Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Te same cele, nowe strategie: wschodnioazjatyckie źródła zagrożeń stosują unikatowe metody

Pobierz
Udostępnij
Abstrakcyjna ilustracja przedstawiająca okręt wojenny z graficznymi czerwonymi kołami i elementami z czarnej siatki na różowym tle.

Od czerwca 2023 roku firma Microsoft zaobserwowała kilka istotnych trendów w obszarze cyberdziałań i wywierania wpływu związanych z Chinami i Koreą Północną, z których wynika nie tylko zintensyfikowanie ataków na znane cele, ale też podejmowanie prób realizowania założeń za pomocą bardziej wyrafinowanych technik wywierania wpływu.

W ciągu ostatnich siedmiu miesięcy chińskie źródła zagrożeń atakowały ogólnie trzy obszary:

  • Jedna grupa chińskich źródeł zagrożeń rozlegle atakowała podmioty na wyspach Południowego Pacyfiku.
  • Druga grupa chińskich działań stanowiła kontynuację serii cyberataków wymierzonych w przeciwników regionalnych w obszarze Morza Południowochińskiego.
  • Natomiast trzecia grupa chińskich źródeł zagrożeń naruszała zabezpieczenia bazy przemysłowej sektora obronnego Stanów Zjednoczonych.

Chińskie grupy zajmujące się wywieraniem wpływu — zamiast poszerzać zasięg geograficzny swoich celów — doskonaliły techniki i eksperymentowały z nowymi mediami. Chińskie kampanie wywierania wpływu w dalszym ciągu obejmowały udoskonalanie treści wygenerowanych przez sztuczną inteligencję lub treści poprawionych przez sztuczną inteligencję. Stojące za tymi kampaniami grupy zajmujące się wywieraniem wpływu wykazywały chęć zarówno do nagłaśniania wygenerowanych przez sztuczną inteligencję materiałów multimedialnych wspierających ich narracje strategiczne, jak i do tworzenia własnych materiałów wideo i dźwiękowych oraz memów. Takie taktyki stosowano w kampaniach podsycających podziały w Stanach Zjednoczonych i zaostrzających konflikty w regionie Azji i Pacyfiku, w tym na Tajwanie, w Japonii i w Korei Południowej. Poziomy oddźwięku tych kampanii były zróżnicowane i nie istniał żaden pojedynczy schemat zapewniający spójne zaangażowanie odbiorców.

Północnokoreańskie źródła zagrożeń trafiły na pierwsze strony gazet z powodu nasilenia ataków na łańcuchy zaopatrzenia oprogramowania i kradzieży kryptowalut w ciągu ostatniego roku. Choć kampanie strategiczne spersonalizowanego wyłudzania informacji wymierzone w badaczy zajmujących się Półwyspem Koreańskim utrzymują stały trend, wygląda na to, że północnokoreańskie źródła zagrożeń zwiększyły wykorzystanie legalnego oprogramowania, aby naruszać zabezpieczenia jeszcze większej liczby celów.

Grupa Gingham Typhoon atakuje podmioty administracji publicznej, informatyczne i międzynarodowe na wyspach Południowego Pacyfiku

Latem 2023 roku Centrum analizy zagrożeń Microsoft zaobserwowało rozległą aktywność chińskiej grupy szpiegowskiej Gingham Typhoon, która atakowała niemal wszystkie wyspy na Południowym Pacyfiku. Grupa Gingham Typhoon jest najaktywniejszym źródłem zagrożenia w tym regionie i atakuje organizacje międzynarodowe, podmioty administracji publicznej i sektor informatyczny za pomocą złożonych kampanii wyłudzania informacji. Do ofiar grupy należą też głośni krytycy chińskiego rządu.

Wśród sojuszników dyplomatycznych Chin, którzy niedawno padli ofiarami grupy Gingham Typhoon, znalazły się biura dyrektorskie w rządach, działy związane z handlem, dostawcy usług internetowych, a także instytucja transportowa.

Te ofensywne cyberdziałania mogą być umotywowane zwiększoną konkurencją geopolityczną i dyplomatyczną w regionie. Chiny dążą do nawiązania partnerstw strategicznych z krajami wyspiarskimi Południowego Pacyfiku w celu rozszerzenia powiązań gospodarczych oraz pośredniczenia w zawieraniu umów dyplomatycznych i dotyczących bezpieczeństwa. Chińskie cyberszpiegostwo w tym regionie nie omija też partnerów gospodarczych.

Chińskie źródła zagrożeń przeprowadziły na przykład zakrojone na szeroką skalę ataki na organizacje międzynarodowe w Papui-Nowej Gwinei, która jest długoletnim partnerem dyplomatycznym czerpiącym korzyści z wielu projektów Inicjatywy Pasa i Szlaku, w tym z budowy istotnej autostrady łączącej budynek rządowy Papui-Nowej Gwinei z główną drogą stolicy1.

Mapa ilustrująca częstotliwość kierowanych zagrożeń cybernetycznych na kraje wyspiarskie Pacyfiku z większymi okręgami
Ilustracja 1. Zaobserwowane zdarzenia spowodowane przez grupę Gingham Typhoon od czerwca 2023 r. do stycznia 2024 r. Ta aktywność podkreśla ich ciągłe ukierunkowanie na kraje wyspiarskie Południowego Pacyfiku. Większość tych ataków była jednak ciągła, co odzwierciedla skupianie się na tym regionie od wielu lat. Jest to odzwierciedlone w lokalizacjach geograficznych i średnicy symboliki.

W obliczu ćwiczeń wojskowych sił zachodnich chińskie źródła zagrożeń nadal skupiają się na Morzu Południowochińskim

Źródła zagrożeń działające z Chin w dalszym ciągu atakowały podmioty związane z interesami gospodarczymi i wojskowymi Chin na Morzu Południowochińskim i wokół niego. Te źródła zagrożeń oportunistycznie naruszały zabezpieczenia celów z obszarów administracji publicznej i telekomunikacji w krajach ze Stowarzyszenia Narodów Azji Południowo-Wschodniej (ASEAN). Związane z państwem chińskim cybergrupy wydawały się być szczególnie zainteresowane celami powiązanymi z licznymi amerykańskimi ćwiczeniami wojskowymi prowadzonymi w regionie. W czerwcu 2023 roku Raspberry Typhoon, państwowa grupa aktywności z siedzibą w Chinach, z powodzeniem zaatakowała podmioty wojskowe i wykonawcze w Indonezji oraz malezyjski system morski na kilka tygodni przed rzadko realizowanymi wielostronnymi ćwiczeniami morskimi z udziałem Indonezji, Chin i Stanów Zjednoczonych.

Podobnie inna chińska cybergrupa, Flax Typhoon, zaatakowała podmioty związane z amerykańsko-filipińskimi ćwiczeniami wojskowymi. Tymczasem grupa Granite Typhoon, kolejne źródło zagrożenia z Chin, naruszała w tym okresie zabezpieczenia podmiotów telekomunikacyjnych w regionie — w Indonezji i Malezji, na Filipinach, w Kambodży i na Tajwanie.

Od opublikowania wpisu w blogu firmy Microsoft na temat grupy Flax Typhoon firma Microsoft zaobserwowała wczesną jesienią i zimą 2023 roku nowe cele tej grupy na Filipinach oraz w Hongkongu, Indiach i Stanach Zjednoczonych2. To źródło zagrożenia często atakuje też sektor telekomunikacyjny, co w wielu przypadkach pociąga za sobą skutki w obszarach od niego zależnych.

Mapa, na której są wyświetlane dane analizy zagrożeń Microsoft dotyczące najczęściej atakowanych regionów w Azji
Ilustracja 2. Zaobserwowane zdarzenia atakowania krajów na Morzu Południowochińskim lub wokół niego przez grupy Flax Typhoon, Granite Typhoon lub Raspberry Typhoon. Jest to odzwierciedlone w lokalizacjach geograficznych i średnicy symboliki.

Grupa Nylon Typhoon narusza zabezpieczenia instytucji odpowiedzialnych za sprawy zagraniczne na całym świecie

Chińskie źródło zagrożenia Nylon Typhoon kontynuuje swoje długoterminowe działania polegające na atakowaniu instytucji odpowiedzialnych za sprawy zagraniczne w krajach na całym świecie. W okresie od czerwca do grudnia 2023 roku firma Microsoft zaobserwowała aktywność grupy Nylon Typhoon w jednostkach administracji publicznej w Ameryce Południowej, między innymi w Brazylii, Gwatemali, Kostaryce i Peru. Aktywność tego źródła zagrożenia zaobserwowano też w Europie, gdzie naruszało ono zabezpieczenia jednostek administracji publicznej w Portugalii, Francji, Hiszpanii i Zjednoczonym Królestwie oraz we Włoszech. Mimo że większość europejskich celów stanowiły jednostki administracji publicznej, naruszano też zabezpieczenia niektórych firm informatycznych. Celem tych ataków jest zbieranie informacji wywiadowczych.

Chińskie źródło zagrożenia atakuje podmioty wojskowe i infrastrukturę krytyczną w Stanach Zjednoczonych

Wreszcie jesienią i zimą 2023 roku wzrosła aktywność grupy Storm-0062. Duża część tych działań obejmowała naruszanie zabezpieczeń instytucji administracji publicznej związanych z obronnością Stanów Zjednoczonych, w tym wykonawców świadczących usługi inżynierii technicznej w obszarze lotnictwa, obronności i zasobów naturalnych o krytycznym znaczeniu dla bezpieczeństwa narodowego Stanów Zjednoczonych. Grupa Storm-0062 wielokrotnie atakowała też podmioty wojskowe w Stanach Zjednoczonych. Nie jest jednak jasne, czy udało jej się naruszyć ich zabezpieczenia.

Baza przemysłowa sektora obronnego Stanów Zjednoczonych jest też nieustannie celem ataków grupy Volta Typhoon. W maju 2023 roku firma Microsoft przypisała ataki na organizacje zajmujące się infrastrukturą krytyczną w Stanach Zjednoczonych grupie Volt Typhoon, państwowemu źródłu zagrożenia z Chin. Grupa Volt Typhoon uzyskała dostęp do sieci organizacji za pomocą technik LOTL (Living Off The Land) i ataków obsługiwanych przez ludzi (tzw. ataki „hands-on-keyboard”)3. Taktyki te pozwoliły grupie Volt Typhoon potajemnie utrzymywać nieautoryzowany dostęp do atakowanych sieci. W okresie od czerwca do grudnia 2023 roku grupa Volt Typhoon kontynuowała ataki na infrastrukturę krytyczną, a jednocześnie rozwijała zasoby, naruszając zabezpieczenia urządzeń małych i domowych biur (tzw. SOHO) w całych Stanach Zjednoczonych.

W naszym raporcie z września 2023 roku szczegółowo opisaliśmy, jak chińskie grupy prowadzące operacje wywierania wpływu zaczęły wykorzystywać generatywną sztuczną inteligencję do tworzenia dobrze wyglądających i wciągających treści wizualnych. Przez całe lato Centrum analizy zagrożeń Microsoft identyfikowało wygenerowane przez sztuczną inteligencję memy ukierunkowane na Stany Zjednoczone, w których nagłaśniano kontrowersyjne problemy wewnętrzne i krytykowano obecną administrację. Powiązane z Chinami grupy prowadzące operacje wywierania wpływu nadal korzystają z materiałów multimedialnych wygenerowanych i poprawionych przez sztuczną inteligencję (dalej „treści AI”) w kampaniach wywierania wpływu, a ilość tych materiałów i częstotliwość ich stosowania rosły przez cały rok.

Wzrasta ilość treści AI (nie są jednak przekonujące)

Najpłodniejszym z tych źródeł zagrożeń wykorzystujących treści AI jest Storm-1376 — to oznaczenie, jakie firma Microsoft nadała powiązanej z Komunistyczną Partią Chin (KPCh) grupie powszechnie znanej jako „Spamouflage” lub „Dragonbridge”. Do nastania zimy inne źródła zagrożeń powiązane z KPCh zaczęły wykorzystywać szerszą gamę treści AI w celu usprawnienia internetowych operacji wywierania wpływu. Obejmowało to znaczny wzrost ilości treści przedstawiających tajwańskich polityków przed wyborami prezydenckimi i wyborami do organów legislacyjnych planowanymi na 13 stycznia. Centrum analizy zagrożeń Microsoft po raz pierwszy zaobserwowało wtedy próby wywierania przez państwową grupę hakerską wpływu na zagraniczne wybory z wykorzystaniem treści AI.

Materiały dźwiękowe wygenerowane przez sztuczną inteligencję: w dniu wyborów na Tajwanie grupa Storm-1376 opublikowała sprawiające wrażenie wygenerowanych przez sztuczną inteligencję klipy dźwiękowe, w których słychać Terry’ego Gou, właściciela firmy Foxconn i niezależnego kandydata na urząd prezydenta Tajwanu, który wycofał się z wyborów w listopadzie 2023 roku. W tych nagraniach dźwiękowych słychać, jak Gou wyraża poparcie dla innego kandydata na urząd prezydenta. Głos Gou w tych nagraniach został prawdopodobnie wygenerowany przez sztuczną inteligencję, ponieważ nie składał on takich oświadczeń. Serwis YouTube szybko podjął działania związane z tymi treściami, zanim dotarły one do znacznej liczby użytkowników. Filmy te pojawiły się kilka dni po tym, jak w internecie zaczął krążyć fałszywy list od Terry’ego Gou, w którym popierał tego samego kandydata. Wiodące tajwańskie organizacje weryfikujące fakty zdemaskowały ten list. Także przedstawicielstwo kampanii Gou stwierdziło, że list nie jest prawdziwy i że w reakcji na niego podejmie kroki prawne4. Gou nie poparł formalnie żadnego kandydata na prezydenta biorącego udział w wyborach.
Mężczyzna w garniturze mówiący na podium z chińskim tekstem i grafiką przedstawiającą kształt fali dźwiękowej w tle.
Ilustracja 3. W filmach opublikowanych przez grupę Storm-1376 użyto wygenerowanych przez sztuczną inteligencję nagrań Terry Gou, w których wydaje się on polecać innego kandydata.
Prowadzący wygenerowani przez sztuczną inteligencję: wygenerowane przez sztuczną inteligencję osoby prowadzące programy informacyjne utworzone przez zewnętrzne firmy technologiczne przy użyciu narzędzia Capcut chińskiej firmy technologicznej ByteDance pojawiły się w różnych kampaniach przedstawiających tajwańskich urzędników5 oraz w przekazach informacyjnych w Birmie. Grupa Storm-1376 używa takich wygenerowanych przez sztuczną inteligencję prowadzących programy informacyjne co najmniej od lutego 2023 roku6, jednak w ostatnich miesiącach wzrosła ilość treści z takimi prowadzącymi.
Kolaż przedstawiający pojazd wojskowy
Ilustracja 4. Grupa Storm-1376 opublikowała filmy w języku mandaryńskim i angielskim, w którym zarzuca się Stanom Zjednoczonym i Indiom odpowiedzialność za zamieszki w Mjanmie. Te same zakotwiczenie wygenerowane przez sztuczną inteligencję jest używane w niektórych z tych filmów.
Filmy poprawione przez sztuczną inteligencję: zgodnie z informacjami ujawnionymi przez rząd Kanady i innych badaczy w kampanii skierowanej przeciwko kanadyjskim parlamentarzystom użyto filmów poprawionych przez sztuczną inteligencję, w których wykorzystano wizerunek chińskiego dysydenta mieszkającego w Kanadzie7. W tych filmach, stanowiących tylko część wieloplatformowej kampanii obejmującej nękanie kanadyjskich polityków na ich kontach w mediach społecznościowych, fałszywie przedstawiano tego dysydenta wygłaszającego podburzające uwagi na temat rządu Kanady. Przeciwko temu dysydentowi już wcześniej wykorzystywano podobne filmy poprawione przez sztuczną inteligencję.
Osoba siedząca przy biurku
Ilustracja 5. Filmy z obsługiwanymi przez sztuczną inteligencję deepfake’ami przedstawiającymi opozycjonistę wypowiadającego się w sposób obraźliwy o religii. Te filmy, chociaż jest w nich używana taktyka podobna do tej co w kampanii w Kanadzie, wydają się być niepowiązane pod względem zawartości.
Memy wygenerowane przez sztuczną inteligencję: w grudniu grupa Storm-1376 promowała serię wygenerowanych przez sztuczną inteligencję memów dotyczących Williama Lai, ówczesnego kandydata na prezydenta Tajwanu z ramienia Demokratycznej Partii Postępowej, z motywem odliczania „X dni” do odsunięcia tej partii od władzy.
Graficzna reprezentacja składająca się z dwóch obrazów umieszczonych obok siebie, z których jeden przedstawia figurę z czerwonym znakiem „x”, a drugi tę samą figurę bez znaku.
Ilustracja 6. Memy wygenerowane przez sztuczną inteligencję oskarżają kandydata DPP na prezydenta Williama Lai o defraudację funduszy z tajwańskiego programu rozwoju infrastruktury. Memy te zawierały uproszczone znaki (używane w ChRL, ale nie na Tajwanie) i były częścią serii, która pokazywała codzienne „odliczanie do odsunięcia DPP od władzy”.
Infografika osi czasu przedstawiająca wpływ zawartości generowanej przez sztuczną inteligencję na wybory na Tajwanie od grudnia 2023 r. do stycznia 2024 r.
Ilustracja 7. Oś czasu zawartości generowanej i poprawianej przez sztuczną inteligencję, która pojawiła się w kampanii do wyborów prezydenta i parlamentu Tajwanu w styczniu 2024 r. Grupa Storm-1376 wzmocniła kilka z tych elementów zawartości i odpowiadała za tworzenie zawartości w dwóch kampaniach.

Grupa Storm-1376 kontynuuje reaktywne kampanie informacyjne, obejmujące czasami wątki konspiracyjne

Grupa Storm-1376, której operacje wywierania wpływu obejmują ponad 175 witryn internetowych i 58 języków, w dalszym ciągu często organizuje reaktywne kampanie informacyjne dotyczące głośnych wydarzeń geopolitycznych, w szczególności przedstawiające Stany Zjednoczone w niekorzystnym świetle lub wspierające interesy KPCh w regionie Azji i Pacyfiku (APAC). Od czasu naszego ostatniego raportu z września 2023 roku kampanie te ewoluowały na kilka ważnych sposobów. Chodzi między innymi o wykorzystywanie zdjęć wygenerowanych przez sztuczną inteligencję w celu wprowadzania odbiorców w błąd, podsycanie treści konspiracyjnych, szczególnie skierowanych przeciwko rządowi Stanów Zjednoczonych, oraz kierowanie zlokalizowanych treści do ​​nowych populacji, takich jak Korea Południowa.

1. Twierdzenie, że „broń pogodowa” rządu Stanów Zjednoczonych wywołała pożary na Hawajach

W sierpniu 2023 roku, gdy na północno-zachodnim wybrzeżu Maui na Hawajach szalały pożary, grupa Storm-1376 wykorzystała okazję do szerzenia teorii spiskowych na wielu platformach mediów społecznościowych. We wpisach tych zarzucano rządowi Stanów Zjednoczonych dokonanie celowych podpaleń w celu przetestowania „broni pogodowej” klasy wojskowej. Oprócz opublikowania tego typu tekstów w co najmniej 31 językach na kilkudziesięciu stronach internetowych i platformach grupa Storm-1376 wykorzystała wygenerowane przez sztuczną inteligencję zdjęcia płonących nadmorskich dróg i domów, aby skuteczniej przyciągnąć uwagę do tych treści8.

Złożony obraz z pieczątką „fałszywe” na scenach przedstawiających dramatyczne pożary.
Ilustracja 8. Grupa Storm-1376 opublikowała w kilka dni po wybuchu pożarów lasów konspiracyjną zawartość z zarzutami, że pożary były skutkiem testowania przez rząd Stanów Zjednoczonych „broni meteorologicznej”. Tym wpisom często towarzyszyły wygenerowane przez sztuczną inteligencję zdjęcia ogromnych pożarów.

2. Nagłaśnianie oburzenia dotyczącego wypuszczenia przez Japonię ścieków nuklearnych

Grupa Storm-1376 wdrożyła szeroko zakrojoną agresywną kampanię informacyjną, w której krytykowano rząd Japonii po tym, jak 24 sierpnia 2023 roku kraj ten rozpoczął wypuszczanie oczyszczonych ścieków skażonych substancjami radioaktywnymi do Oceanu Spokojnego9. Treść autorstwa grupy Storm-1376 podaje w wątpliwość ocenę naukową Międzynarodowej Agencji Energii Atomowej (MAEA), zgodnie z którą to uwolnienie było bezpieczne. Grupa Storm-1376 masowo wysyłała wiadomości na platformach mediów społecznościowych w wielu językach, w tym w japońskim, koreańskim i angielskim. W niektórych treściach oskarżano nawet Stany Zjednoczone o celowe zatruwanie innych krajów w celu utrzymania „hegemonii wodnej”. Treści wykorzystane w tej kampanii mają cechy materiałów wygenerowanych przez sztuczną inteligencję.

W niektórych przypadkach grupa Storm-1376 ponownie wykorzystywała treści używane przez inne źródła zagrożeń należące do chińskiego ekosystemu propagandy, w tym influencerów społecznościowych powiązanych z chińskimi mediami państwowymi10. Należący do grupy Storm-1376 influencerzy i źródła przekazały do Internetu trzy identyczne filmy, w których krytykowano wypuszczenie ścieków w Fukushimie. Na przestrzeni 2023 roku wzrastała liczba takich przypadków wpisów pochodzących od różnych źródeł zagrożeń wykorzystujących identyczne treści w sposób niemal jednoczesny — co może wskazywać na kierowane działania lub koordynację przekazu.

Złożony obraz z satyryczną ilustracją osób na zrzucie ekranu filmu przedstawiający godzillę oraz wpis w mediach społecznościowych
Ilustracja 9. Wygenerowane przez sztuczną inteligencję memy i obrazy wyrażające krytyczne opinie o odprowadzeniu ścieków z Fukushimy pochodzące z tajnych chińskich zasobów IO (z lewej) oraz od chińskich urzędników państwowych (na środku). Influencerzy stowarzyszeni z mediami należącymi do państwa chińskiego także nagłaśniali zgodne z linią rządową komunikaty krytykujące odprowadzanie ścieków (z prawej).

3. Podsycanie niezgody w Korei Południowej

W związku z wypuszczeniem ścieków w Fukushimie grupa Storm-1376 przeprowadziła skoncentrowane działania wycelowane w Koreę Południową, w których wykorzystano zlokalizowane treści nagłaśniające protesty w kraju przeciwko temu wypuszczeniu, a także treści krytyczne wobec japońskiego rządu. Kampania ta obejmowała setki wpisów w języku koreańskim na wielu platformach i w wielu witrynach internetowych, w tym w południowokoreańskich witrynach społecznościowych, takich jak Kakao Story, Tistory i Velog.io11.

W ramach tej skoncentrowanej kampanii grupa Storm-1376 aktywnie nagłaśniała komentarze i działania Lee Jae-myunga (이재명, 李在明), przywódcy partii Minjoo i przegranego kandydata na prezydenta z 2022 roku. Lee krytykował posunięcie Japonii jako „terroryzm z użyciem skażonej wody” i równoznaczne z „drugą wojną na Pacyfiku”. Oskarżył także urzędujący rząd Korei Południowej o „wspólnictwo przez wspieranie” decyzji Japonii i w ramach protestu rozpoczął strajk głodowy, który trwał 24 dni12.

Pasek komiksowy z czterema okienkami dotyczący skażenia środowiska i jego wpływu na życie morskie.
Ilustracja 10. Memy w języku koreańskim z południowokoreańskiej platformy blogów Tistory nagłaśniające niezgodę na odprowadzenie ścieków z Fukushimy.

4. Wykolejenie w Kentucky

W trakcie Święta Dziękczynienia w listopadzie 2023 roku w hrabstwie Rockcastle w stanie Kentucky wykoleił się pociąg przewożący stopioną siarkę. Około tydzień po wykolejeniu grupa Storm-1376 rozpoczęła w mediach społecznościowych kampanię, w której nagłaśniano to wykolejenie, szerzono teorie spiskowe skierowane przeciwko rządowi Stanów Zjednoczonych i podkreślano podziały polityczne wśród amerykańskich wyborców, co miało na celu wywołanie nieufności wobec rządu Stanów Zjednoczonych i rozczarowania nim. Grupa Storm-1376 nawoływała odbiorców, aby zastanowili się, czy rząd Stanów Zjednoczonych nie spowodował tego wykolejenia i czy „celowo czegoś nie ukrywa”13. W niektórych przekazach informacyjnych łączono nawet to wykolejenie z teoriami dotyczącymi tuszowania wydarzeń z 11 września i ataku na Pearl Harbor14.

Marionetki wykorzystywane w chińskich operacjach wywierania wpływu zbierają poglądy na tematy polityczne dotyczące Stanów Zjednoczonych

W naszym raporcie z września 2023 roku zwracaliśmy uwagę na to, jak powiązane z KPCh konta w mediach społecznościowych zaczęły podszywać się pod amerykańskich wyborców, udając Amerykanów reprezentujących całe spektrum polityczne i odpowiadając na komentarze autentycznych użytkowników15. Te działania mające na celu wywarcie wpływu na wybory śródokresowe w Stanach Zjednoczonych w 2022 roku były pierwszymi tego typu wśród obserwowanych chińskich operacji wywierania wpływu.

Centrum analizy zagrożeń Microsoft (MTAC) zaobserwowało niewielki, lecz stały wzrost liczby dodatkowych kont marionetek, których prowadzenie z umiarkowaną pewnością przypisujemy KPCh. W serwisie X (dawniej: Twitter) konta te utworzono już w 2012 lub 2013 roku, ale wpisy mające pochodzić od bieżących osób z nimi związanych zaczęto publikować dopiero na początku 2023 roku, co sugeruje, że konta te uzyskano niedawno lub że zmieniono ich przeznaczenie. Te marionetki publikują zarówno oryginalnie wyprodukowane filmy, memy oraz infografiki, jak i ponownie wykorzystywane treści pochodzące z innych znanych kont politycznych. Treści publikowane na tych kontach dotyczą niemal wyłącznie kwestii wewnętrznych Stanów Zjednoczonych — od amerykańskich problemów z używaniem narkotyków po politykę imigracyjną i napięcia na tle rasowym — jednak czasami pojawiają się na nich komentarze na tematy z obszaru zainteresowań Chin, takie jak wypuszczenie ścieków w Fukushimie czy chińscy dysydenci.

Zrzut ekranu przedstawiający komputer z tekstem odnoszącym się do wojny i konfliktów, relacji z pościgu za kartelami narkotykowymi itp.
Ilustracja 11. Na przestrzeni lata i jesieni chińskie marionetki i osoby często używały wzbudzających zainteresowanie elementów wizualnych — czasem poprawianych przez generatywną AI — w swoich wpisach podczas omawiania bieżących wydarzeń i kwestii politycznych związanych ze Stanami Zjednoczonymi.
Oprócz publikowania politycznie umotywowanych infografik i filmów na tych kontach często pojawiają się pytania do obserwujących o to, czy zgadzają się z danym tematem. Na niektórych z tych kont publikowano wpisy na temat różnych kandydatów na prezydenta, a następnie proszono obserwujących o poinformowanie w komentarzach, czy wspierają tych kandydatów, czy nie. Ta taktyka może służyć generowaniu dodatkowego zaangażowania lub zbieraniu informacji na temat poglądów Amerykanów na politykę Stanów Zjednoczonych. Więcej takich kont może działać w celu zbierania większych ilości danych wywiadowczych na temat kluczowych grup demograficznych wyborców w Stanach Zjednoczonych.
Porównanie na obrazie z podzielonego ekranu: z lewej wojskowy odrzutowiec startujący z lotniskowca, a z prawej grupa osób siedzących za barierą
Ilustracja 12. Chińskie marionetki zbierające opinie na tematy polityczne od innych użytkowników w serwisie X

W 2023 roku północnokoreańskie źródła zagrożeń ukradły setki milionów dolarów w kryptowalutach oraz prowadziły ataki na łańcuchy zaopatrzenia oprogramowania i działania wymierzone w cele postrzegane jako wrogów bezpieczeństwa narodowego. Ich operacje generują dochody dla rządu Korei Północnej — szczególnie dla programu zbrojeniowego — oraz pozwalają zbierać dane wywiadowcze na temat Stanów Zjednoczonych, Korei Południowej i Japonii16.

Infografika przedstawiająca najczęściej atakowane przez cyberzagrożenia sektory i kraje.
Ilustracja 13. Najczęściej atakowane przez Koreę Północną sektory i kraje od czerwca 2023 r. do stycznia 2024 r. na podstawie danych o powiadomieniach państw narodowych z Analizy zagrożeń Microsoft.

Północnokoreańskie źródła zagrożeń ukradły kryptowaluty w rekordowej kwocie, aby wygenerować dochód dla państwa.

Organizacja Narodów Zjednoczonych szacuje, że od 2017 roku północnokoreańskie cybergrupy ukradły kryptowaluty o wartości ponad 3 mld USD17. Tylko w 2023 roku miały miejsce kradzieże na łączną kwotę o wartości od 600 mln do miliarda USD. Te skradzione środki służą podobno finansowaniu ponad połowy programu nuklearnego i rakietowego kraju, umożliwiając Korei Północnej rozbudowywanie i testowanie arsenału broni mimo sankcji18. Korea Północna przeprowadziła w ciągu ostatniego roku liczne testy rakietowe i ćwiczenia wojskowe, a 21 listopada 2023 roku nawet pomyślnie wystrzeliła w przestrzeń kosmiczną wojskowego satelitę rozpoznawczego19.

Trzy śledzone przez firmę Microsoft źródła zagrożeń — Jade Sleet, Sapphire Sleet i Citrine Sleet — od czerwca 2023 roku najbardziej skupiają się na celach kryptowalutowych. Grupa Jade Sleet dokonała dużych kradzieży kryptowalut, natomiast grupa Sapphire Sleet przeprowadziła mniejsze, ale częstsze operacje kradzieży kryptowalut. Firma Microsoft przypisała grupie Jade Sleet kradzież co najmniej 35 mln USD z estońskiej firmy zajmującej się kryptowalutami na początku czerwca 2023 roku. Firma Microsoft przypisała grupie Jade Sleet także kradzież ponad 125 mln USD z singapurskiej platformy kryptowalutowej mającą miejsce miesiąc później. Grupa Jade Sleet zaczęła naruszać zabezpieczenia kasyn online obsługujących kryptowaluty w sierpniu 2023 roku.

Grupa Sapphire Sleet nieustannie naruszała zabezpieczenia wielu pracowników, w tym kadry kierowniczej i programistów, w organizacjach venture capital, zajmujących się kryptowalutami i innych organizacjach finansowych. Grupa Sapphire Sleet opracowała też nowe techniki, jak na przykład wysyłanie fałszywych zaproszeń na spotkania wirtualne z linkami do domen należących do atakujących i rejestrowanie fałszywych witryn rekrutacyjnych. Grupa Citrine Sleet w ramach kontynuacji po ataku na łańcuch zaopatrzenia firmy 3CX w marcu 2023 roku naruszyła zabezpieczenia znajdującej się na dalszym etapie tego łańcucha tureckiej firmy zajmującej się kryptowalutami i aktywami cyfrowymi. Firma, która padła ofiarą ataku, hostowała podatną na ataki wersję aplikacji 3CX powiązaną z tym naruszeniem zabezpieczeń łańcucha zaopatrzenia.

Operacje spersonalizowanego wyłudzania informacji i ataki na łańcuchy zaopatrzenia oprogramowania północnokoreańskich cybergrup zagrażają sektorowi informatycznemu

Północnokoreańskie źródła zagrożeń przeprowadziły też ataki na łańcuchy zaopatrzenia oprogramowania firm informatycznych, wskutek czego uzyskały dostęp do klientów znajdujących się na dalszych etapach tych łańcuchów. Grupa Jade Sleet użyła repozytoriów GitHub i uzbrojonych pakietów npm w kampanii spersonalizowanego wyłudzania informacji z wykorzystaniem inżynierii społecznej, której celem byli pracownicy organizacji zajmujących się kryptowalutami i organizacji technologicznych20. Atakujący podszywali się pod programistów lub rekruterów, zapraszali atakowane osoby do współpracy nad repozytorium GitHub oraz przekonywali je do sklonowania i wykonania jego zawartości, w której znajdowały się złośliwe pakiety npm. W sierpniu 2023 roku grupa Diamond Sleet naruszyła zabezpieczenia łańcucha zaopatrzenia niemieckiej firmy informatycznej i uzbroiła aplikację tajwańskiej firmy informatycznej w celu przeprowadzenia ataku na łańcuch zaopatrzenia w listopadzie 2023 roku. Zarówno grupa Diamond Sleet, jak i grupa Onyx Sleet wykorzystały lukę CVE-2023-42793 oprogramowania TeamCity w październiku 2023 roku. Umożliwia ona atakującemu przeprowadzenie ataku polegającego na zdalnym wykonaniu kodu i przejęciu kontroli administracyjnej nad serwerem. Grupa Diamond Sleet wykorzystała tę technikę do naruszenia zabezpieczeń setek celów w różnych branżach w Stanach Zjednoczonych i w krajach europejskich, w tym w Zjednoczonym Królestwie, Danii, Irlandii i Niemczech. Grupa Onyx Sleet wykorzystała tę samą lukę do naruszenia zabezpieczeń co najmniej 10 celów ataków — w tym dostawcy oprogramowania w Australii i agencji administracji publicznej w Norwegii — a następnie za pomocą narzędzi stosowanych po naruszeniu zabezpieczeń uruchomiła dodatkowe ładunki.

Północnokoreańskie źródła zagrożeń atakowały Stany Zjednoczone, Koreę Południową i ich sojuszników

Północnokoreańskie źródła zagrożeń w dalszym ciągu atakowały cele postrzegane jako wrogów bezpieczeństwa narodowego. Te cyberdziałania stanowiły przykład realizacji celu geopolitycznego Korei Północnej, jakim jest przeciwstawianie się sojuszowi trójstronnemu między Stanami Zjednoczonymi, Koreą Południową i Japonią. Przywódcy tych trzech krajów umocnili to partnerstwo podczas szczytu w Camp David w sierpniu 2023 roku21. Grupy Ruby Sleet i Onyx Sleet zgodnie z dotychczasowymi trendami dalej atakowały organizacje z branży lotniczej i obronnej w Stanach Zjednoczonych i Korei Południowej. Grupa Emerald Sleet kontynuowała kampanię polegającą na prowadzeniu rozpoznania i spersonalizowanym wyłudzaniu informacji, której celami byli dyplomaci i eksperci ds. Półwyspu Koreańskiego w administracjach publicznych, ośrodkach analitycznych/organizacjach pozarządowych, mediach i instytucjach edukacyjnych. W czerwcu 2023 roku grupa Pearl Sleet kontynuowała działania wymierzone w podmioty z Korei Południowej współpracujące z północnokoreańskimi uciekinierami i aktywistami zajmującymi się kwestiami praw człowieka w Korei Północnej. W ocenie firmy Microsoft ​​motywem tych działań jest zbieranie informacji wywiadowczych.

Północnokoreańskie grupy wdrażają „tylne wejścia” w legalnym oprogramowaniu

Północnokoreańskie źródła zagrożeń posługiwały się też tzw. „tylnymi wejściami” (backdoor) w legalnym oprogramowaniu, wykorzystując luki w istniejącym oprogramowaniu. W pierwszej połowie 2023 roku grupa Diamond Sleet często wykorzystywała uzbrojone złośliwe oprogramowanie VNC do naruszania zabezpieczeń celów ataków. W lipcu 2023 roku grupa Diamond Sleet wznowiła też używanie uzbrojonego złośliwego oprogramowania do odczytu plików PDF, zestawu technik przeanalizowanych przez Centrum analizy zagrożeń Microsoft we wpisie w blogu z września 2022 roku22. Grupa Ruby Sleet prawdopodobnie także używała w grudniu 2023 roku zawierającego „tylne wejścia” instalatora południowokoreańskiego programu do obsługi dokumentów elektronicznych.

Korea Północna używała narzędzi sztucznej inteligencji, aby umożliwiać złośliwe cyberdziałania

Północnokoreańskie źródła zagrożeń przystosowują się do ery sztucznej inteligencji. Uczą się, jak używać narzędzi opartych na dużych modelach językowych (LLM) obsługiwanych przez sztuczną inteligencję, aby działać wydajniej i skuteczniej. Firmy Microsoft i OpenAI zaobserwowały na przykład wykorzystywanie przez grupę Emerald Sleet modeli LLM do ulepszania kampanii spersonalizowanego wyłudzania informacji ukierunkowanych na ekspertów ds. Półwyspu Koreańskiego23. Grupa Emerald Sleet wykorzystywała modele LLM do badania luk w zabezpieczeniach i przeprowadzania rozpoznania dotyczącego organizacji i ekspertów zajmujących się Koreą Północną. Grupa Emerald Sleet używała też modeli LLM do rozwiązywania problemów technicznych, wykonywania podstawowych zadań związanych ze skryptami i opracowywania wstępnych wersji treści wiadomości służących do spersonalizowanego wyłudzania informacji. Firma Microsoft nawiązała współpracę z firmą OpenAI na potrzeby eliminowania kont i zasobów powiązanych z grupą Emerald Sleet.

W październiku Chiny będą obchodzić 75. rocznicę powstania Chińskiej Republiki Ludowej. Natomiast Korea Północna będzie dalej realizować kluczowe programy rozwoju zaawansowanej broni. W międzyczasie w miarę tego, jak społeczeństwa w Indiach, Korei Południowej i Stanach Zjednoczonych przygotowują się, aby ruszyć do urn, prawdopodobnie będziemy obserwować, jak chińskie źródła cyberdziałań i wpływu oraz, w pewnym zakresie, północnokoreańskie cybergrupy będą podejmować działania ukierunkowane na te wybory.

Chiny podejmą działania obejmujące co najmniej tworzenie i nagłaśnianie wygenerowanych przez sztuczną inteligencję treści wspierających ich stanowiska w tych istotnych wyborach. Mimo że takie treści są w niewielkim stopniu w stanie zmienić decyzje grup odbiorców, coraz rozleglejsze eksperymenty Chin z ulepszaniem memów, filmów i materiałów dźwiękowych będą kontynuowane i w przyszłości mogą okazać się skuteczne. Chociaż chińskie cybergrupy od dawna prowadzą rozpoznanie dotyczące amerykańskich instytucji politycznych, oczekujemy, że będziemy obserwować, jak źródła wywierania wpływu będą wchodzić w interakcje z Amerykanami w celu generowania zaangażowania i potencjalnie badania poglądów dotyczących amerykańskiej polityki.

Wreszcie w miarę tego, jak Korea Północna wdraża nową politykę rządową i realizuje ambitne plany testowania broni, możemy spodziewać się coraz bardziej wyrafinowanych kradzieży kryptowalut i ataków na łańcuchy zaopatrzenia skierowanych przeciwko sektorowi obronnemu, które będą służyć zarówno gromadzeniu środków pieniężnych dla reżimu, jak i wspieraniu rozwijania nowych możliwości wojskowych.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 stycznia 2024 r., mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11 stycznia 2024 r., tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    „Probable PRC “Spamouflage” campaign targets dozens of Canadian Members of Parliament in disinformation campaign” (Prawdopodobna kampania chińskiej grupy „Spamouflage” wycelowana w kilkudziesięciu kanadyjskich członków parlamentu w ramach kampanii dezinformacyjnej), październik 2023 r.

  8. [8]
  9. [9]

    Wiele źródeł udokumentowało trwającą kampanię propagandową rządu chińskiego, która ma na celu wywołanie międzynarodowego oburzenia w związku z decyzją Japonii o wypuszczeniu ścieków nuklearnych powstałych podczas awarii nuklearnej w elektrowni Fukushima Dai-ichi w 2011 r., zobacz: China’s Disinformation Fuels Anger Over Fukushima Water Release”, 31 August 2023 (Dezinformacyjne działania Chin podsycają gniew w związku z uwolnieniem wody w Fukushimie), 31 sierpnia 2023 r.„Japan targeted by Chinese propaganda and covert online campaign” (Japonia celem chińskiej propagandy i ukrytej kampanii internetowej), 8 czerwca 2023 r.

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Operacje wywierania cyberwpływu Grupa państwowa Raporty dotyczące grup państwowych Inżynieria społeczna Źródła zagrożeń

Powiązane artykuły

Zwiększony zasięg i efektywność cyberzagrożeń ze strony Azji Wschodniej

Zapoznaj się z wyłaniającymi się trendami w rozwijającym się krajobrazie cyberzagrożeń Azji Wschodniej, gdzie Chiny przeprowadzają zarówno szeroko zakrojone operacje cybernetyczne, jak i działania w zakresie wywierania wpływu informacyjnego, a północno-koreańskie źródła cyberzagrożeń wykazują się rosnącym wyrafinowaniem.
Dowiedz się więcej

Wykorzystywanie ekonomii zaufania: oszustwo z użyciem inżynierii społecznej

Przyjrzyj się ewoluującemu krajobrazowi cyfrowemu, w którym zaufanie jest zarówno walutą, jak i słabym punktem. Poznaj najczęściej stosowane przez cyberprzestępców metody oszustw z użyciem inżynierii społecznej oraz przeanalizuj strategie pomagające zidentyfikować i przechytrzyć bazujące na inżynierii społecznej zagrożenia, które opierają się na manipulowaniu ludzką naturą.
Dowiedz się więcej

Iran intensyfikuje operacje wywierania wpływu z wykorzystaniem cybertechnologii w celu wspierania Hamasu

Poznaj szczegóły prowadzonych przez Iran operacji wywierania wpływu z wykorzystaniem cybertechnologii w celu wspierania Hamasu w Izraelu. Dowiedz się, jak przebiegały operacje na różnych etapach wojny, i przeanalizuj cztery kluczowe taktyki, techniki i procedury wywierania wpływu preferowane przez Iran.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft