīnas jūras reģionā.
  • Tajā pašā laikā trešā Ķīnas izpildītāju grupa apdraudēja ASV aizsardzības industriālo bāzi.

Ķīnas ietekmes izpildītāji pilnveidoja savas metodes un eksperimentēja ar jauniem plašsaziņas līdzekļiem, nevis paplašināja savu mērķu ģeogrāfisko pārklājumu. Ķīnas ietekmes kampaņās turpinājās mākslīgā intelekta veidotā vai mākslīgā intelekta uzlabotā satura pilnveidošana. Šo kampaņu ietekmes operāciju izpildītāji ir izrādījuši vēlmi gan paplašināt mākslīgā intelekta veidotus medijus, kas atbalsta viņu stratēģiskos naratīvus, gan arī paši veidot video, mēmes un audio saturu. Šāda taktika tika izmantota kampaņās, veicinot konfliktus Amerikas Savienotajās Valstīs un saasinot nesaskaņas Āzijas un Klusā okeāna valstu reģionā, tostarp Taivānā, Japānā un Dienvidkorejā. Šīs kampaņas guva dažādu līmeņu rezonansi, neviena atsevišķa shēma neradīja konsekventu auditorijas iesaisti.

Ziemeļkorejas kiberdarbību izpildītāji nokļuva plašsaziņas līdzekļu uzmanības centrā saistībā ar uzbrukumu programmatūras piegādes ķēdei un kriptovalūtas zādzību palielināšanos pagājušā gada laikā. Lai arī nemainīgi tika turpinātas pret Korejas pussalas pētniekiem vērstās stratēģiskās mērķētās pikšķerēšanas kampaņas, Ziemeļkorejas draudu izpildītāji pastiprināti izmantoja leģitīmu programmatūru, lai apdraudētu vēl vairāk upuru.

Gingham Typhoon mērķis ir valdība, IT un daudznacionālas organizācijas Klusā okeāna dienvidu salās

2023. gada vasarā Microsoft draudu informācijas centrs novēroja plašu Ķīnā bāzētas spiegu grupas Gingham Typhoon darbību ar mērķi uzbrukt gandrīz katrai Klusā okeāna dienvidu salu valstij. Gingham Typhoon ir aktīvākais izpildītājs šajā reģionā, kas uzbrūk starptautiskām organizācijām, valsts iestādēm un IT nozarei, izmantojot sarežģītas pikšķerēšanas kampaņas. Par upuriem kļuva arī personas, kas publiski kritizēja Ķīnas valdību.

Ķīnas diplomātiskie sabiedrotie, kas bija nesenā Gingham Typhoon darbības upuri, ir valdību izpildbiroji, ar tirdzniecību saistīti departamenti, interneta pakalpojumu sniedzēji, kā arī transporta uzņēmumi.

Šo nelikumīgo kiberdarbību motivācija varēja būt sakāpinātā ģeopolitiskā un diplomātiskā sacensība reģionā. Ķīna turpina veidot stratēģiskas partnerības ar Klusā okeāna dienvidu salu valstīm, lai paplašinātu ekonomiskās saites un noslēgtu diplomātiskas un drošības vienošanās. Ķīnas kiberspiegi šajā reģionā seko ekonomiskajiem partneriem.

Piemēram, Ķīnas izpildītāji iesaistījās liela mēroga uzbrukumos daudznacionālām organizācijām Papua-Jaungvinejā, kas ir ilgtermiņa diplomātiskais partneris un gūst labumu no vairākiem iniciatīvas “Viena josla, viens ceļš” (Belt and Road Initiative — BRI) projektiem, ieskaitot liela autoceļa būvniecību, kas sasaista Papua-Jaungvinejas valdības ēku ar galvaspilsētas galveno ceļu.1

Karte, kas ilustrē mērķtiecīgu kiberdraudu biežumu Klusā okeāna salu valstīs; ar lielākiem apļiem
1. attēls. Novērotie Gingham Typhoon īstenotie notikumi no 2023. gada jūnija līdz 2024. gada janvārim. Šī darbība izceļ viņu nepārtraukto koncentrēšanos uz Klusā okeāna dienvidu salu valstīm. Tomēr šī mērķēšana tiek turpināta lielā apmērā, atspoguļojot ilggadēju pievēršanos reģionam. Simbolu ģeogrāfiskās atrašanās vietas un diametrs ir reprezentatīvs.

Ķīnas draudu izpildītāji turpina fokusēties uz Dienvidķīnas jūru rietumu militāro mācību laikā

Ķīnā bāzēti draudu izpildītāji turpināja uzbrukt organizācijām, kas saistītas ar Ķīnas ekonomiskajām un militārajām interesēm Dienvidķīnas jūrā un ap to. Šie izpildītāji oportūnistiski apdraudēja valdību un telekomunikāciju upurus Dienvidaustrumāzijas valstu asociācijā (ASEAN). Ar Ķīnu saistītie kiberdraudu izpildītāji bija īpaši ieinteresēti mērķos, kas saistīti ar daudzajiem ASV militārajiem uzdevumiem, kas tika veikti reģionā. 2023. gada jūnijā valsts izpildorganizācijas darbību grupa Raspberry Typhoon, kas atrodas ārpus Ķīnas, sekmīgi uzbruka militārām un izpildvaras organizācijām Indonēzijā un Malaizijas jūras sistēmai vairākas nedēļas pirms reti notiekošajām daudzpusējām jūras mācībām, kurās iesaistīta Indonēzija, Ķīna un Amerikas Savienotās Valstis.

Līdzīgi cita Ķīnas kiberizpildītāju grupa Flax Typhoon uzbruka ar ASV un Filipīnu militārajām mācībām saistītām organizācijām. Šajā laika periodā vēl viens Ķīnā bāzēts draudu izpildītājs Granite Typhoon galvenokārt apdraudēja ar telekomunikācijām saistītas šī reģiona organizācijas, tā upuri atradās Indonēzijā, Malaizijā, Filipīnās, Kambodžā un Taivānā.

Kopš Microsoft publicēja emuāru par Flax Typhoon, 2023. gada rudens un ziemas sākumā Microsoft novēroja jaunus Flax Typhoon mērķus Filipīnās, Honkongā, Indijā un Amerikas Savienotajās valstīs.2 Šis izpildītājs bieži uzbrūk arī telekomunikāciju nozarei, nereti radot daudzas seku kaskādes.

Karte attēlo Microsoft draudu informācijas datus vairumā mērķa reģionu Āzijā,
2. attēls. Novērotie Flax Typhoon, Granite Typhoon vai Raspberry Typhoon īstenotie notikumi, kas vērsti uz valstīm Dienvidķīnas jūrā vai tās apkārtnē. Simbolu ģeogrāfiskās atrašanās vietas un diametrs ir reprezentatīvs.

Nylon Typhoon apdraud ar ārlietām saistītas organizācijas visā pasaulē

Ķīnā bāzēts draudu izpildītājs Nylon Typhoon turpināja ilgtermiņa praksi uzbrukt ar ārlietām saistītām organizācijām valstīs visā pasaulē. Laikā no 2023. gada jūnija līdz decembrim Microsoft novēroja Nylon Typhoon darbības Dienvidamerikas valstu iestādēs, tostarp Brazīlijā, Gvatemalā, Kostarikā un Peru. Šī draudu izpildītāja darbības tika novērotas arī Eiropā, apdraudot valsts iestādes Portugālē, Francijā, Spānijā, Itālijā un Apvienotajā Karalistē. Lai arī lielākā daļa mērķu Eiropā bija valsts iestādes, apdraudēti tika arī daži IT uzņēmumi. Šāda veida uzbrukumu nolūks bija informācijas vākšana.

Ķīniešu draudu grupa uzbrūk militārām organizācijām un kritiski svarīgai infrastruktūrai Amerikas Savienotajās Valstīs

Visbeidzot, 2023. gada rudenī un ziemā aktīvāk sāka darboties Storm-0062. Lielākā daļa aktivitātes bija apdraudējums ar aizsardzību saistītām valsts iestādēm, tostarp uzņēmējiem, kas nodrošina tehniskos un inženierijas pakalpojumus saistībā ar kosmosu, aizsardzību un ASV nacionālajai drošībai kritiski svarīgiem dabas resursiem. Turklāt Storm-0062 atkārtoti uzbruka militārām organizācijām Amerikas Savienotajās Valstīs, taču nav skaidrs, vai grupai izdevās uzlaušanas mēģinājumi.

ASV aizsardzības industriālā bāze joprojām ir arī Volt Typhoon pastāvīgu uzbrukumu mērķis. 2023. gada maijā Microsoft sasaistīja uzbrukumus kritiski svarīgas ASV infrastruktūras organizācijām ar Volt Typhoon, valsts sponsorētu izpildītāju, kas ir bāzēts Ķīnā. Volt Typhoon ieguva piekļuvi organizāciju tīkliem, izmantojot sistēmā pieejamos resursus un tastatūras ievadi.3 Šīs taktikas ļāva uzbrucējam Volt Typhoon slepus izmantot neatļautu piekļuvi mērķa tīkliem. No 2023. gada jūnija līdz decembrim Volt Typhoon turpināja uzbrukt kritiski svarīgai infrastruktūrai un attīstīja arī resursus, apdraudot mazbiroju (SOHO) ierīces visās Amerikas Savienotajās Valstīs.

Mūsu 2023. gada septembra pārskatā sniedzām detalizētu informāciju par to, kā Ķīnas ietekmes operāciju (IO) resursos bija sākta ģeneratīvā mākslīgā intelekta izmantošana, lai izveidotu glaimojošu, uzmanību piesaistošu vizuālo saturu. Vasaras laikā Microsoft draudu informācijas centrs turpināja identificēt mākslīgā intelekta veidotas mēmes, kuru mērķis bija Amerikas Savienotās Valstis un kurās tika izplatītas pretrunīgas iekšējās problēmas un kritizēta pašreizējā administrācija. Ar Ķīnu saistītie izpildītāji bija turpinājuši izmantot mākslīgā intelekta uzlabotus un mākslīgā intelekta izveidotus plašsaziņas līdzekļu materiālus (turpmāk — “mākslīgā intelekta saturs”) ietekmes kampaņās, kuru apjoms un biežums gada laikā palielinājās.

Mākslīgā intelekta lietošana strauji pieaug (bet negūst ietekmi)

Ražīgākais no šiem izpildītājiem, kas izmanto mākslīgā intelekta saturu, ir Storm-1376 — ar šādu nosaukumu Microsoft apzīmē ar Ķīnas Komunistisko partiju (ĶKP) saistītu izpildītāju, ko parasti pazīst ar nosaukumu “Spamouflage” vai “Dragonbridge.” Līdz ziemai citi ar ĶKP saistītie izpildītāji sāka izmantot plašāku mākslīgā intelekta satura klāstu, lai paplašinātu tiešsaistes ietekmes operācijas. Tas ietvēra būtisku tāda satura pieaugumu, kurā bija redzamas Taivānas politiskās personas pirms 13. janvāra prezidenta un likumdevēja vēlēšanām. Tā bija pirmā reize, kad Microsoft draudu informācijas centrs bija liecinieks tam, ka valsts izpildorganizācija izmantoja mākslīgā intelekta saturu, mēģinot ietekmēt vēlēšanas citā valstī.

Mākslīgā intelekta veidots audio. Dienā, kad Taivānā notika vēlēšanas, Storm-1376 publicēja, iespējams, mākslīgā intelekta izveidotus audio klipus, kuros bija redzams Foxconn īpašnieks Terijs Gou (Terry Gou), neatkarīgas partijas kandidāts Taivānas prezidenta vēlēšanās, kurš pārtrauca balotēties 2023. gada novembrī. Audio ierakstos tika atdarināta Gou balss, atbalstot citu prezidenta vēlēšanu kandidātu. Gou balsi ierakstos visticamāk izveidoja mākslīgais intelekts, jo Gou šādus apgalvojumus nav izteicis. YouTube ātri veica darbības ar šo saturu, pirms tas sasniedza ievērojamu skaitu lietotāju. Šie video sekoja dažas dienas pēc tiešsaistē izsūtītas neīstas vēstules no Terija Gou, kurā atbalstīts tas pats kandidāts. Taivānas vadošās faktu pārbaudes organizācijas atmaskoja šo vēstuli. Gou kampaņa arī apliecināja, ka vēstule nebija īsta un ka viņi uzsāks juridiskas darbības par šo gadījumu.4 Gou oficiāli neatbalstīja nevienu prezidenta amata kandidātu kampaņā.
Vīrietis uzvalkā runā uz pjedestāla; priekšplānā ir teksts ķīniešu valodā un audio viļņu formas grafika.
3. attēls. Storm-1376 publicētajos videoklipos izmantoti AI ģenerēti Terija Gou balss ieraksti, liekot viņam izskatīties tā, it kā viņš apstiprina citu kandidātu.
Mākslīgā intelekta veidotas ziņas. Dažādās kampaņās parādījās mākslīgā intelekta ziņu veidotāji, ko, izmantojot Ķīnas tehnoloģiju uzņēmuma ByteDance rīku Capcut, radīja tehnoloģiju uzņēmumi, kas ir trešās personas. Tajās tika rādītas Taivānas amatpersonas,5 kā arī ziņas par Mjanmu. Izpildītājs Storm-1376 ir lietojis šādas mākslīgā intelekta izveidotas ziņas kopš vismaz 2023. gada februāra,6 bet tā satura apjoms ar šīm ziņām pēdējo mēnešu laikā ir palielinājies.
Militārā transportlīdzekļa kolāža
4. attēls. Storm-1376 publicēja videoklipus mandarīnu un angļu valodā, kuros apgalvots, ka nemieros Mjanmā vainojamas ASV un Indija. Dažos no šiem videoklipiem ir izmantots tāds pats AI ģenerētais enkurs.
Mākslīgā intelekta uzlaboti videoklipi. Kanādas valdība un citi pētnieki atklāja, ka pret Kanādas parlamenta locekļiem vērstā kampaņā mākslīgā intelekta uzlabotos videoklipos tika izmantota Kanādā dzīvojošam Ķīnas disidentam līdzīga persona.7 Šajos videoklipos, kas bija tikai daļa no vairākās platformās veiktas kampaņas, kura ietvēra Kanādas politiķu apgrūtināšanu viņu sociālo tīklu kontos, nepatiesi tika attēlots disidents, kas izteica musinošas piezīmes par Kanādas valdību. Pret šo disidentu jau iepriekš tika izmantoti līdzīgi mākslīgā intelekta uzlaboti videoklipi.
Cilvēks sēž pie galda
5. attēls. AI iespējoti grūti atpazīstami video viltojumi, kuros tiek runāts par reliģiju noniecinošā veidā. Kaut arī ir izmantota Kanādas kampaņai līdzīga taktika, šie videoklipi satura ziņā šķiet nesaistīti.
Mākslīgā intelekta veidotas mēmes. Storm-1376 decembrī izplatīja vairākas mākslīgā intelekta veidotas mēmes par tajā laikā Taivānas Demokrātiskās progresīvās partijas (DPP) izvirzīto prezidenta amata kandidātu Viljamu Lai (William Lai). Tajās tika veikta laika atpakaļskaitīšana, norādot “X dienas” līdz DPP izbalsošanai.
Grafisks attēlojums ar diviem attēliem blakus; viens no tiem ietver attēlu ar sarkanu x un otrs — tādu pašu attēlu bez marķējuma,
6. attēls. AI ģenerētās mēmēs tiek apsūdzēts Demokrātiskās progresīvās partijas (DPP) prezidenta amata kandidāts Viljams Lai par līdzekļu piesavināšanos no Taivānas tālredzīgās infrastruktūras attīstības programmas. Šajās mēmēs bija attēloti vienkāršoti varoņi (izmantoti ĶTR, bet ne Taivānā), un tās bija daļa no sērijas, kurā ik dienu tika atspoguļota “atpakaļskaitīšana līdz DPP varas pārtraukšanai”.
Laika grafika infografika, kurā attēlota AI ģenerēta satura ietekme uz Taivānas vēlēšanām no 2023. gada decembra līdz 2024. gada janvārim.
7. attēls. AI ģenerēta un uzlabota satura laika grafiks, kas parādījās pirms Taivānas 2024. gada janvāra prezidenta un Parlamenta vēlēšanām. Grupējums Storm-1376 izplatīja vairākus no šiem satura fragmentiem un bija atbildīgs par satura izveidi divās kampaņās.

Storm-1376 turpina reaktīvu ziņu izplatīšanu, dažkārt ar konspiratīviem stāstiem

Storm-1376 — izpildītājs, kura ietekmes operācijas notiek 175 tīmekļa vietnēs un 58 valodās, — turpināja bieži veikt reaktīvas ziņapmaiņas kampaņas par populāriem ģeopolitiskajiem notikumiem, jo īpaši tiem, kas attēloja Amerikas Savienotās Valstis nelabvēlīgā gaismā vai atbalstīja ĶKP intereses Āzijas un Klusā okeāna reģionā. Kopš mūsu pēdējā pārskata 2023. gada septembrī šīs kampaņas ir attīstījušās vairākos svarīgos virzienos, tostarp mākslīgā intelekta veidotu attēlu izmantošanā, lai maldinātu auditorijas, konspiratīva satura izplatīšanās veicināšanā (jo īpaši pret ASV valdību) un jaunu auditoriju, piemēram, Dienvidkorejas, uzrunāšanā, izmantojot lokalizētu saturu.

1. Apgalvojums, ka savvaļas ugunsgrēkus Havaju salās izraisīja ASV valdības “laikapstākļu ierocis”

2023. gada augustā, kad Maui (Havaju sala) ziemeļrietumu krastā izcēlās savvaļas ugunsgrēki, Storm-1376 izmantoja izdevību izplatīt konspiratīvas teorijas vairākās sociālo tīklu platformās. Šajās ziņās tika apgalvots, ka ASV valdība tīši izraisījusi ugunsgrēkus, lai pārbaudītu militāras klases “laikapstākļu ieroci”. Papildus teksta publicēšanai vismaz 31 valodā vairākās tīmekļa vietnēs un platformās Storm-1376 izmantoja mākslīgā intelekta veidotus degošu piekrastes ceļu un ēku attēlus, lai saturs piesaistītu vairāk informācijas.8

Attēla kompozīcija ar zīmogu “viltots” virs dramatisku ugunsgrēku ainām.
8. attēls. Dažas dienas pēc savvaļas ugunsgrēku izcelšanās Storm-1376 izvieto sazvērniecisku saturu, apgalvojot, ka ugunsgrēki notikuši ASV valdības veiktās “meteoroloģiskā ieroča” testēšanas rezultātā. Šīm publikācijām bieži bija pievienoti AI ģenerēti fotoattēli ar plašiem ugunsgrēkiem.

2. Naida izplatīšana par Japānas kodolreaktora notekūdeņu iepludināšanu

Storm-1376 sāka plaša mēroga agresīvu ziņu izplatīšanas kampaņu, kurā kritizēja Japānas valdību pēc tam, kad Japāna 2023. gada 24. augustā sāka iepludināt attīrītos radioaktīvos notekūdeņus Klusajā okeānā.9 Storm-1376 saturs radīja šaubas par Starptautiskās Atomenerģijas aģentūras (SAEA) zinātnisko novērtējumu par iepludināšanas drošību. Storm-1376 izsūtīja ziņas sociālo tīklu platformās dažādiem adresātiem daudzās valodās, tostarp japāņu, korejiešu un angļu. Daļā satura tika vainotas pat Amerikas Savienotās valstis tīšā citu valstu indēšanā, lai nodrošinātu “ūdens hegemoniju”. Šajā kampaņā izmantotajam saturam ir raksturīgās iezīmes, kas liecina par mākslīgā intelekta izmantošanu.

Dažos gadījumos Storm-1376 pārstrādāja saturu, ko bija izmantojuši citi Ķīnas propagandas ekosistēmas izpildītāji, tostarp ar Ķīnas valsts plašsaziņas līdzekļiem saistītie ietekmes veidotāji sociālajos tīklos.10 Ietekmes veidotāji un izpildītājam Storm-1376 piederošie resursi augšupielādēja trīs identiskus videoklipus, kuros tika kritizēta Fukušimas notekūdeņu iepludināšana. 2023. gadā parādījās vairāk ziņu, ko publicēja dažādi izpildītāji, izmantojot identisku saturu šķietami noteiktā kārtībā, kas varētu norādīt par ziņu koordinēšanu vai virzīšanu.

Attēla kompozīcija, kas ietver satīrisku ilustrāciju ar cilvēkiem, video ekrānuzņēmumu, kurā redzama Godzilla, un sociālo tīklu ziņu
9. attēls. AI ģenerētas mēmes un attēli, kas kritiski ietekmē Fukušimas notekūdeņu novadīšanu no slepeniem Ķīnas IO resursiem (pa kreisi) un Ķīnas valdības amatpersonas (centrā). Viedokļu līderi, kas saistīti ar Ķīnas valstij piederošiem medijiem, izplatīja arī valdības saskaņotu ziņojumapmaiņu, kas ir būtiska novadīšanai (pa labi).

3. Nesaskaņu saasināšana Dienvidkorejā

Saistībā ar Fukušimas notekūdeņu izlaišanu Storm-1376 koordinēja darbības, lai uzbruktu Dienvidkorejai ar lokalizētu saturu, tādējādi pastiprinot šajā valstī notiekošos protestus pret iepludināšanu, kā arī izplatot saturu, kas kritizēja Japānas valdību. Šī kampaņa ietvēra tūkstošiem publikāciju vairākās platformās un tīmekļvietnēs Korejā, tostarp Dienvidkorejas sociālo tīklu vietnēs, piemēram, Kakao Story, Tistory un Velog.io.11

Šīs mērķētās kampaņas ietvaros Storm-1376 aktīvi izplatīja partijas Minjoo līdera un 2022. gada vēlēšanās zaudējušā prezidenta amata kandidāta Lī Jemjunga (이재명, 李在明) komentārus un darbības. Lī kritizēja Japānas darbību, dēvējot to par “teroru ar saindētu ūdeni”, kas ir līdzvērtīgs “Otrā Klusā okeāna kara” izraisīšanai. Viņš vainoja arī Dienvidkorejas pašreizējo valdību par to, ka tā ir Japānas “sabiedrotā un lēmuma atbalstītāja”, un kā protestu uzsāka bada streiku, kas ilga 24 dienas.12

Četru paneļu komikss, kas veltīts vides piesārņojumam un tā ietekmei uz jūras dzīvi.
10. attēls. Mēmes korejiešu valodā no Dienvidkorejas emuāra platformas Tistory izplata nesaskaņas par Fukušimas notekūdeņu novadīšanu.

4. Vilciena avārija Kentuki

2023. gada Pateicības dienā Kentuki štata Rokkāslas apgabalā no sliedēm nobrauca vilciens, kurā tika pārvadāts kausēts sērs. Apmēram nedēļu pēc vilciena avārijas Storm-1376 sāka kampaņu sociālajos tīklos, kurā tika plaši aprakstīta ziņa par avāriju, izplatīja pret ASV valdību vērstas konspirācijas teorijas un akcentēja politiskās pretrunas ASV vēlētāju vidū, veicinot neuzticēšanos ASV valdībai un vilšanos tajā. Storm-1376 mudināja auditoriju izvērtēt, vai ASV valdība varētu būt izraisījusi vilciena nobraukšanu no sliedēm un “tīši kaut ko slēpusi”.13 Dažās ziņās avārija tika pielīdzināta 11. septembra un Pērlhārboras notikumu slēpšanas teorijām.14

Ķīnas ietekmes operācijas viltus profili meklē perspektīvas par ASV politikas tēmām

Mūsu 2023. gada septembra pārskatā norādījām, ka ar ĶKP saistītie sociālo tīklu konti bija sākuši uzdoties par ASV vēlētājiem, izliekoties par amerikāņiem, kas pārstāv visu politisko spektru, un atbildēja uz īstu lietotāju komentāriem.15 Šie centieni ietekmēt ASV 2022. gada starpposma vēlēšanas bija pirmie šāda veida centieni novērotajās Ķīnas ietekmes operācijās.

Microsoft draudu analīzes centrs (MTAC) ir novērojis nelielu, taču konstantu tādu papildu viltus profilu skaita palielināšanos, par kuriem esam samērā pārliecināti, ka tos vada ĶKP. Platformā X (iepriekš Twitter) šie konti tika izveidoti jau 2012. vai 2013. gadā. Taču publicēšana ar pašreizējo personu vārdu tika sākta 2023. gada sākumā. Tas liek domāt, ka konti tika nesen iegūti vai ir mainīts to izmantošanas mērķis. Šie viltus konti publicē gan oriģinālus videoklipus, mēmes un infografiku, gan arī pārveidotu saturu no populāru politisko personu kontiem. Šie konti publicē informāciju gandrīz tikai par ASV iekšpolitikas jautājumiem — no narkotiku lietošanas Amerikā, imigrācijas politikas līdz rasu saspīlējumam, bet dažkārt komentē tēmas, kas interesē Ķīnu —piemēram, Fukušimas notekūdeņu iepludināšana vai Ķīnas disidenti.

Ekrānuzņēmums, kurā redzams dators ar tekstu “Karš un konflikti, narkotiku jautājuma rasu attiecības utt.”
11. attēls. Vasaras un rudens periodā Ķīnas zeķu lelles un personāži, apspriežot ASV politiskos jautājumus un aktualitātes, savās publikācijas bieži izmantoja saistošus vizuālos datus, kas dažkārt tika uzlaboti ar ģeneratīvo mākslīgo intelektu.
Kopā ar politiski motivētu infografiku vai videoklipiem šie konti bieži jautā sekotājiem, vai viņi piekrīt attiecīgajai tēmai. Daži no šiem kontiem ir publicējuši informāciju par dažādiem prezidentu amata kandidātiem un pēc tam lūguši sekotājiem komentēt, vai viņi tos atbalsta vai nē. Šīs taktikas mērķis varētu būt turpmākas iesaistīšanas iespēju meklēšana vai, iespējams, ieskatu gūšana par amerikāņu uzskatiem par ASV politiku. Iespējams, ka darbojas vairāk šādu kontu, lai pastiprinātu informācijas vākšanu par svarīgākajiem vēlētāju demogrāfiskajiem datiem Amerikas Savienotajās Valstīs.
Dalīta ekrāna attēlu salīdzinājums: pa kreisi — militāra reaktīvā lidmašīna, kas paceļas no lidmašīnu bāzeskuģa, un pa labi — cilvēku grupa, kas sēž aiz barjeras
12. attēls. Ķīniešu zeķu lelles lūdz citu lietotāju viedokļus par politiskām tēmām platformā X

Ziemeļkorejas kiberdraudu izpildītāji 2023. gadā nozaga kriptovalūtu simtiem miljonu dolāru vērtībā, veica uzbrukumus programmatūras piegādes ķēdei un vērsās pret personām, ko uzskatīja par nacionālo drošību apdraudošiem. Viņu darbības rezultātā tiek gūti ieņēmumi Ziemeļkorejas valdībai, jo īpaši ieroču programmai, un vākta informācija par Amerikas Savienotajām Valstīm, Dienvidkoreju un Japānu.16

Infografika, kurā parādītas nozares un valstis, pret kurām visbiežāk vērsti kiberdraudi.
13. attēls. Ziemeļkorejas visvairāk mērķētās nozares un valstis no 2023. gada jūnija līdz 2024. gada janvārim, pamatojoties uz Microsoft draudu informācijas nacionāla mēroga paziņojumu datiem.

Ziemeļkorejas kiberdraudu izpildītāji nolaupa rekordlielu kriptovalūtas summu, lai gūtu ieņēmumus valstij.

Apvienoto Nāciju Organizācija lēš, ka Ziemeļkorejas kiberdraudu izpildītāji kopš 2017. gada ir nozaguši kriptovalūtu vairāk nekā 3 miljardu ASV dolāru vērtībā17 Tikai 2023. gadā notikušajās laupīšanās vien ir iegūti no 600 miljoniem līdz 1 miljardam ASV dolāru. Tiek ziņots, ka ar šiem nozagtajiem līdzekļiem tiek finansēta vairāk nekā puse valsts kodolieroču un raķešu programmas, kas sniedz iespēju Ziemeļkorejai palielināt ieroču krājumus un izmēģināt tos, neskatoties uz sankcijām.18 Ziemeļkoreja veica vairākus raķešu izmēģinājumus un militārās mācības pagājušā gada laikā un 2023. gada 21. novembrī pat sekmīgi palaida kosmosā militārās izlūkošanas satelītu.19

Microsoft izsekotie trīs draudu izpildītāji — Jade Sleet, Sapphire Sleet un Citrine Sleet — kopš 2023. gada jūnija galvenokārt pievērsās kriptovalūtas mērķiem. Jade Sleet veica kriptovalūtas zādzības lielos apmēros, savukārt Sapphire Sleet veica mazākas, bet biežākas kriptovalūtas zādzības. Microsoft uzskata, ka 2023. gada jūnija sākumā Jade Sleet nozaga 35 miljonus ASV dolāru no Igaunijā darbojošās kriptovalūtas firmas. Microsoft uzskata, ka mēnesi vēlāk Jade Sleet nozaga arī vairāk nekā 125 miljonus ASV dolāru no Singapūrā darbojošās kriptovalūtas platformas. Jade Sleet sāka apdraudēt tiešsaistes kriptovalūtas kazino 2023. gada augustā.

Sapphire Sleet konsekventi apdraudēja vairākus darbiniekus, tostarp vadību un izstrādātājus, kriptovalūtas, iespējkapitāla un citās finanšu organizācijās. Sapphire Sleet izstrādāja arī jaunas metodes, piemēram, sūtīja neīstus uzaicinājumus uz virtuālām sanāksmēm, kuros pievienoja saites uz uzbrucēja domēnu, un reģistrēja neīstas darba sludinājumu tīmekļa vietnes. Citrine Sleet turpināja 2023. gada marta uzbrukumu 3CX piegādes ķēdei, apdraudot Turcijā strādājošu kriptovalūtas un digitālo resursu firmu lejupējā piegādes ķēdē. Upuris viesoja neaizsargātu programmas 3CX versiju, kas bija saistīta ar uzbrukumu piegādes ķēdei.

Ziemeļkorejas kiberdraudu izpildītāji apdraud IT nozari, izmantojot mērķētu pikšķerēšanu un uzbrukumus programmatūras piegādes ķēdēm

Ziemeļkorejas draudu izpildītāji veica arī uzbrukumus programmatūras piegādes ķēdei IT uzņēmumos. To rezultātā tika iegūta piekļuve klientiem lejupējā piegādes ķēdē. Jade Sleet ļaunprātīgi izmantoja GitHub repozitorijus un npm pakotnes sociālās inženierijas mērķētā pikšķerēšanas kampaņā, kuras mērķis bija kriptovalūtas un tehnoloģiju organizāciju darbinieki.20 Uzbrucēji uzdevās par izstrādātājiem vai personāla atlases speciālistiem, aicināja upurus sadarboties GitHub repozitorijā un pārliecināja viņus klonēt un izpildīt tā saturu, kas saturēja ļaunprātīgas npm pakotnes. Diamond Sleet 2023. gada augustā uzbruka Vācijā bāzēta IT uzņēmuma piegādes ķēdei un kā ieroci izmantoja programmu no Taivānā bāzētas IT firmas, lai 2023. gada novembrī veiktu uzbrukumu piegādes ķēdei. Gan Diamond Sleet, gan Onyx Sleet 2023. gada oktobrī izmantoja TeamCity CVE-2023- 42793 ievainojamību, kas uzbrucējiem nodrošināja iespēju attāli veikt koda izpildes uzbrukumu un iegūt administratīvu kontroli pār serveri. Diamond Sleet šo metodi izmantoja, lai apdraudētu simtiem upuru dažādās nozarēs Amerikas Savienotajās Valstīs un Eiropas valstīs, tostarp, Apvienotajā Karalistē, Dānijā, Īrijā un Vācijā. Onyx Sleet šo pašu metodi izmantoja, lai apdraudētu vismaz 10 upurus, tostarp programmatūras nodrošinātāju Austrālijā un valsts iestādi Norvēģijā, un pēc uzbrukuma izmantoja rīkus, lai nosūtītu papildu vērtumus.

Ziemeļkorejas draudu izpildītāji uzbruka Amerikas Savienotajām Valstīm, Dienvidkorejai un to sabiedrotajiem

Ziemeļkorejas draudu izpildītāji turpināja uzbrukt personām, kas pēc viņu domām ir drauds nacionālajai drošībai. Šī kiberaktivitāte ir piemērs tam, kā Ziemeļkoreja īsteno ģeopolitisko mērķi darboties pret trīspusējo savienību, ko veido Amerikas Savienotās Valstis, Koreja un Japāna. Šo trīs valstu vadītāji nostiprināja šo sadarbību Kempdeividas samitā, kas notika 2023. gada augustā.21 Ruby Sleet un Onyx Sleet turpināja savas tendences uzbrukt kosmosa un aizsardzības organizācijām Amerikas Savienotajās Valstīs un Dienvidkorejā. Emerald Sleet turpināja izlūkošanas un mērķētas pikšķerēšanas kampaņu, kuras mērķis bija diplomāti un Korejas pussalas eksperti, kas darbojas valdībā, domnīcās/NVO, plašsaziņas līdzekļos un izglītības nozarē. 2023. gada jūnijā Pearl Sleet turpināja darbības, kuru mērķis bija Dienvidkorejas organizācijas, kas sadarbojas ar pārbēdzējiem un aktīvistiem no Ziemeļkorejas, kas strādā ar Ziemeļkorejas cilvēktiesību problēmām. Microsoft uzskata, ka šo darbību motīvs ir informācijas vākšana.

Ziemeļkorejas izpildītāji ievieš lūkas leģitīmā programmatūrā

Ziemeļkorejas draudu izpildītāji izmantoja arī lūkas leģitīmā programmatūrā, gūstot labumu no ievainojamībām esošā programmatūrā. 2023. gada pirmajā pusē Diamond Sleet bieži kā ieroci izmantoja VNC ļaunprogrammatūru, lai uzbruktu upuriem. 2023. gada jūlijā Dimond Sleet atsāka izmantot par ieroci arī PDF lasītāja ļaunprogrammatūru, metodi, kas analizēta kādā Microsoft draudu informācijas 2022. gada septembra emuārā.22 Ruby Sleet 2023. gada decembrī visdrīzāk izmantoja arī Dienvidkorejas elektronisko dokumentu programmas lūkas instalētāju.

Ziemeļkoreja izmantoja mākslīgā intelekta rīkus, lai veiktu ļaunprātīgas kiberdarbības

Ziemeļkorejas draudu izpildītāji pielāgojas mākslīgā intelekta laikmetam. Viņi mācās izmantot rīkus, ko nodrošina mākslīgā intelekta lielo valodu modeļi (LLM), lai viņu operācijas būtu iedarbīgākas un efektīvākas. Piemēram, Microsoft un OpenAI novēroja, ka Emerald Sleet izmanto LLM, lai uzlabotu mērķētas pikšķerēšanas kampaņas, kuru mērķis bija Korejas pussalas eksperti.23 Emerald Sleet izmantoja LLM, lai pētītu ievainojamības un veiktu izlūkošanu par organizācijām un ekspertiem, kas pievērsās Ziemeļkorejai. Emerald Sleet izmantoja LLM, lai risinātu arī tehniskas problēmas, veiktu pamata skriptu uzdevumus un sagatavotu saturu mērķētām pikšķerēšanas ziņām. Microsoft sadarbojās ar OpenAI, lai atspējotu kontus un ar Emerald Sleet saistītos resursus.

Oktobrī Ķīna svinēs Ķīnas Tautas Republikas dibināšanas 75. gadadienu, un Ziemeļkoreja turpinās īstenot svarīgākās uzlaboto ieroču programmas. Tajā pašā laikā Indijas, Dienvidkorejas un Amerikas Savienoto Valstu iedzīvotāji dosies balsot, un mēs, visticamāk, pieredzēsim Ķīnas kiberdraudu un ietekmes operāciju izpildītāju un kaut kādā mērā Ziemeļkorejas kiberdraudu izpildītāju sadarbību ar mērķi uzbrukt šīm vēlēšanām.

Ķīna izveidos un izplatīs vismaz mākslīgā intelekta ģenerētu saturu, kas pauž atbalstu tās viedoklim šajās augsta ranga politisko personu vēlēšanās. Lai arī šāda satura ietekme uz auditoriju ir zema, Ķīnas pieaugošie eksperimenti mēmju, videoklipu un audio klipu izplatīšanā turpināsies un vēlāk var izrādīties efektīvi. Lai arī Ķīnas kiberdraudu izpildītāji jau sen veic izlūkošanu ASV politiskajās iestādēs, mēs esam gatavi tam, ka ietekmes izpildītāji mijiedarbosies ar amerikāņiem, lai iesaistītos un potenciāli pētītu ASV politikas perspektīvas.

Visbeidzot, Ziemeļkorejai uzsākot jaunas valdības politikas un ambiciozu plānu īstenošanu ieroču testēšanā, varam sagaidīt arvien sarežģītākus kriptovalūtas zagšanas mēģinājumus un uzbrukumus piegādes ķēdēm, kuru mērķis ir aizsardzības nozare, lai iepludinātu naudu režīmā un veicinātu jaunu militāro iespēju attīstīšanu.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 2024. gada 1. janvāris, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 2024. gada 11. janvāris, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    “Iespējamā ĶTR “Spamouflage” kampaņa ir vērsta pret vairākiem Kanādas parlamenta locekļiem dezinformācijas kampaņā”, 2023. gada oktobris,

  8. [8]
  9. [9]

    Vairākos avotos ir dokumentēta Ķīnas valdības pastāvīgā propagandas kampaņa, kuras mērķis ir veicināt starptautisku naidu pret Japānas lēmumu novadīt kodolreaktora notekūdeņus pēc 2011. gada negadījuma reaktorā Fukushima Daiichi, skatiet: Ķīnas dezinformācija veicina naidu par ūdens novadīšanu Fukušimā”, 2023. gada 31. augusts“Ķīna izmanto propagandu un slēptu tiešsaistes kampaņu, lai uzbruktu Japānai”, 2023. gada 8. jūnijs

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Kiberietekmes darbības Valstu darbības Valstu izpildorganizāciju darbību pārskati Sociālā inženierija Draudu izpildītāji

Saistītie raksti

Digitālie draudi no Austrumāzijas kļūst arvien plašāki un efektīvāki

Iepazīstieties ar jaunajām tendencēm Austrumāzijas apdraudējuma ainavā, kur Ķīna veic plašas kiberoperācijas un ietekmes operācijas (IO), bet Ziemeļkorejas kiberapdraudējuma izpildītāji demonstrē arvien lielāku izsmalcinātību.
Papildinformācija

Sociālās inženierijas krāpniecība, kas balstās uz uzticamu ekonomiku

Izpētiet mainīgo digitālo vidi, kur uzticēšanās ir gan “valūta”, gan ievainojamība. Atklājiet sociālās inženierijas krāpniecības taktiku, kuru kiberuzbrucēji izmanto visbiežāk, un pārskatiet stratēģijas, kas var jums palīdzēt identificēt un pārspēt sociālās inženierijas apdraudējumus, kas radīti, lai manipulētu ar cilvēka dabu.
Papildinformācija

Irāna palielina ar kibernoziegumiem saistītu ietekmes operāciju skaitu, lai atbalstītu Hamās

Atklājiet detalizētu informāciju par Irānas ar kibernoziegumiem saistītām ietekmes operācijām, atbalstot Hamās Izraēlā. Uzziniet, kā operācijas ir attīstījušās dažādās kara fāzēs, un izpētiet četras galvenās ietekmes stratēģijas, paņēmienus un procedūras (tactics, techniques, and procedures — TTP), kas Irānai patīk visvairāk.
Papildinformācija

Sekot Microsoft drošībai