Trace Id is missing

Iste tarče, novi priročniki: Vzhodnoazijski akterji groženj uporabljajo edinstvene metode

Prenos
Delite
Abstraktna ilustracija vojaške ladje z grafičnimi rdečimi krogi in črnimi mrežnimi elementi na rožnatem ozadju.

Microsoft je od junija 2023 opazil več pomembnih kibernetskih in vplivnih trendov Kitajske in Severne Koreje, ki kažejo ne le podvojitev znanih ciljev, temveč tudi poskuse uporabe bolj izpopolnjenih tehnik vplivanja za dosego svojih ciljev.

Kitajski kibernetski akterji so v zadnjih sedmih mesecih na splošno izbrali tri ciljna področja:

  • Ena skupina kitajskih akterjev je v veliki meri ciljala na subjekte na južnopacifiških otokih.
  • Drugi sklop kitajskih dejavnosti je nadaljeval niz kibernetskih napadov na regionalne nasprotnike na območju Južnokitajskega morja.
  • Medtem je tretja skupina kitajskih akterjev ogrozila ameriško obrambno industrijsko bazo.

Kitajski akterji, ki imajo vpliv, so namesto da bi razširili geografski obseg svojih tarč, izpopolnili svoje tehnike in eksperimentirali z novimi mediji. Kitajske vplivne kampanje so še naprej izpopolnjevale vsebine, ki jih ustvarja umetna inteligenca ali so z njo izboljšane. Vplivni akterji, ki stojijo za temi kampanjami, so pokazali pripravljenost, da razširjajo medije, ki jih ustvarja umetna inteligenca in koristijo njihovim strateškim zgodbam, ter ustvarjajo lastne videoposnetke, meme in zvočne vsebine. Takšne taktike so bile uporabljene v kampanjah, ki so spodbujale razdor v Združenih državah Amerike in poglabljale razprtije v azijsko-pacifiški regiji, vključno s Tajvanom, Japonsko in Južno Korejo. Te kampanje so dosegle različne stopnje odmevnosti, pri čemer ni bilo enotne formule, ki bi zagotovila dosledno vključenost občinstva.

Severnokorejski kibernetski akterji so se v zadnjem letu znašli na naslovnicah zaradi vse pogostejših napadov na dobavno verigo programske opreme in kraje kriptovalut. Medtem ko so strateške kampanje "spear-phishing", namenjene raziskovalcem, ki preučujejo Korejski polotok, ostale stalnica, so severnokorejski povzročitelji groženj očitno v večji meri uporabljali zakonito programsko opremo, da bi ogrozili še več žrtev.

Gingham Typhoon je namenjen vladnim, informacijskim in multinacionalnim podjetjem na južnopacifiških otokih

Microsoft Threat Intelligence je poleti 2023 opazil obsežno dejavnost kitajske vohunske skupine "Gingham Typhoon", ki je ciljala na skoraj vse države južnopacifiškega otočja. "Gingham Typhoon" je najaktivnejši akter v tej regiji, ki z zapletenimi kampanjami lažnega prikazovanja napada mednarodne organizacije, vladne ustanove in IT sektor. Med žrtvami so bili tudi izraziti kritiki kitajske vlade.

Diplomatski zavezniki Kitajske, ki so bili žrtve nedavne dejavnosti Gingham Typhoon, vključujejo izvršne urade v vladi, oddelke, povezane s trgovino, ponudnike internetnih storitev, pa tudi prevozno družbo.

Za te ofenzivne kibernetske dejavnosti je lahko spodbuda okrepljeno geopolitično in diplomatsko tekmovanje v regiji. Kitajska si prizadeva za strateška partnerstva z južnopacifiškimi otoškimi državami, da bi razširila gospodarske vezi ter sklenila diplomatske in varnostne sporazume. Kitajsko kibernetsko vohunjenje v tej regiji sledi tudi gospodarskim partnerjem.

Kitajski akterji so na primer v velikem obsegu napadali mednarodne organizacije v Papui Novi Gvineji, dolgoletni diplomatski partnerici, ki ima koristi od številnih projektov pobude Belt and Road Initiative (BRI), vključno z gradnjo glavne avtoceste, ki povezuje vladno stavbo Papue Nove Gvineje z glavno cesto v prestolnici.1

Zemljevid prikazuje pogostost ciljno usmerjenih kibernetskih groženj za narode pacifiških otokov z večjimi krogi
Slika 1: Zaznani dogodki, povezani z akterjem Gingham Typhoon, od junija 2023 do januarja 2024. Ta dejavnost kaže njihovo nenehno usmerjenost v narode južnopacifiških otokov. A večina teh napadov poteka ves čas in odraža dolgoletno usmerjenost v to regijo. Geografske lokacije in premer simbologije so reprezentativni.

Kitajski akterji groženj se med zahodnimi vojaškimi vajami še naprej osredotočajo na Južnokitajsko morje

Grožnje iz Kitajske so bile še naprej usmerjene na subjekte, povezane s kitajskimi gospodarskimi in vojaškimi interesi v Južnokitajskem morju in njegovi okolici. Ti akterji so na oportunističen način ogrožali vladne in telekomunikacijske žrtve v Združenju držav jugovzhodne Azije (ASEAN). Kitajski kibernetski akterji, povezani z državo, so se še posebej zanimali za tarče, povezane s številnimi ameriškimi vojaškimi vajami, ki so potekale v regiji. Junija 2023 je Raspberry Typhoon, skupina nacionalnih držav s sedežem na Kitajskem, v tednih pred redko večstransko pomorsko vajo, v kateri so sodelovale Indonezija, Kitajska in Združene države, uspešno napadla vojaške in izvršilne organe v Indoneziji ter malezijski pomorski sistem.

Podobno je bil tarča še enega kitajskega kibernetskega akterja, Flax Typhoon, tudi subjekt, povezan z ameriško-filipinskimi vojaškimi vajami. Granite Typhoon, še en kitajski akter, je v tem obdobju ogrožal predvsem telekomunikacijske subjekte v regiji, žrtve pa so bile v Indoneziji, Maleziji, na Filipinih, v Kambodži in na Tajvanu.

Od objave Microsoftovega spletnega dnevnika o Flax Typhoonu, je Microsoft opazil nove tarče Flax Typhoona na Filipinih, v Hongkongu, Indiji in Združenih državah Amerike v zgodnji jeseni in pozimi leta 2023.2 Ta akter pogosto napada tudi telekomunikacijski sektor, kar pogosto povzroči številne stranske učinke.

Zemljevid, ki prikazuje podatke Microsoftovega Obveščanja o grožnjah najbolj izpostavljenih regij v Aziji,
Slika 2: Opazovani dogodki, ki so prizadeli države v ali okoli Južnokitajskega morja, in sicer tajfun Flax, tajfun Granite ali tajfun Raspberry. Geografske lokacije in premer simbolov so predstavitveni.

Nylon Typhoon ogroža tuje zadeve po vsem svetu

Kitajski akter groženj Nylon Typhoon nadaljuje svojo dolgoletno prakso napadov na organe za zunanje zadeve v državah po vsem svetu. Med junijem in decembrom 2023 je Microsoft opazoval Nylon Typhoon v vladnih ustanovah v Južni Ameriki, med drugim v Braziliji, Gvatemali, Kostariki in Peruju. Grožnjo so opazili tudi v Evropi, saj je ogrozila vladne ustanove na Portugalskem, v Franciji, Španiji, Italiji in Združenem kraljestvu. Večina evropskih tarč so bile vladne ustanove, ogrožena pa so bila tudi nekatera informacijska podjetja. Namen tega ciljnega usmerjanja je zbiranje obveščevalnih podatkov.

Kitajska skupina za grožnje cilja na vojaške subjekte in kritično infrastrukturo v Združenih državah Amerike

Nazadnje se je aktivnost Storm-0062 okrepila jeseni in pozimi leta 2023. Velik del teh dejavnosti je ogrožal vladne subjekte, povezane z obrambo ZDA, vključno z izvajalci, ki zagotavljajo tehnične inženirske storitve na področju letalstva, obrambe in naravnih virov, ki so ključni za nacionalno varnost ZDA. Poleg tega je Storm-0062 večkrat napadel vojaške entitete v Združenih državah Amerike, vendar ni jasno, ali je bil poskus ogrožanja uspešen.

Tudi ameriška obrambna industrija ostaja stalna tarča projekta Volt Typhoon. Maja 2023 je Microsoft napade na ameriške organizacije kritične infrastrukture pripisal podjetju Volt Typhoon, akterju s sedežem na Kitajskem, ki ga sponzorira država. Volt Typhoon je pridobil dostop do omrežij organizacij s tehnikami preživetja v naravi in praktičnimi dejavnostmi z uporabo tipkovnice.3 Te taktike so organizaciji Volt Typhoon omogočile, da je skrivaj ohranila nepooblaščen dostop do ciljnih omrežij. Od junija 2023 do decembra 2023 je Volt Typhoon še naprej ciljal na kritično infrastrukturo, vendar si je prizadeval tudi za razvoj virov z ogrožanjem naprav malih pisarn in domačih pisarn (SOHO) v Združenih državah Amerike.

V poročilu iz septembra 2023 smo podrobno opisali, kako so kitajska sredstva za operacije vplivanja (IO) začela uporabljati generativno umetno inteligenco za ustvarjanje elegantnih in privlačnih vizualnih vsebin. Microsoft Threat Intelligence je vse poletje še naprej prepoznaval meme, ki jih je ustvarila umetna inteligenca in ki so bili usmerjeni proti Združenim državam Amerike ter so širili sporna domača vprašanja in kritizirali sedanjo administracijo. S Kitajsko povezani akterji IO še naprej uporabljajo medije z umetno inteligenco in medije, ki jih ustvarja umetna inteligenca (v nadaljevanju " UI vsebina") v kampanjah vplivanja, ki so skozi vse leto vedno obsežnejše in pogostejše.

Umetna inteligenca narašča (vendar ji ne uspe prevladati)

Med temi akterji, ki uporabljajo vsebine z umetno inteligenco, je najbolj razširjen Storm-1376 - Microsoftova oznaka za akterja, povezanega s kitajsko komunistično stranko (CCP), ki je znan kot "Spamouflage" ali "Dragonbridge.” Do zime so drugi akterji, povezani s CCP, začeli uporabljati širši nabor vsebin umetne inteligence za razširitev spletnih IO. Pri tem se je pred predsedniškimi in parlamentarnimi volitvami, ki bodo potekale 13. januarja, opazno povečalo število vsebin s tajvanskimi političnimi osebnostmi. Microsoft Threat Intelligence je prvič zaznal, da je akter iz nacionalne države uporabil vsebino z umetno inteligenco pri poskusih vplivanja na tuje volitve.

Zvok, ustvarjen z umetno inteligenco: Storm-1376 je na dan tajvanskih volitev objavil domnevne zvočne posnetke lastnika podjetja Foxconn Terryja Gouja, kandidata neodvisne stranke v tajvanski predsedniški tekmi, ki se je novembra 2023 umaknil iz tekme. Na zvočnih posnetkih je bil Goujev glas, ki je podpiral drugega kandidata v predsedniški tekmi. Goujev glas na posnetkih je verjetno ustvarjen z umetno inteligenco, saj Gou ni podal takšne izjave. YouTube je hitro ukrepal, še preden je vsebina dosegla večje število uporabnikov. Ti videoposnetki so bili objavljeni nekaj dni po tem, ko je po spletu krožilo lažno pismo Terryja Gouja, ki je podpiralo istega kandidata. Vodilne tajvanske organizacije za preverjanje dejstev so pismo ovrgle. Tudi Goujeva kampanja je izjavila, da pismo ni resnično in da bo v odgovor na to sprožila pravne postopke.4 Gou ni uradno podprl nobenega predsedniškega kandidata v tekmi.
Moški v obleki govori na odru s kitajskim besedilom in grafiko zvočne valovne oblike v ospredju.
Slika 3: Videoposnetki, ki jih je objavil Storm-1376, uporabljajo glasovne posnetke Terryja Gouja, ustvarjene z umetno inteligenco, ki dajejo vtis, da je podprl drugega kandidata.
Zaznamek, ustvarjen z umetno inteligenco: V različnih kampanjah, v katerih so nastopali tajvanski uradniki, so se pojavili novinarji ustvarjeni z umetno inteligenco, ki so jih z orodjem Capcut kitajskega tehnološkega podjetja ByteDance ustvarila tretja tehnološka podjetja,5 in pošiljanje sporočil o Mjanmaru. Storm-1376 uporablja takšne voditelje poročil, ki jih ustvarja umetna inteligenca, že vsaj od februarja 2023,6 vendar se je v zadnjih mesecih povečal obseg vsebine s temi zaznamki.
Kolaž vojaških vozil
Slika 4: Akter Storm-1376 je objavil videoposnetke v mandarinščini in angleščini, v katerih namiguje, da so Združene države in Indija odgovorni za nemire v Mjanmaru. V nekaterih od teh videoposnetkov je uporabljen isti zaznamek, ustvarjen z umetno inteligenco.
A Videoposnetki izboljšani z umetno inteligenco: Kot so razkrili kanadska vlada in drugi raziskovalci, je umetna inteligenca pri kampanji, usmerjeni proti kanadskim poslancem, uporabila podobo kitajskega disidenta, ki živi v Kanadi.7 V teh videoposnetkih, ki so bili le en del kampanje na več platformah, med katerimi je bilo tudi nadlegovanje kanadskih politikov na njihovih družbenih omrežjih, je bil disident lažno prikazan, kako izreka provokativne pripombe o kanadski vladi. Podobne videoposnetke izboljšane z umetno inteligenco so proti temu disidentu uporabili že prej.
Oseba, ki sedi pri mizi
Slika 5: Globoki ponaredki videoposnetkov, omogočeni z UI, disidenta, ki zaničljivo razpravlja o veri. Čeprav gre za uporabo podobnih taktik, kot pri kanadskem napadu, pa ti videoposnetki niso videti povezani v smislu vsebine.
Memi, ustvarjeni z umetno inteligenco: Storm-1376 je decembra promoviral serijo memov, ki jih je ustvarila umetna inteligenca, o predsedniškem kandidatu tajvanske Demokratične napredne stranke (DPP) Williamu Laiju, z motivom odštevanja "X dni" do odstavitve DPP z oblasti.
Grafični prikaz z dvema slikama drugo ob drugi, na eni je lik z rdečim x, na drugi pa isti lik ni označen,
Slika 6: UI-generirani memi obtožujejo predsedniškega kandidata stranke DPP Williama Laia, da je poneveril sredstva iz tajvanskega programa za razvoj infrastrukture, usmerjene v prihodnost. Ti memi so vsebovali poenostavljene znake (ki se uporabljajo v LRK, ne pa na Tajvanu) in so bili del serije, ki je prikazovala dnevno „odštevanje za odstavitev stranke DPP z oblasti“.
Infografika časovnice, ki prikazuje vpliv vsebine, ustvarjene z umetno inteligenco, na volitve na Tajvanu od decembra 2023 do januarja 2024.
Slika 7: Časovnica vsebine, ustvarjene in izboljšane z umetno inteligenco, ki se je pojavila v času pred predsedniškimi in parlamentarnimi volitvami na Tajvanu januarja 2024. Akter Storm-1376 je razširil številne tovrstne vsebine in je bil odgovoren za ustvarjanje vsebine v dveh napadih.

Storm-1376 nadaljuje reaktivno sporočanje, včasih z zarotniškimi pripovedmi

Storm-1376 - akter, ki deluje na več kot 175 spletnih straneh in v 58 jezikih - je še naprej pogosto izvajal odzivne sporočilne kampanje ob odmevnih geopolitičnih dogodkih, zlasti tistih, ki prikazujejo ZDA v neugodni luči ali spodbujajo interese CCP v regiji APAC. Od našega zadnjega poročila septembra 2023 so se te kampanje razvile na več pomembnih načinov, vključno z vključevanjem fotografij, ustvarjenih z umetno inteligenco, ki zavajajo občinstvo, spodbujanjem zarotniških vsebin - zlasti proti ameriški vladi - in ciljanjem na nove populacije, kot je Južna Koreja, z lokalizirano vsebino.

1. Trdijo, da je požare na Havajih povzročilo "vremensko orožje" ameriške vlade

Avgusta 2023, ko so na severozahodni obali Mauija na Havajih divjali gozdni požari, je Storm-1376 izkoristil priložnost za širjenje zarotniških pripovedi na več platformah družbenih medijev. V teh objavah so trdili, da je ameriška vlada namerno podtaknila požare, da bi preizkusila vojaško "vremensko orožje.” Poleg objave besedila v vsaj 31 jezikih na več deset spletnih straneh in platformah je Storm-1376 uporabil slike gorečih obalnih cest in bivališč, ki jih je ustvarila umetna inteligenca, da bi bila vsebina bolj privlačna.8

Sestavljena slika z žigom »fake« na prizorih dramatičnih požarov.
Slika 8: Akter Storm-1376 objavlja zarotniško vsebino v dneh po izbruhu požarov v naravi, kjer namiguje, da so požari nastali kot posledica preizkušanja »meteorološkega orožja«s strani ameriške vlade. Te objave so pogosto spremljale slike velikih požarov, ustvarjene z umetno inteligenco.

2. Povečanje ogorčenja zaradi japonskega odstranjevanja jedrskih odpadnih voda

Storm-1376 je 24. avgusta 2023, ko je Japonska v Tihi ocean začela spuščati obdelano radioaktivno odpadno vodo, začel obsežno in agresivno kampanjo kritiziranja japonske vlade.9 Vsebina Storm-1376 je vzbudila dvom v znanstveno oceno Mednarodne agencije za atomsko energijo (IAEA), da je odlaganje varno. Storm-1376 je v številnih jezikih, vključno z japonščino, korejščino in angleščino, množično pošiljal sporočila po platformah družbenih medijev. Nekatere vsebine so Združene države Amerike celo obtožile, da namerno zastrupljajo druge države, da bi ohranile "vodno prevlado.” Vsebina, uporabljena v tej kampanji, ima značilnosti ustvarjanja z umetno inteligenco.

V nekaterih primerih je Storm-1376 recikliral vsebino, ki so jo uporabljali drugi akterji v kitajskem propagandnem ekosistemu, vključno s kitajskimi državnimi mediji, povezanimi z vplivneži v družbenih medijih.10 Vplivneži in viri, ki pripadajo skupini Storm-1376, so naložili tri enake videoposnetke, v katerih so kritizirali izpust odpadne vode iz Fukušime. Takšni primeri objav različnih akterjev, ki navidezno uporabljajo enako vsebino - kar lahko kaže na usklajevanje ali usmerjanje sporočil -, so se v letu 2023 povečali.

Sestavljena slika s satirično ilustracijo ljudi, posnetek zaslona z videoposnetkom, ki prikazuje Godzillo in objava na družabnih omrežjih
Slika 9: Memi in slike, ustvarjeni z umetno inteligenco, ki so kritični do odstranjevanja odpadne vode iz Fukušime, in prihajajo od prikritih virov kitajske IO (levo) in kitajskih vladnih uradnikov (na sredini). Vplivneži, povezani z mediji v lasti kitajske države, so še dodatno razširili sporočila, poenotena z vlado, ki kritizirajo odstranjevanje odpadne vode (desno).

3. Podžiganje nesoglasij v Južni Koreji

Storm-1376 si je v zvezi z odlaganjem odpadne vode iz Fukušime prizadeval ciljati Južno Korejo z lokalno vsebino, ki je širila proteste proti odlaganju v tej državi, in z vsebino, kritično do japonske vlade. Ta kampanja je vključevala več sto objav v korejščini na več platformah in spletnih mestih, vključno z južnokorejskimi družabnimi mediji, kot so Kakao Story, Tistory in Velog.io.11

Storm-1376 je v okviru te ciljno usmerjene kampanje aktivno širil komentarje in dejanja vodje Minjoo in neuspešnega predsedniškega kandidata leta 2022 Lee Jaemyunga (이재명, 李在明). Lee je japonsko potezo kritiziral kot "teror z onesnaženo vodo", ki pomeni "drugo pacifiško vojno.” Obtožil je tudi sedanjo južnokorejsko vlado da je " s podpiranjem" japonske odločitve postala sostorilka, in v znak protesta začel gladovno stavko, ki je trajala 24 dni.12

Strip iz štirih okvirjev, ki naslavlja onesnaževanje okolja in njegov vpliv na morske organizme.
Slika 10: Memi v korejščini iz južnokorejske platforme za spletne dnevnike Tistory, razpihujejo nesoglasja glede odstranjevanja odpadne vode iz Fukušime.

4. Iztirjenje v zvezni državi Kentucky

Med praznikom zahvalnega dne novembra 2023 je v okrožju Rockcastle v zvezni državi Kentucky iztiril vlak s staljenim žveplom. Približno teden dni po iztirjenju je Storm-1376 začel kampanjo v družabnih medijih, v kateri je okrepil iztirjenje, širil teorije zarote proti ameriški vladi in poudaril politične delitve med ameriškimi volivci, kar je nazadnje spodbudilo nezaupanje v ameriško vlado in razočaranje nad njo. Storm-1376 je poslušalce pozval, naj razmislijo, ali je morda iztirjenje povzročila ameriška vlada, ki "namerno nekaj skriva".13 Nekatera sporočila so iztirjenje celo primerjala s teorijami o prikrivanju 11. septembra in Pearl Harborja.14

Druga spletna identiteta kitajskega IO išče poglede na politične teme v ZDA

V poročilu iz septembra 2023 smo poudarili, da so se računi v družabnih medijih, povezani s CCP, začeli izdajati za ameriške volivce, tako da so se izdajali za Američane iz celotnega političnega spektra in odgovarjali na komentarje pristnih uporabnikov.15 Ta prizadevanja za vplivanje na vmesne volitve v ZDA leta 2022 so bila prva v opazovanih kitajskih IO.

Microsoft Threat Analysis Center (MTAC) je opazil majhno, a stalno naraščanje števila dodatnih uporabniških računov drugih spletnih identitet, za katere z zmerno gotovostjo ocenjujemo, da jih upravlja CCP. V aplikaciji X (nekdanji Twitter) so bili ti računi ustvarjeni že leta 2012 ali 2013, vendar so začeli objavljati pod svojimi sedanjimi identitetami šele v začetku leta 2023 - kar kaže na to, da so bili računi nedavno pridobljeni ali pa so bili ponovno uporabljeni. Te druge spletne identite objavljajo izvirne videoposnetke, meme in infografike ter reciklirane vsebine z drugih odmevnih političnih računov. Ti računi objavljajo skoraj izključno o domačih zadevah v ZDA - od uporabe drog, politike priseljevanja in rasnih napetosti -, občasno pa komentirajo tudi teme, ki zanimajo Kitajsko, na primer odlaganje odpadnih voda v Fukušimi ali kitajske disidente.

Posnetek zaslona računalnika z besedilom: vojna in konflikti, težave z drogami, medrasni odnosi itn.
Slika 11: Med poletjem in jesenjo so kitajske lutke in osebe pogosto uporabljale mikavne ponazoritve – včasih izboljšane z generativno UI – v svojih objavah pri razpravi o ameriških političnih zadevah in aktualnih dogodkih.
Ti računi poleg politično motiviranih infografik ali videoposnetkov sledilce pogosto sprašujejo, ali se strinjajo z določeno temo. Nekateri od teh računov so objavljali o različnih predsedniških kandidatih, nato pa svoje sledilce prosili, naj komentirajo, ali jih podpirajo ali ne. Namen te taktike je lahko prizadevanje za nadaljnje sodelovanje ali pridobitev vpogleda v stališča Američanov o politiki ZDA. Več takšnih računov bi lahko delovalo za boljše zbiranje obveščevalnih podatkov o ključnih demografskih skupinah volivcev v Združenih državah Amerike.
Primerjava slik na deljenem zaslonu: na levi je prikazan vzlet vojaškega letala z letalonosilke, na desni pa skupina ljudi, ki sedi za ograjo
Slika 12: Kitajske lutke širijo mnenja drugih uporabnikov na platformi X glede političnih tem

Severnokorejski akterji kibernetskih groženj so leta 2023 ukradli več sto milijonov dolarjev v kriptovaluti, izvedli napade na dobavno verigo programske opreme in ciljali na svoje domnevne nasprotnike na področju nacionalne varnosti. Njihove operacije prinašajo prihodke severnokorejski vladi, zlasti njenemu orožarskemu programu, in zbirajo obveščevalne podatke o Združenih državah Amerike, Južni Koreji in Japonski.16

Infografika, ki prikazuje najbolj ciljanje panoge in države za kibernetske grožnje.
Slika 13: Najbolj ciljane panoge in države Severne Koreje od junija 2023 do januarja 2024 glede na podatke o obveščanju na državni ravni Obveščanja o grožnjah Microsoft.

Severnokorejski kibernetski igralci so zaplenili rekordno količino kriptovalute, da bi ustvarili prihodek za državo.

Po ocenah Združenih narodov so severnokorejski kibernetski akterji od leta 2017 ukradli za več kot 3 milijard USD kriptovalut.17 Samo v letu 2023 so se zgodile tatvine v skupni vrednosti med 600 milijoni in 1 milijardo USD. S temi ukradenimi sredstvi naj bi financirali več kot polovico jedrskega in raketnega programa, kar Severni Koreji kljub sankcijam omogoča širjenje in preizkušanje orožja.18 Severna Koreja je v zadnjem letu izvedla številne raketne poskuse in vojaške vaje, 21. novembra 2023 pa je v vesolje celo uspešno izstrelila vojaški izvidniški satelit.19

Trije akterji groženj, ki jih je spremljal Microsoft - Jade Sleet, Sapphire Sleet in Citrine Sleet - so se od junija 2023 najbolj osredotočali na tarče v kriptovalutah. Jade Sleet je izvajal velike kraje kriptovalut, Sapphire Sleet pa manjše, a pogostejše kraje kriptovalut. Microsoft je krajo najmanj 35 milijonov USD iz podjetja za kriptovalute s sedežem v Estoniji v začetku junija 2023 pripisal Jade Sleet. Microsoft je Jade Sleetu mesec dni pozneje pripisal tudi krajo več kot 125 milijonov USD s singapurske platforme za kriptovalute. Jade Sleet je avgusta 2023 začel ogrožati spletne igralnice s kriptovalutami.

Sapphire Sleet je dosledno ogrožal številne zaposlene, vključno z vodstvenimi delavci in razvijalci v organizacijah za kriptovalute, tvegani kapital in druge finančne organizacije. Sapphire Sleet je razvil tudi nove tehnike, na primer pošiljanje lažnih virtualnih vabil za sestanke s povezavami na domeno napadalca in registracijo lažnih spletnih strani za zaposlovanje. Citrine Sleet je po napadu na dobavno verigo 3CX iz marca 2023 napadel podjetje za kriptovalute in digitalno premoženje s sedežem v Turčiji. Žrtev je gostila ranljivo različico aplikacije 3CX, povezano s kršitvijo dobavne verige.

Severnokorejski kibernetski akterji ogrožajo informacijski sektor z napadi na verigo dobave programske opreme in napadi "spear-phishing

Severnokorejski akterji groženj so izvajali tudi napade na računalniška podjetja v dobavni verigi programske opreme, kar je omogočilo dostop do nadaljnjih strank. Jade Sleet je uporabil skladišča GitHub in oborožene pakete npm v kampanji socialnega inženiringa, ki je bila usmerjena na zaposlene v organizacijah za kriptovalute in tehnologijo.20 Napadalci so se izdajali za razvijalce ali zaposlovalce, povabili tarče k sodelovanju v skladišču GitHub in jih prepričali, da klonirajo in izvedejo njegovo vsebino, ki je vsebovala zlonamerne pakete npm. Diamond Sleet je avgusta 2023 ogrozil oskrbovalno verigo podjetja IT s sedežem v Nemčiji, novembra 2023 pa je uporabil aplikacijo podjetja IT s sedežem na Tajvanu in izvedel napad na oskrbovalno verigo. Tako Diamond Sleet kot Onyx Sleet sta oktobra 2023 izkoristila ranljivost TeamCity CVE-2023- 42793, ki napadalcu omogoča, da izvede napad z oddaljenim izvajanjem kode in pridobi administrativni nadzor nad strežnikom. Diamond Sleet je s to tehniko ogrozil na stotine žrtev v različnih panogah v ZDA in evropskih državah, vključno z Združenim kraljestvom, Dansko, Irsko in Nemčijo. Onyx Sleet je z izkoriščanjem iste ranljivosti ogrozil vsaj 10 žrtev, vključno s ponudnikom programske opreme v Avstraliji in vladno agencijo na Norveškem, ter s pomočjo orodij po ogrožanju izvedel dodatne plačilne obremenitve.

Severnokorejski kibernetski napadi na Združene države Amerike, Južno Korejo in njihove zaveznike

Severnokorejski akterji grožnje so še naprej ciljali na svoje domnevne nasprotnike na področju nacionalne varnosti. Ta kibernetska dejavnost je ponazarjala geopolitični cilj Severne Koreje, da se zoperstavi tristranskemu zavezništvu med Združenimi državami Amerike, Južno Korejo in Japonsko. Voditelji treh držav so to partnerstvo utrdili na vrhu v Camp Davidu avgusta 2023.21 Ruby Sleet in Onyx Sleet sta še naprej usmerjala svoje napade na letalske in obrambne organizacije v Združenih državah Amerike in Južni Koreji. Emerald Sleet je še naprej izvajal izvidniško kampanjo in kampanjo "spear-phishing", namenjeno diplomatom in strokovnjakom za Korejski polotok v vladi, miselnih skupinah/nevladnih organizacijah, medijih in izobraževanju. Družba Pearl Sleet je junija 2023 nadaljevala svoje operacije, usmerjene v južnokorejske subjekte, ki sodelujejo s severnokorejskimi prebežniki in aktivisti, osredotočenimi na vprašanja človekovih pravic v Severni Koreji. Microsoft ocenjuje, da je motiv teh dejavnosti zbiranje obveščevalnih podatkov.

Severnokorejski akterji v zakonito programsko opremo vgrajujejo varnostna vrata

Severnokorejski akterji groženj so uporabili tudi varnostna vrata v zakoniti programski opremi in izkoristili ranljivosti v obstoječi programski opremi. V prvi polovici leta 2023 je Diamond Sleet za ogrožanje žrtev pogosto uporabljal zlonamerno programsko opremo VNC. Diamond Sleet je julija 2023 ponovno začel uporabljati zlonamerno programsko opremo za branje PDF, tehnike, ki jih je Microsoft Threat Intelligence analiziral v objavi na spletnem dnevniku septembra 2022.22 Ruby Sleet je decembra 2023 najverjetneje uporabila tudi zaporedno namestitev južnokorejskega programa za elektronske dokumente.

Severna Koreja je z orodji umetne inteligence omogočila zlonamerne kibernetske dejavnosti

Severnokorejski akterji se prilagajajo dobi umetne inteligence. Učijo se uporabljati orodja, ki jih poganjajo veliki jezikovni modeli umetne inteligence (LLM), da bi bilo njihovo poslovanje učinkovitejše in uspešnejše. Na primer, Microsoft in OpenAI sta opazila, da je Emerald Sleet uporabljal LLM za izboljšanje kampanj za pošiljanje elektronskih sporočil, ki so bile namenjene strokovnjakom s Korejskega polotoka.23 Emerald Sleet je uporabljal programe LLM za raziskovanje ranljivosti in opravljanje izvidništva o organizacijah in strokovnjakih, ki se ukvarjajo s Severno Korejo. Podjetje Emerald Sleet je uporabilo tudi LLMs za odpravljanje tehničnih težav, izvajanje osnovnih skriptnih opravil in pripravo vsebine za sporočila o lažnem ogrožanju (spear-phishing). Microsoft je v sodelovanju z OpenAI onemogočil račune in sredstva, povezana s storitvijo Emerald Sleet.

Kitajska bo oktobra praznovala 75. obletnico ustanovitve Ljudske republike Kitajske, Severna Koreja pa bo še naprej razvijala ključne programe za izdelavo naprednega orožja. Medtem ko se bodo prebivalci Indije, Južne Koreje in Združenih držav Amerike odpravili na volišča, si bodo kitajski kibernetski in vplivni akterji ter do neke mere tudi severnokorejski kibernetski akterji verjetno prizadevali za napad na te volitve.

Kitajska se bo v teh pomembnih volitvah ukvarjala z ustvarjanjem in razširjanjem vsebin, ki jih ustvarja umetna inteligenca in so v prid njenim stališčem. Čeprav je vpliv tovrstnih vsebin na občinstvo še vedno majhen, bo Kitajska še naprej eksperimentirala z dodajanjem memov, videoposnetkov in zvočnih posnetkov, kar se lahko kasneje izkaže za učinkovito. Medtem ko kitajski kibernetski akterji že dolgo izčrpavajo politične institucije ZDA, smo pripravljeni, da bodo vplivni akterji sodelovali z Američani za sodelovanje in morebitno raziskovanje pogledov na politiko ZDA.

Ne nazadnje lahko pričakujemo, da bodo v Severni Koreji, ko bo začela izvajati nove vladne politike in ambiciozne načrte za preizkušanje orožja, vse bolj izpopolnjeni ropi kriptovalut in napadi na dobavno verigo, usmerjeni v obrambni sektor, ki bodo služili tako za prelivanje denarja režimu kot tudi za pospeševanje razvoja novih vojaških zmogljivosti.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 January 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11. januar 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    "Verjetna kampanja PRC "Spamouflage" je v okviru dezinformacijske kampanje usmerjena na več deset kanadskih poslancev," oktober 2023,

  8. [8]
  9. [9]

    Več virov je dokumentiralo stalno propagandno kampanjo kitajske vlade, katere cilj je sprožiti mednarodno ogorčenje zaradi odločitve Japonske, da odstrani jedrske odpadne vode iz jedrske nesreče v Fukušimi Daiči leta 2011, gl: Kitajska z dezinformacijami podžiga jezo zaradi izpusta vode iz Fukušime", 31. avgust 2023"Japonska tarča kitajske propagande in prikrite spletne kampanje", 8. junij 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Operacije kibernetskega vplivanja Državna raven Poročila na državni ravni Socialni inženiring Akterji groženj

Sorodni članki

Digitalne grožnje iz vzhodne Azije rastejo v obsegu in učinkovitosti

Poglobite se in raziščite nove trende razvijajočega se okolja groženj v vzhodni Azije, kjer Kitajska izvaja razširjene kibernetske postopke in postopke vpliva (IO), medtem ko akterji kibernetske grožnje v Severni Koreji izkazujejo vedno večjo stopnjo razvitosti.
Več informacij

Ohranjanje gospodarstva zaupanja: goljufije s socialnim inženiringom

Spoznajte razvijajočo se digitalno pokrajino, kjer je zaupanje hkrati valuta in ranljivost. Odkrijte taktike goljufij s socialnim inženiringom, ki jih kibernetski napadalci najpogosteje uporabljajo, in si oglejte strategije, s katerimi lahko prepoznate in premagate grožnje socialnega inženiringa, namenjene manipuliranju s človeško naravo.
Več informacij

Iran krepi kibernetske operacije vplivanja v podporo Hamasu

Odkrijte podrobnosti o iranskih operacijah kibernetskega vplivanja, ki podpirajo Hamas v Izraelu. Oglejte si napredek postopkov v različnih fazah vojne in preučite štiri ključne, najbolj priljubljene taktike, tehnike in postopke vplivanja (TTP) v Iranu.
Več informacij

Spremljajte Microsoftovo varnost