Trace Id is missing

Rovnaké ciele, nové postupy: Aktéri hrozieb z východnej Ázie používajú jedinečné metódy

Stiahnuť
Zdieľať
Abstraktná ilustrácia námornej lode s grafickými červenými kruhmi a čiernymi sieťovými prvkami na ružovom pozadí.

Spoločnosť Microsoft od júna 2023 zaznamenala niekoľko pozoruhodných kybernetických a vplyvových trendov zo strany Číny a Severnej Kórey, ktoré dokazujú nielen ešte väčšie zameranie na známe ciele, ale aj pokusy o využitie sofistikovanejších vplyvových techník na dosiahnutie svojich cieľov.

Čínski kybernetickí aktéri si za posledných sedem mesiacov vo všeobecnosti vyberali tri oblasti cielenia:

  • Jedna skupina čínskych aktérov sa vo veľkej miere zameriavala na subjekty na ostrovoch južného Tichomoria.
  • Druhá skupina čínskych aktivít pokračoval v sérii kybernetických útokov proti regionálnym protivníkom v oblasti Juhočínskeho mora.
  • A tretí súbor čínskych aktérov ohrozoval obrannú priemyselnú základňu USA.

Čínski vplyvoví aktéri – namiesto rozširovania geografického rozsahu svojich cieľov – zdokonaľovali svoje techniky a experimentovali s novými médiami. Čínske vplyvové kampane pokračovali v zdokonaľovaní obsahu vytvoreného alebo vylepšeného umelou inteligenciou. Vplyvoví aktéri, ktorí sú za týmito kampaňami, preukázali ochotu rozširovať médiá generované umelou inteligenciou, ktoré sú prospešné pre ich strategické naratívy, ako aj vytvárať vlastné videá, mémy a zvukový obsah. Takáto taktika sa používa v kampaniach, ktoré podnecujú rozpory v USA a prehlbujú roztržky v ázijsko-tichomorskom regióne – vrátane Taiwanu, Japonska a Južnej Kórey. Tieto kampane dosiahli rôznu úroveň odozvy bez jediného vzorca, ktorý by priniesol konzistentné zapojenie publika.

Severokórejskí kybernetickí aktéri sa v uplynulom roku dostali na titulky novín pre čoraz častejšie útoky na dodávateľský reťazec softvéru a lúpeže kryptomien. Zatiaľ čo strategické spear-phishingové kampane zamerané na výskumníkov, ktorí študujú Kórejský polostrov, zostali stálym trendom, severokórejskí aktéri hrozieb zrejme vo väčšej miere využívali legitímny softvér na ohrozenie ešte väčšieho počtu obetí.

Skupina Gingham Typhoon sa zameriava na vládne, IT a nadnárodné subjekty na ostrovoch južného Tichomoria

Počas leta 2023 služba Microsoft Analýza hrozieb zaznamenala rozsiahlu aktivitu špionážnej skupiny Gingham Typhoon so sídlom v Číne, ktorá sa zamerala na takmer všetky ostrovné krajiny južného Tichomoria. Skupina Gingham Typhoon je najaktívnejším aktérom v tomto regióne a komplexnými phishingovými kampaňami útočí na medzinárodné organizácie, vládne subjekty a IT sektor. Medzi obeťami boli aj hlasní kritici čínskej vlády.

Medzi diplomatických spojencov Číny, ktorí sa stali obeťami nedávnej aktivity skupiny Gingham Typhoon, patria výkonné úrady vo vláde, ministerstvá súvisiace s obchodom, poskytovatelia internetových služieb, ako aj dopravný úrad.

Zvýšená geopolitická a diplomatická súťaž v regióne môže byť motiváciou pre tieto útočné kybernetické aktivity. Čína nadväzuje strategické partnerstvá s ostrovnými štátmi južného Tichomoria s cieľom rozšíriť hospodárske väzby a sprostredkovať diplomatické a bezpečnostné dohody. Čínska kybernetická špionáž v tomto regióne sleduje aj ekonomických partnerov.

Čínski aktéri sa napríklad vo veľkom meradle zamerali na nadnárodné organizácie v Papue-Novej Guinei, ktorá je dlhoročným diplomatickým partnerom a ktorá profituje z viacerých projektov iniciatívy Jeden pás, jedna cesta (BRI) vrátane výstavby hlavnej diaľnice, ktorá spája vládnu budovu Papuy-Novej Guiney s hlavnou cestou v hlavnom meste.1

Mapa znázorňujúca frekvenciu cielených kybernetických hrozieb v tichomorských ostrovných štátoch, s väčšími kruhmi
Obrázok 1: Pozorované udalosti od skupiny Gingham Typhoon od júna 2023 do januára 2024. Táto aktivita zdôrazňuje ich pokračujúce zameranie na ostrovné krajiny južného Tichomoria. Veľká časť tohto zamerania však prebiehala priebežne, čo je odrazom dlhoročného zamerania na tento región. Zemepisné polohy a priemer symboliky sú obrazné.

Čínski aktéri hrozieb sa naďalej zameriavajú na Juhočínske more uprostred vojenských cvičení Západu

Aktéri hrozieb z Číny sa naďalej zameriavali na subjekty súvisiace s hospodárskymi a vojenskými záujmami Číny v Juhočínskom mori a jeho okolí. Títo aktéri oportunisticky ohrozovali obete z prostredia vlád a telekomunikácií v Združení krajín juhovýchodnej Ázie (ASEAN). Zdá sa, že kybernetickí aktéri napojení na čínsky štát sa zaujímali najmä o ciele súvisiace s početnými vojenskými cvičeniami USA v regióne. V júni 2023 skupina Raspberry Typhoon na úrovni národného štátu so sídlom v Číne úspešne zaútočila na vojenské a exekutívne subjekty v Indonézii a na malajzijský námorný systém v týždňoch pred zriedkavým multilaterálnym námorným cvičením za účasti Indonézie, Číny a Spojených štátov.

Podobne sa na subjekty súvisiace s americko-filipínskymi vojenskými cvičeniami zameral aj ďalší čínsky kybernetický aktér, Flax Typhoon. Skupina Flax Typhoon, ďalší aktér hrozieb pochádzajúci z Číny, v tomto období ohrozovala predovšetkým telekomunikačné subjekty v regióne, pričom jej obeťami boli Indonézia, Malajzia, Filipíny, Kambodža a Taiwan.

Od uverejnenia blogu spoločnosti Microsoft o skupine Flax Typhoon spoločnosť Microsoft zaznamenala začiatkom jesene a v zime 2023 nové ciele skupiny Flax Typhoon na Filipínach, v Hongkongu, Indii a Spojených štátoch.2 Tento aktér často útočí aj na telekomunikačný sektor, čo často vedie k mnohým následným účinkom.

Mapa zobrazujúca údaje služby Microsoft Analýza hrozieb o najčastejšie napadnutých regiónoch v Ázii
Obrázok 2: Pozorované udalosti zamerané na krajiny v Juhočínskom mori alebo v jeho okolí od skupín Flax Typhoon, Granite Typhoon alebo Raspberry Typhoon. Zemepisné polohy a priemer symboliky sú obrazné.

Skupina Nylon Typhoon ohrozuje subjekty zahraničných vecí po celom svete

Aktér hrozieb Nylon Typhoon z Číny pokračuje vo svojej dlhodobej praxi zameranej na subjekty zahraničných vecí v krajinách po celom svete. Od júna do decembra 2023 spoločnosť Microsoft pozorovala skupinu Nylon Typhoon vo vládnych inštitúciách v Južnej Amerike vrátane Brazílie, Guatemaly, Kostariky a Peru. Tento aktér hrozby bol zaznamenaný aj v Európe, kde ohrozoval vládne subjekty v Portugalsku, Francúzsku, Španielsku, Taliansku a Spojenom kráľovstve. Hoci väčšinu európskych cieľov tvorili vládne subjekty, napadnuté boli aj niektoré IT spoločnosti. Účelom tohto zamerania je získavanie spravodajských informácií.

Čínsky aktér hrozby sa zameriava na vojenské subjekty a kritickú infraštruktúru v USA

Napokon, na jeseň a v zime 2023 sa prudko zvýšila aktivita skupiny Storm-0062. Veľká časť tejto aktivity ohrozuje vládne subjekty USA súvisiace s obranou vrátane dodávateľov, ktorí poskytujú technické inžinierske služby v oblasti letectva, obrany a prírodných zdrojov, ktoré sú dôležité pre národnú bezpečnosť USA. Okrem toho sa skupina Storm-0062 opakovane zameriavala na vojenské subjekty v Spojených štátoch; nie je však jasné, či bola pri svojich pokusoch o napadnutie úspešná.

Obranná priemyselná základňa USA je naďalej cieľom aj skupiny Volt Typhoon. V máji 2023 spoločnosť Microsoft pripísala útoky na organizácie kritickej infraštruktúry USA skupine Volt Typhoon, štátom sponzorovanému aktérovi so sídlom v Číne. Skupina Volt Typhoon získala prístup k sieťam organizácií pomocou techník „living-off-the-land“ a aktivity typu „ruky na klávesnici“.3 Tieto taktiky umožnili skupine Volt Typhoon nenápadne udržiavať neoprávnený prístup do cieľových sietí. Od júna 2023 do decembra 2023 sa skupina Volt Typhoon naďalej zameriaval na kritickú infraštruktúru, ale pokračovala aj v rozvoji zdrojov tým, že ohrozovala zariadenia malých a domácich kanceláriách (SOHO) v USA.

V našej správe zo septembra 2023 sme podrobne opísali, ako čínske prostriedky vplyvových operácií začali používať generatívnu umelú inteligenciu na vytváranie elegantného a pútavého vizuálneho obsahu. Počas celého leta služba Microsoft Analýza hrozieb pokračovala v identifikácii mémov generovaných umelou inteligenciou, ktoré boli zamerané na Spojené štáty, posilňovali kontroverzné domáce problémy a kritizovali súčasnú administratívu. Aktéri vplyvových operácií napojení na Čínu naďalej využívali médiá obohatené a generované umelou inteligenciou (ďalej len „obsah umelej inteligencie“) vo vplyvových kampaniach, ktorých objem a frekvencia sa počas roka zvyšovali.

AI prudko stúpa (ale nedokáže ovplyvňovať)

Najplodnejším z týchto aktérov využívajúcich obsah umelej inteligencie je Storm-1376 – označenie spoločnosti Microsoft pre aktéra prepojeného s Komunistickou stranou Číny, ktorý je všeobecne známy ako „Spamouflage“ alebo „Dragonbridge“. Do zimy začali ďalší aktéri prepojení s Komunistickou stranou Číny používať širšiu škálu obsahu umelej inteligencie na rozšírenie online vplyvových operácií. Zahŕňa to výrazné zvýšenie objemu obsahu, v ktorom vystupujú taiwanské politické osobnosti, k čomu došlo v súvislosti s blížiacimi sa prezidentskými a parlamentnými voľbami, ktoré sa uskutočnia 13. januára. Služba Microsoft Analýza hrozieb bola prvýkrát svedkom toho, že aktér na úrovni národného štátu použil obsah umelej inteligencie pri pokusoch o ovplyvnenie zahraničných volieb.

Zvuk generovaný umelou inteligenciou: V deň volieb na Taiwane zverejnila skupina Storm-1376 podozrivé umelou inteligenciou generované zvukové nahrávky majiteľa spoločnosti Foxconn Terryho Goua, kandidáta nezávislej strany v prezidentských voľbách na Taiwane, ktorý sa v novembri 2023 vzdal kandidatúry. Zvukové nahrávky zachytávali hlas Goua, ktorý podporoval iného kandidáta v prezidentských voľbách. Hlas Goua na nahrávkach je pravdepodobne generovaný umelou inteligenciou, pretože Gou takéto vyhlásenie neurobil. YouTube rýchlo zakročil proti tomuto obsahu skôr, ako sa dostal k významnému počtu používateľov. Tieto videá nasledovali niekoľko dní po tom, čo sa na internete objavil falošný list od Terryho Goua, ktorý podporoval toho istého kandidáta. Popredné taiwanské organizácie na overovanie faktov tento list vyvrátili. Gouova kampaň tiež uviedla, že list nie je pravdivý a že v reakcii naň podnikne právne kroky.4 Gou oficiálne nepodporil žiadneho z prezidentských kandidátov v tomto súboji.
Muž v obleku reční na pódiu s čínskym textom a grafikou zvukovej vlny v popredí.
Obrázok 3: Vo videách, ktoré zverejnila skupina Storm-1376, sa použili hlasové nahrávky Terryho Goua vygenerované umelou inteligenciou, aby vyzeral, akoby podporoval iného kandidáta.
Hlásatelia generovaní umelou inteligenciou: V rôznych kampaniach, v ktorých vystupovali taiwanskí predstavitelia5, ako aj v správach o Mjanmarsku, sa objavili hlásatelia správ generovaní umelou inteligenciou technologickými spoločnosťami tretích strán pomocou nástroja Capcut čínskej technologickej spoločnosti ByteDance. Skupina Storm-1376 využíva takýchto hlásateľov správ generovaných umelou inteligenciou prinajmenšom od februára 20236, ale objem jej obsahu s týmito hlásateľmi sa v posledných mesiacoch zvýšil.
Koláž vojenského vozidla
Obrázok 4: Skupina Storm-1376 zverejnila videá v mandarínskej čínštine a v angličtine, v ktorých tvrdí, že za nepokoje v Mjanmarsku sú zodpovedné Spojené štáty a India. Ten istý hlásateľ vygenerovaný umelou inteligenciou sa používa v niektorom z týchto videí.
Videá vylepšené umelou inteligenciou: Ako odhalila kanadská vláda a ďalší výskumníci, v kampani zameranej na kanadských poslancov sa na videách vylepšených umelou inteligenciou používala podobizeň čínskeho disidenta žijúceho v Kanade.7 Tieto videá, ktoré boli len jednou časťou multiplatformovej kampane, ktorá zahŕňala obťažovanie kanadských politikov na ich kontách na sociálnych sieťach, falošne zobrazovali disidenta, ktorý sa negatívne vyjadroval o kanadskej vláde. Podobné videá vylepšené umelou inteligenciou boli proti tomuto disidentovi použité už skôr.
Osoba sediaca za stolom
Obrázok 5: Deepfake videá vytvorené s podporou umelej inteligencie, na ktorých sa disident hanlivo vyjadruje o náboženstve. Hoci tieto videá využívajú podobnú taktiku ako kampaň v Kanade, z hľadiska obsahu sa zdajú byť nesúvisiace.
Mémy generované umelou inteligenciou: Skupina Storm-1376 v decembri propagovala sériu mémov generovaných umelou inteligenciou s vtedajším prezidentským kandidátom Taiwanskej demokratickej pokrokovej strany (DPP) Williamom Laiom s motívom odpočítavania „X dní“ do odstavenia DPP od moci.
Grafické znázornenie s dvoma obrázkami vedľa seba, z ktorých jeden obsahuje číslo s červeným x a druhý to isté číslo bez značky
Obrázok 6: Mémy vygenerované umelou inteligenciou obviňujú prezidentského kandidáta strany DPP Williama Laia zo sprenevery finančných prostriedkov z taiwanského programu rozvoja perspektívnej infraštruktúry. Tieto mémy obsahovali zjednodušené znaky (používané v Číne, no nie na Taiwane) a boli súčasťou série, ktorá zobrazovala každodenné „odpočítavanie na odstavenie strany DPP od moci“.
Infografika s časovou osou zobrazujúcou vplyv obsahu vygenerovaného umelou inteligenciou na voľby na Taiwane od decembra 2023 do januára 2024.
Obrázok 7: Časová os obsahu vygenerovaného a vylepšeného umelou inteligenciou, ktorý sa objavil pred prezidentskými a parlamentnými voľbami na Taiwane v januári 2024. Spoločnosť Storm-1376 zosilnila niekoľko z týchto častí obsahu a bola zodpovedná za vytvorenie obsahu v dvoch kampaniach.

Skupina Storm-1376 pokračuje v reakčných správach, niekedy s konšpiračnými naratívmi

Storm-1376 – aktér, ktorého vplyvové operácie pokrývajú viac ako 175 webových stránok a 58 jazykov – naďalej často organizuje reakčné informačné kampane v súvislosti s významnými geopolitickými udalosťami, najmä tými, ktoré vykresľujú Spojené štáty v nepriaznivom svetle alebo podporujú záujmy Komunistickej strany Číny v regióne APAC. Od našej poslednej správy zo septembra 2023 sa tieto kampane vyvinuli niekoľkými dôležitými spôsobmi vrátane začlenenia fotografií generovaných umelou inteligenciou s cieľom zavádzať publikum, podnecovania konšpiračného obsahu – najmä proti vláde USA – a cielenia na nové populácie, ako je Južná Kórea, s lokalizovaným obsahom.

1. Tvrdenie, že požiare na Havaji spôsobila „meteorologická zbraň“ vlády USA

V auguste 2023, keď na severozápadnom pobreží havajského ostrova Maui zúrili lesné požiare, využila skupina Storm-1376 príležitosť šíriť konšpiračné príbehy na viacerých platformách sociálnych sietí. V týchto príspevkoch sa tvrdilo, že vláda USA úmyselne založila požiare, aby otestovala vojenskú „meteorologickú zbraň“. Okrem zverejnenia textu v najmenej 31 jazykoch na desiatkach webových stránok a platforiem použila skupina Storm-1376 na zvýšenie pútavosti obsahu obrázky horiacich pobrežných ciest a obydlí vytvorené umelou inteligenciou.8

Kompozitný obrázok s pečiatkou „falošné“ nad scénami dramatických požiarov.
Obrázok 8: Skupina Storm-1376 zverejnila konšpiračný obsah niekoľko dní po vypuknutí lesných požiarov a tvrdila, že požiare boli výsledkom testovania „meteorologickej zbrane“ vládou USA. Tieto príspevky boli často sprevádzané fotografiami rozsiahlych požiarov generovanými umelou inteligenciou.

2. Zvyšovanie rozhorčenia nad likvidáciou jadrovej odpadovej vody v Japonsku

Skupina Storm-1376 spustila rozsiahlu agresívnu informačnú kampaň kritizujúcu japonskú vládu po tom, ako Japonsko začalo 24. augusta 2023 vypúšťať do Tichého oceánu upravenú rádioaktívnu odpadovú vodu.9 Obsah kampane skupiny Storm-1376 spochybňoval vedecké hodnotenie Medzinárodnej agentúry pre atómovú energiu (MAAE), podľa ktorého bolo zneškodňovanie odpadu bezpečné. Skupina Storm-1376 rozosielala správy na platformách sociálnych sietí v mnohých jazykoch vrátane japončiny, kórejčiny a angličtiny. V niektorom obsahu sa dokonca obviňovali Spojené štáty, že zámerne otravujú iné krajiny, aby si udržali „vodnú hegemóniu“. Obsah použitý v tejto kampani nesie znaky generovania umelou inteligenciou.

V niektorých prípadoch skupina Storm-1376 recyklovala obsah, ktorý používali iní aktéri v čínskom propagandistickom ekosystéme vrátane influencerov na sociálnych sieťach napojených na čínske štátne médiá.10 Influenceri a aktéri patriaci do skupiny Storm-1376 nahrali tri identické videá, ktoré kritizovali vypúšťanie odpadových vôd z Fukušimy. Takýchto prípadov príspevkov od rôznych aktérov, ktorí používajú identický obsah zdanlivo v súzvuku – čo môže naznačovať koordináciu alebo režírovanie správ – v priebehu roka 2023 pribúdalo.

Zložený obrázok obsahujúci satirickú ilustráciu ľudí, snímku obrazovky videa zobrazujúceho godzillu a príspevok na sociálnej sieti
Obrázok 9: Mémy a obrázky generované umelou inteligenciou, ktoré kritizujú likvidáciu odpadových vôd vo Fukušime, od čínskych tajných agentov (vľavo) a čínskych vládnych predstaviteľov (v strede). Influenceri spojení s čínskymi štátnymi médiami tiež posilnili vládne správy kritizujúce likvidáciu (vpravo).

3. Podnecovanie nezhôd v Južnej Kórei

V súvislosti s vypúšťaním odpadových vôd z Fukušimy sa skupina Storm-1376 cielene snažila zamerať na Južnú Kóreu s lokálnym obsahom, ktorý posilňoval protesty proti vypúšťaniu odpadových vôd v krajine, ako aj obsah kritický voči japonskej vláde. Táto kampaň zahŕňala stovky príspevkov v kórejčine na viacerých platformách a webových stránkach vrátane juhokórejských sociálnych sietí, ako sú Kakao Story, Tistory a Velog.io.11

V rámci tejto cielenej kampane skupina Storm-1376 aktívne rozširovala komentáre a akcie lídra strany Minjoo a neúspešného prezidentského kandidáta v roku 2022 Lee Jaemyunga (이재명, 李在明). Lee kritizoval krok Japonska ako „teror kontaminovanej vody“, ktorý sa rovná „druhej tichomorskej vojne“. Obvinil tiež súčasnú juhokórejskú vládu, že je „spoluvinníkom, ktorý podporuje“ rozhodnutie Japonska, a na protest začal držať hladovku, ktorá trvala 24 dní.12

Štvordielny komiks o znečistení životného prostredia a jeho vplyve na morský život.
Obrázok 10: Mémy v Kórejčine z juhokórejskej blogovacej platformy Tistory posilňujú nesúhlas s likvidáciou odpadovej vody vo Fukušime.

4. Vykoľajenie v Kentucky

Počas sviatku Dňa vďakyvzdania v novembri 2023 sa v okrese Rockcastle v Kentucky vykoľajil vlak prevážajúci roztavenú síru. Približne týždeň po vykoľajení spustila skupina Storm-1376 kampaň na sociálnych sieťach, ktorá posilnila povedomie o vykoľajení, šírila konšpiračné teórie namierené proti vláde USA a zdôraznila politické rozpory medzi voličmi v USA, čím v konečnom dôsledku podporila nedôveru voči vláde USA a rozčarovanie z nej. Skupina Storm-1376 vyzvala ľudí, aby zvážili, či vykoľajenie nezapríčinila vláda USA a či „niečo zámerne neskrýva“.13 Niektoré správy dokonca prirovnávali vykoľajenie k teóriám o utajení 11. septembra a Pearl Harboru.14

Čínski sockpuppeti vplyvových operácií hľadajú názory na politické témy v USA

V našej správe zo septembra 2023 sme upozornili na to, ako sa kontá na sociálnych sieťach prepojené s Komunistickou stranou Číny začali vydávať za voličov v USA, pričom sa vydávali za Američanov z celého politického spektra a reagovali na komentáre autentických používateľov.15 Tieto snahy o ovplyvnenie volieb v USA v roku 2022 znamenali prvý prípad pozorovanej čínskej vplyvovej operácie.

Centrum analýzy hrozieb spoločnosti Microsoft (MTAC) zaznamenalo malý, ale stabilný nárast počtu ďalších kont sockpuppetov, o ktorých s miernou istotou usudzujeme, že ich prevádzkuje Komunistická strana Číny. Na sieti X (predtým Twitter) boli tieto kontá vytvorené už v roku 2012 alebo 2013, ale pod svojimi súčasnými menami začali publikovať až začiatkom roka 2023 – čo naznačuje, že kontá boli nedávno prevzaté alebo boli opätovne použité. Títo sockpuppeti zverejňujú pôvodne vytvorené videá, mémy a infografiky, ako aj recyklovaný obsah z iných významných politických kont. Tieto kontá sa takmer výlučne venujú domácim problémom USA – od užívania drog v USA, imigračnej politiky až po rasové napätie – ale príležitostne sa vyjadrujú aj k témam, ktoré zaujímajú Čínu – napríklad k vypúšťaniu odpadových vôd z Fukušimy alebo k čínskym disidentom.

Snímka obrazovky počítača s textom Vojna a konflikty, problematika drog, rasové vzťahy atď.
Obrázok 11: Počas leta a jesene čínski sockpuppeti a identity často používali pútavé vizuály – niekedy vylepšené pomocou generatívnej umelej inteligencie – vo svojich príspevkoch, keď diskutovali o politických otázkach a aktuálnych udalostiach v USA.
Popri politicky motivovaných infografikách alebo videách sa tieto kontá často pýtajú svojich sledovateľov, či súhlasia s danou témou. Niektoré z týchto kont písali o rôznych prezidentských kandidátoch a potom požiadali svojich sledovateľov, aby sa vyjadrili, či ich podporujú alebo nie. Cieľom tejto taktiky môže byť snaha o ďalšie angažovanie sa, prípadne získanie prehľadu o názoroch Američanov na politiku USA. Viac takýchto kont by mohlo fungovať s cieľom zintenzívniť zhromažďovanie spravodajských informácií o kľúčových demografických skupinách voličov v Spojených štátoch.
Porovnanie obrázkov na rozdelenej obrazovke: vľavo vojenské lietadlo štartujúce z lietadlovej lode a vpravo skupina ľudí sediacich za zábranou
Obrázok 12: Čínski sockpuppeti získavajú názory na politické témy od ostatných používateľov na X

Severokórejskí aktéri kybernetických hrozieb v roku 2023 ukradli stovky miliónov dolárov v kryptomenách, uskutočnili útoky na dodávateľský reťazec softvéru a zamerali sa na svojich domnelých protivníkov v oblasti národnej bezpečnosti. Ich operácie prinášajú severokórejskej vláde príjmy – najmä pre jej zbrojný program – a zhromažďujú spravodajské informácie o Spojených štátoch, Južnej Kórei a Japonsku.16

Infografika zobrazujúca odvetvia a krajiny, ktoré sú najčastejšie terčom kybernetických hrozieb.
Obrázok 13: Odvetvia a krajiny, ktoré sú najčastejšie terčom hrozieb zo strany Severnej Kórey, od júna 2023 do januára 2024 na základe údajov služby Microsoft Analýza hrozieb o oznámeniach o útokoch národných štátov.

Severokórejskí aktéri kybernetických hrozieb ukoristili rekordné množstvo kryptomeny, aby získali príjmy pre štát.

Organizácia Spojených národov odhaduje, že severokórejskí aktéri kybernetických hrozieb od roku 2017 ukradli viac ako 3 miliardy dolárov v kryptomenách.17 Len v roku 2023 došlo k lúpežiam v celkovej hodnote od 600 miliónov do 1 miliardy USD. Z týchto ukradnutých prostriedkov sa údajne financuje viac ako polovica jadrového a raketového programu krajiny, čo umožňuje Severnej Kórei šíriť a testovať zbrane napriek sankciám.18 Severná Kórea v minulom roku uskutočnila množstvo testov rakiet a vojenských cvičení a 21. novembra 2023 dokonca úspešne vypustila do vesmíru vojenský prieskumný satelit.19

Traja aktéri hrozieb sledovaní spoločnosťou Microsoft – Jade Sleet, Sapphire Sleet a Citrine Sleet – sa od júna 2023 najviac zameriavali na ciele v oblasti kryptomien. Skupina Jade Sleet vykonávala veľké lúpeže kryptomien, zatiaľ čo skupina Sapphire Sleet vykonávala menšie, ale častejšie operácie krádeží kryptomien. Spoločnosť Microsoft pripísala skupine Jade Sleet krádež najmenej 35 miliónov USD z firmy so sídlom v Estónsku, ktorá sa zaoberá kryptomenami, ku ktorej došlo začiatkom júna 2023. Spoločnosť Microsoft o mesiac neskôr pripísala skupine Jade Sleet aj krádež viac ako 125 miliónov USD z platformy pre kryptomeny so sídlom v Singapure. Skupina Jade Sleet začala ohrozovať online kasína s kryptomenami v auguste 2023.

Skupina Sapphire Sleet neustále ohrozuje mnokých zamestnancov vrátane vedúcich pracovníkov a vývojárov v organizáciách zaoberajúcich sa kryptomenami, rizikovým kapitálom a iných finančných organizáciách. Skupina Sapphire Sleet vyvinula aj nové techniky, ako napríklad posielanie falošných pozvánok na virtuálne stretnutia obsahujúcich prepojenia na doménu útočníka a registráciu falošných webových stránok s ponukou práce. Skupina Citrine Sleet nadviazal na útok na dodávateľský reťazec spoločnosti 3CX z marca 2023 a ohrozila nadväzujúcu firmu so sídlom v Turecku, ktorá sa zaoberá kryptomenami a digitálnymi aktívami. Obeť hosťovala zraniteľnú verziu aplikácie 3CX prepojenú na napadnutie dodávateľského reťazca.

Severokórejskí aktéri kybernetických hrozieb ohrozujú IT sektor prostredníctvom útokov typu spear-phishing a útokov na dodávateľský reťazec softvéru

Severokórejskí aktéri hrozieb uskutočnili aj útoky na dodávateľský reťazec softvéru zamerané na IT firmy, čo viedlo k prístupu k zákazníkom na ďalších úrovniach. Skupina Jade Sleet použila repozitáre GitHub a balíky npm použité ako zbraň v kampani sociálneho inžinierstva typu spear-phishing, ktorá sa zameriavala na zamestnancov organizácií zaoberajúcich sa kryptomenami a technológiami.20 Útočníci sa vydávali za vývojárov alebo náborárov, vyzvali ciele na spoluprácu na repozitári GitHub a presvedčili ich, aby klonovali a spúšťali jeho obsah, ktorý obsahoval škodlivé balíky npm. Skupina Diamond Sleet vykonala v auguste 2023 napadnutie dodávateľského reťazca IT spoločnosti so sídlom v Nemecku a v novembri 2023 vyzbrojila aplikáciu IT spoločnosti so sídlom na Taiwane, aby uskutočnila útok na dodávateľský reťazec. Skupina Diamond Sleet aj Onyx Sleet zneužili v októbri 2023 zraniteľnosť TeamCity CVE-2023- 42793, ktorá umožňuje útočníkovi vykonať útok na vzdialeným spustením kódu a získať správcovskú kontrolu nad serverom. Skupina Diamond Sleet použila túto techniku na napadnutie stoviek obetí v rôznych odvetviach v Spojených štátoch a európskych krajinách vrátane Spojeného kráľovstva, Dánska, Írska a Nemecka. Skupina Onyx Sleet využila tú istú zraniteľnosť na napadnutie najmenej 10 obetí – vrátane poskytovateľa softvéru v Austrálii a vládnej agentúry v Nórsku – a použila nástroje po napadnutí na spustenie ďalších kódov.

Severokórejskí aktéri kybernetických hrozieb sa zameriavali na Spojené štáty, Južnú Kóreu a ich spojencov

Severokórejskí aktéri hrozieb sa naďalej zameriavali na svojich vnímaných protivníkov v oblasti národnej bezpečnosti. Táto kybernetická aktivita bola príkladom geopolitického cieľa Severnej Kórey, ktorým bolo čeliť trojstrannému spojenectvu medzi Spojenými štátmi, Južnou Kóreou a Japonskom. Lídri týchto troch krajín upevnili toto partnerstvo počas samitu v Camp Davide v auguste 2023.21 Skupina Ruby Sleet a Onyx Sleet pokračovali v trendoch cielenia na organizácie leteckého a obranného priemyslu v Spojených štátoch a Južnej Kórei. Skupina Emerald Sleet pokračovala v prieskumnej a spear-phishingovej kampani zameranej na diplomatov a odborníkov na Kórejský polostrov vo vláde, think-tankoch/neziskových organizáciách, médiách a vzdelávacích organizáciách. V júni 2023 pokračovala skupina Pearl Sleet vo svojich operáciách zameraných na juhokórejské subjekty, ktoré spolupracujú so severokórejskými zbehmi a aktivistami zameranými na otázky ľudských práv v Severnej Kórei. Spoločnosť Microsoft sa domnieva, že motívom týchto aktivít je zhromažďovanie spravodajských informácií.

Severokórejskí aktéri implementujú zadné vrátka do legitímneho softvéru

Severokórejskí aktéri hrozieb využívali aj zadné vrátka do legitímneho softvéru, čím zneužívali zraniteľnosti existujúceho softvéru. V prvej polovici roka 2023 využívala Diamond Sleet na napadnutie obetí často malvér VNC. Skupina Diamond Sleet tiež v júli 2023 obnovila využívanie škodlivého softvéru pre čítačky PDF, techniky, ktoré služba Microsoft Analýza hrozieb analyzovala v blogovom príspevku zo septembra 2022.22  Skupina Ruby Sleet v decembri 2023 pravdepodobne využívala aj inštalátor juhokórejského programu pre elektronické dokumenty vybavený škodlivým kódom typu zadné vrátka.

Severná Kórea využívala nástroje umelej inteligencie na umožnenie škodlivých kybernetických aktivít

Severokórejskí aktéri hrozieb sa prispôsobujú ére umelej inteligencie. Učia sa používať nástroje využívajúce veľké jazykové modely (LLM) umelej inteligencie na zefektívnenie svojich činností. Spoločnosti Microsoft a OpenAI napríklad zaznamenali, že skupina Emerald Sleet využíva LLM na zlepšenie spearphishingových kampaní zameraných na odborníkov z Kórejského polostrova.23 Skupina Emerald Sleet používala LLM na výskum zraniteľností a prieskum organizácií a expertov zameraných na Severnú Kóreu. Skupina Emerald Sleet tiež využívala LLM na riešenie technických problémov, vykonávanie základných úloh skriptovania a prípravu obsahu pre spear-phishingové správy. Spoločnosť Microsoft spolupracovala so spoločnosťou OpenAI na zablokovaní kont a aktív spojených so skupinou Emerald Sleet.

Čína v októbri oslávi 75. výročie založenia Čínskej ľudovej republiky a Severná Kórea bude pokračovať v kľúčových programoch vývoja moderných zbraní. Medzitým, ako sa obyvatelia Indie, Južnej Kórey a Spojených štátov chystajú k voľbám, budeme pravdepodobne svedkami toho, ako sa na tieto voľby zameriavajú čínski kybernetickí a vplyvoví aktéri a do určitej miery aj severokórejskí kybernetickí aktéri.

Čína bude minimálne vytvárať a rozširovať obsah generovaný umelou inteligenciou, ktorý je prospešný pre jej pozície v týchto významných voľbách. Hoci vplyv takéhoto obsahu na ovplyvňovanie publika zostáva nízky, Čína bude naďalej experimentovať s rozširovaním mémov, videí a zvukových záznamov – a môže sa ukázať, že je to efektívne. Zatiaľ čo čínski kybernetickí aktéri už dlho vykonávajú prieskum politických inštitúcií USA, sme pripravení na to, že budeme svedkami interakcie vplyvových aktérov s Američanmi s cieľom zapojiť sa a potenciálne skúmať perspektívy politiky USA.

Napokon, keďže Severná Kórea zavádza nové vládne politiky a realizuje ambiciózne plány na testovanie zbraní, môžeme očakávať čoraz sofistikovanejšie lúpeže kryptomien a útoky na dodávateľský reťazec zamerané na obranný sektor, ktoré slúžia ako prívodný kanál peňazí do režimu a uľahčujú vývoj nových vojenských schopností.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 January 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11. januára 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    „Pravdepodobná kampaň ČĽR ‚Spamouflage‘ sa v rámci dezinformačnej kampane zameriava na desiatky kanadských poslancov“, október 2023,

  8. [8]
  9. [9]

    Viaceré zdroje zdokumentovali prebiehajúcu propagandistickú kampaň čínskej vlády zameranú na vyvolanie medzinárodného pobúrenia v súvislosti s rozhodnutím Japonska likvidovať jadrové odpadové vody z havárie jadrovej elektrárne Fukušima Daiči v roku 2011, pozri: Čínske dezinformácie podnecujú hnev pre vypúšťanie vody z Fukušimy“, 31. augusta 2023 „Japonsko je terčom čínskej propagandy a tajnej online kampane“, 8. júna 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Kybernetické vplyvové operácie Útoky na národnej úrovni Správy o hrozbách na úrovni štátov Sociálne inžinierstvo Zdroje hrozieb

Súvisiace články

Rozsah a efektivita digitálnych hrozieb z východnej Ázie rastie

Zahĺbte sa do nových trendov vyvíjajúceho sa prostredia hrozieb vo východnej Ázii, kde Čína vykonáva rozsiahle kybernetické a vplyvové operácie a aktéri kybernetických hrozieb zo Severnej Kórey získavajú čoraz vyššiu sofistikovanosť.
Ďalšie informácie

Žije z ekonomiky dôvery: podvod v oblasti sociálneho inžinierstva

Preskúmajte vyvíjajúce sa digitálne prostredie, v ktorom je dôvera menou aj zraniteľnosťou. Objavte taktiky podvodov sociálneho inžinierstva, ktoré kybernetickí útočníci používajú najčastejšie, a prečítajte si o stratégiách, ktoré vám pomôžu identifikovať a prekonať hrozby sociálneho inžinierstva zamerané na manipuláciu s ľudskou povahou.
Ďalšie informácie

Irán zintenzívňuje operácie ovplyvňujúce kybernetickú bezpečnosť na podporu Hamasu

Spoznajte podrobnosti o iránskych operáciách ovplyvňujúcich kybernetickú bezpečnosť na podporu Hamasu v Izraeli. Zistite, ako operácie postupovali v rôznych fázach vojny, a preskúmajte štyri kľúčové taktiky, techniky a postupy (TTP), ktoré Irán najviac uprednostňuje.
Ďalšie informácie

Sledujte zabezpečenie od spoločnosti Microsoft