Trace Id is missing
Перейти до основного
Security Insider

Цифрові загрози зі Східної Азії набирають розмаху

Людина сидить за комп’ютером

Вступ

Кілька нових тенденцій у світі загроз ілюструють швидкі зміни в Східній Азії: Китай проводить масштабні хакерські операції та операції з кібервпливу (IO), а джерела загроз із Північної Кореї відточують свою майстерність.

По-перше, пов’язані з китайським урядом джерела загроз зосередилися на країнах у регіоні Південнокитайського моря, де активно шпигують за урядовими установами та іншими стратегічно важливими об’єктами. Тим часом атаки на підприємства оборонного сектору США й зондування інфраструктури цієї країни свідчить про те, що Китай шукає переваги для своєї міжнародної політики й стратегічних воєнних цілей.

По-друге, минулого року Китай ефективніше залучав користувачів соціальних мереж у свої операції з кібервпливу. Довгий час у кампаніях із впливу на громадську думку в Інтернеті китайці просто покладалися на велику кількість фальшивих облікових записів у соцмережах для якомога ширшого охоплення. Однак із 2022 року підконтрольні уряду хакери залучали справжніх користувачів у соцмережах, націлювалися на певних кандидатів у дописах про вибори в США й видавали себе за американських виборців. Крім того, за підтримки китайського уряду багатомовна ініціатива із залучення лідерів думок у соціальних мережах розширила аудиторію до понад 103 мільйонів користувачів, які розмовляють більше ніж 40 мовами.

По-третє, протягом минулого року Китай намагався розширити свій вплив у світі: проводив масштабні кібероперації на нових платформах і новими мовами. Під час кампаній у соцмережах хакери розгортають тисячі підробних облікових записів на десятках веб-сайтів, щоб поширювати меми, відео й статті різними мовами. У новинах в Інтернеті китайські ЗМІ ненав’язливо й ефективно позиціонують себе як авторитетний голос на міжнародній арені за допомогою різноманітних засобів впливу на світові медіаресурси. Одна з кампаній поширює пропаганду Комуністичної партії Китаю (КПК) через локалізовані веб-сайти новин, націлені на китайську діаспору в понад 35 країнах.

І нарешті, Північна Корея, у якої, на відміну від Китаю, бракує засобів для майстерних операцій із впливу, залишається помітним джерелом кіберзагроз. Північна Корея, яка незмінно зацікавлена в зборі розвідданих, розширює тактичні успіхи завдяки каскадним атакам на ланцюги постачання, крадіжкам криптовалют і деяким іншим методам.

Китайські операції з кібервпливу знову зосереджені на країнах у регіоні Південнокитайського моря та підприємствах ключових галузей США

З початку 2023 року Аналіз загроз Microsoft виявив три сфери особливої уваги суб’єктів загроз, пов’язаних із китайським урядом, а саме: країни в регіоні Південнокитайського моря, оборонний комплекс і критична інфраструктура США.

Вибір цілей для атак, які спонсорує держава, відображає стратегію Китаю в регіоні Південнокитайського моря

Джерела загроз, які діють за вказівкою уряду, особливо зацікавлені в країнах Південнокитайського моря й Тайвані, що відображає широкий спектр економічних, оборонних і політичних інтересів Китаю в цьому регіоні.1 Претензії на спірні території та напруження по обидві боки протоки, а також американська військова присутність мотивують Китай до кібератак.2

Корпорація Майкрософт виділила групу Raspberry Typhoon (RADIUM) як основне джерело загроз, націлене на країни регіону Південнокитайського моря. Raspberry Typhoon постійно атакує урядові установи, воєнні об’єкти, приватні компанії, пов’язані з критичною інфраструктурою, особливо з телекомунікаціями. З початку 2023 року група Raspberry Typhoon активувала свою діяльність. Під час атак на уряд й інфраструктуру хакери Raspberry Typhoon зазвичай збирають розвідувальні дані й застосовують зловмисні програми. У різних країнах цілями стають різні урядові установи: від оборонних і розвідувальних відомств до міністерств економіки й торгівлі.

Flax Typhoon (Storm-0919) – найактивніша група, яка спрямовує атаки на Тайвань. Ця група передусім зазіхає на телекомунікації, інформаційні технології, освітні заклади, енергетичну інфраструктуру й використовує для цього звичайні пристрої для мереж VPN, щоб безпосередньо проникати в мережі своїх цілей. Подібним чином діє й група Charcoal Typhoon (CHROMIUM), яка націлена на освітні заклади Тайваню, енергетичну інфраструктуру й виробників у галузі високих технологій. У 2023 році групи Charcoal Typhoon і Flax Typhoon атакували тайванські підприємства аерокосмічної галузі, які співпрацюють з міністерством оборони.

Карта регіону Південнокитайського моря, на якій показано події, що спостерігалися в кожній країні
Рисунок 1. Події, які спостерігалися в кожній країні регіону Південнокитайського моря протягом січня 2022 р. – квітня 2023 р. Дізнайтеся більше про це зображення на сторінці 4 повної версії звіту

Китайські джерела загроз звертають увагу на Ґуам після того, як США будують там військово-морську базу

На промислові підприємства оборонної галузі США націлюються багато зловмисних груп, які розташовані в Китаї, зокрема Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) і Mulberry Typhoon (MANGANESE). Хоча іноді їхні атаки спрямовані проти тих самих об’єктів, ці три групи загроз діють незалежно, мають окремі інфраструктуру й можливості.3

Circle Typhoon активно працює проти оборонної промисловості США, зокрема проводить операції для розробки ресурсів, збору розвідданих, отримання початкового доступу й доступу до облікових даних. Circle Typhoon часто використовує пристрої для мереж VPN, щоб атакувати ІТ-компанії та підрядників оборонної галузі, які розташовані в США. Група Volt Typhoon також проводила інформаційну розвідку проти численних оборонних підрядників США. Найчастіше такі атаки спрямовані проти Ґуаму, а саме проти розташованих там компаній супутникового зв’язку й телекомунікацій.4

Зазвичай Volt Typhoon намагається зламати маршрутизатори в невеликих офісах або приватних будинках, щоб розбудувати інфраструктуру.5 Група Mulberry Typhoon також часто обирала своєю ціллю промислові підприємства оборонного комплексу США. Примітно, що група атакувала пристрої своїх цілей експлойтом нульового дня.6 Увага зловмисників до Ґуаму дуже важлива з огляду на те, що ця територія розташована найближче до США у Східній Азії та відіграє значну стратегічну роль для США в цьому регіоні.

Китайські джерела загроз націлені на критичну інфраструктуру США

За останні пів року корпорація Майкрософт спостерігала за тим, що джерела загроз, пов’язані з китайським урядом, атакують критичну інфраструктуру США в різних секторах і докладають значних зусиль для розробки ресурсів. Принаймні з літа 2021 року за цими злочинами стоїть група Volt Typhoon, а обсяги її діяльності досі повністю не відомі.

Атак зазнали транспортний сектор (порти, залізниця), комунальні служби (енергетика й водопостачання) медична інфраструктура (включно з лікарнями) і телекомунікації (супутникові і оптоволоконні системи зв’язку). У корпорації Майкрософт припускають, що в результаті цієї кампанії Китай отримав можливості порушувати роботу критичної інфраструктури між США й Азією.7

Джерела загроз із Китаю проводять атаки проти близько 25 організацій, зокрема урядових установ США

З 15 травня суб’єкт загроз із Китаю під назвою Storm-0558 використовував підробні маркери автентифікації, щоб отримати доступ до облікових записів електронної пошти близько 25 організацій-клієнтів корпорації Майкрософт, зокрема урядових установ у США та Європі.8 Корпорація Майкрософт успішно заблокувала цю кампанію. Хакери мали на меті отримати неавторизований доступ до облікових записів електронної пошти. Фахівці корпорації Майкрософт вважають, що ці дії відповідають цілям групи Storm-0558, яка зацікавлена в шпіонажі. Раніше вона атакувала дипломатичні установи США та європейських країн.

Китай націлює кібератаки на своїх стратегічних партнерів

Китай налагодив двосторонні міжнародні відносини й залучив партнерів із різних куточків світу завдяки ініціативі "Один пояс, один шлях". Паралельно фінансовані урядом джерела загроз атакували приватні компанії та державні організації в різних країнах. Китайські зловмисні атаки націлені на держави, які поділяють стратегію Комуністичної партії Китаю щодо ініціативи "Один пояс, один шлях", наприклад Казахстан, Намібію, В’єтнам та інші.9 Водночас хакерські групи часто атакують міністерства закордонних справ у Європі, Латинській Америці й Азії – імовірно з метою шпіонажу або збору розвіданих.10 Доки Китай розширює свій вплив у світі, пов’язані з ним джерела загроз розвиватимуть свою злочинну діяльність. У квітні 2023 року група Twill Typhoon (TANTALUM) успішно уразила комп’ютери в державних установах в Африці та Європі, а також міжнародних гуманітарних організаціях.

В операціях у соціальних мережах, які просувають ідеї КПК, ефективніше залучають користувачів

Відтепер під час прихованих операцій із кібервпливу на замовлення КПК успішно залучають цільову аудиторію в соцмережах, набагато більше, ніж ми спостерігали досі. Це свідчить про підвищення майстерності й розробку кращих онлайнових ресурсів для проведення операцій із кібервпливу. Перед проміжними виборами в США у 2022 році корпорація Майкрософт з іншими компаніями в галузі спостерігала, як пов’язані з компартією Китаю облікові записи в соцмережах видавали за американських виборців, а це було досі незвіданою територію для китайських хакерів.11 Ці облікові записи видавали за американських користувачів із різними політичними поглядами й відповідали з них на коментарі справжніх людей.

Характерні для цих облікових записів поведінка та вміст демонструють добре вивчені прийоми, методи й процедури китайських операцій із кібервпливу. Наприклад: перші дописи з облікових записів публікуються мандаринською мовою, а потім відбувається перехід на іншу мову, одразу після публікації допису відбувається взаємодія зі вмістом з інших ресурсів, пов’язаних із Китаєм, за схемою "посіяти зерно й підсилити".12 У попередніх операціях із кібервпливу китайські зловмисники використовували згенеровані комп’ютером ідентифікатори, короткі імена й зображення профілю, які було легко відрізнити від справжніх13. Але тепер атаки майстерніше сплановані, ними керують реальні виконавці, які використовують фальшиві або крадені ідентичності, щоб приховати зв’язок облікових записів із Китаєм.

Як відомо, методи роботи цих облікових записів схожі на ті, що використовувала елітна група в рамках Міністерства громадської безпеки КНР під назвою 912 спеціальна робоча група. Згідно з даними Міністерства юстиції США ця група керувала фермою тролів, яка створювала тисячі фальшивих профілів у соцмережах і просувала пропаганду КПК серед демократично налаштованих активістів.

Деякі фахівці підозрюють, що приблизно з березня 2023 року у своїх операціях із кібервпливу в соцмережах західних країн Китай почав застосовувати генеративний штучний інтелект (ШІ) для створення візуального вмісту. Такий вміст досить високої якості більше привертав увагу реальних користувачів соцмереж. На відміну від дивного візуального вмісту попередніх кампаній, ці зображення створені за допомогою методу дифузії та виглядають краще. Користувачі значно частіше поширювали їх попри явні ознаки того, що вони створені ШІ (наприклад більше п’яти пальців на руці).14

Публікації в соцмережах поруч із однаковими плакатами на тему руху Black Lives Matter.
Рисунок 2. Плакат на тему руху Black Lives Matter (Життя чорношкірих важливі), який було вперше опубліковано в пов’язаному з Китаєм фальшивому обліковому записі, уже через 7 годин поширив користувач, який удавав із себе американця з консервативними поглядами.
Пропагандистське зображення Статуї Свободи, згенероване ШІ.
Рисунок 3. Приклад зображення, згенерованого ШІ, опублікованого ймовірним китайським виконавцем операцій із кібервпливу. На руці зі смолоскипом Статуї Свободи більше п’яти пальців. Дізнайтеся більше про це зображення на сторінці 6 повної версії звіту.
Лідери думок чотирьох категорій: журналісти, колеги, користувачі, що пропагують стиль життя, і представники етнічних меншин – на шкалі від явних до прихованих
Рисунок 4. До цієї ініціативи залучають лідерів думок, яких можна розділити на чотири категорії залежно від їхнього досвіду, цільової аудиторії, сфери зайнятості й стратегій управління. Усі особи, яких ми аналізували, мають безпосередні зв’язки з китайськими державними ЗМІ (наприклад, працюють там, подорожують за їхній кошт або отримують інші грошові винагороди). Дізнайтеся більше про це зображення на сторінці 7 повної версії звіту.

Державна ініціатива Китаю із залучення лідерів думок

Інша стратегія, яка ефективна в соціальних мережах, – це концепція КПК про "багатомовний інтернет-простір взаємодії зі знаменитостями" (多语种网红工作室).15 Усвідомлюючи силу голосів реальних людей, понад 230 працівників державних ЗМІ та пов’язані особи позиціонували себе як незалежних лідерів думок у різних західних соціальних мережах.16 У 2022 і 2023 рр. нові лідери думок з’являлися в середньому що сім тижнів. Їх відбирали, тренували, просували й фінансували через Міжнародне радіо Китаю та інші державні ЗМІ. Ці лідери думок поширювали вміст, створений і локалізований фахівцями з пропаганди, і розширювали цільову аудиторію по всьому світу, досягши на різних платформах сукупно понад 103 мільйони підписників, які розмовляють понад 40 мовами.

Хоча лідери думок переважно публікують вміст про своє життя, таким чином пропаганда намагається пом’якшити імідж Китаю закордоном.

Згідно зі стратегією добору лідерів думок для цієї державної програми розглядають кандидатів двох категорій: людей із досвідом роботи в журналістиці (зокрема в державних ЗМІ) та нещодавніх випускників програм із вивчення іноземних мов. Схоже, що Китайська медіагрупа China Media Group (материнська компанія, якій належать Міжнародне радіо Китаю та телевізійна мережа CGTN) наймає випускників найкращих навчальних закладів, де вивчають іноземні мови, як-от Державний університет у Пекіні й Університет комунікацій Китаю. Якщо лідери думок не вчорашні випускники університетів, вони зазвичай виявляються колишніми журналістами й перекладачами, які, отримавши "нову роботу", видалили зі своїх профілів у соцмережах будь-які згадки про свій стосунок до державних ЗМІ Китаю.

Лідер думок Сун Сяо, який володіє лаоською, веде відеоблоґ про свій стиль життя, де обговорює відновлення економіки Китаю під час пандемії COVID-19.
Рисунок 5. Лідер думок Сун Сяо, який володіє лаоською, веде відеоблоґ про свій стиль життя, де обговорює відновлення економіки Китаю під час пандемії COVID-19. Він знімає відеокліпи про те, як відвідує автосалони Пекіна й розмовляє з місцевими. Дізнайтеся більше про це зображення на сторінці 8 повної версії звіту
Допис у соцмережі, опублікований англомовною лідеркою думок Техні Рейчел.
Рисунок 6. Англомовна блоґерка Техні Рейчел, яка спеціалізується на дописах про технології та інновації, відхиляється від своєї звичайної теми, щоб порозмірковувати про китайські шпигунські повітряні кулі. Як і всі державні ЗМІ, вона заперечує, що куля використовувалася для розвідки. Дізнайтеся більше про це зображення на сторінці 8 повної версії звіту

Лідери думок спілкуються з користувачами з різних куточків світу понад 40 мовами

Географічне розповсюдження мов, якими розмовляють спонсоровані державою лідери думок, указує на зростання міжнародного впливу Китаю та його пріоритети щодо регіонів. Більшість цих людей володіють мовами азійського регіону (крім китайської), наприклад сингальською, лаоською, корейською, в’єтнамською, гінді та пушту. На другому місці – англомовні лідери думок.
П’ять секторних діаграм, які показують розподіл лідерів думок, спонсорованих Китаєм, за мовами.
Рисунок 7. Розподіл лідерів думок, спонсорованих Китаєм, за мовами. Дізнайтеся більше про це зображення на сторінці 9 повної версії звіту

Китай залучає аудиторію у всьому світі

Лідери думок націлені на сім аудиторій (згрупованих за мовами), які поділені на географічні регіони. Немає діаграм для аудиторій, які розмовляють англійською або китайською.

Китай проводить кілька кампаній із кібервпливу для розширення свого впливу у світі

У 2023 році Китай збільшив масштаби своїх операцій із кібервпливу в Інтернеті, додавши нові мови спілкування з користувачами й вийшовши на нові платформи. У цих операціях крім повністю підконтрольного апарату державних ЗМІ застосовуються приховані ресурси в соцмережах, як-от боти, які відточують і посилюють пропагандистські наративи китайської компартії.17

Корпорація Майкрософт відстежує одну з таких кампаній, яка почалася в 2022 році й триває на момент написання цієї статті. Ціллю кампанії стала іспанська громадська організація (НГО) Safeguard Defenders після того, як викрила існування понад 50 китайських поліційних установ поза межами Китаю.18 У цій зловмисній кампанії було розгорнуто більше 1800 облікових записів у різних соцмережах і десятки веб-сайтів, які поширювали підготовлені китайським урядом меми, відеокліпи й повідомлення, що критикували США та інші демократичні країни.

Ці облікові записи публікували вміст новими для китайської пропаганди мовами (нідерландською, грецькою, індонезійською, шведською, турецькою, уйгурською тощо) на нових соціальних платформах (зокрема Fandango, Rotten Tomatoes, Medium, Chess.com і ВКонтакті). Попри розмах цієї операції та наполегливість виконавців, на дописи рідко реагували реальні користувачі, що висвітлює примітивність такої діяльності китайських джерел загроз.

Емблеми 30 відомих технологічних брендів разом зі списком 16 мов
Рисунок 8. Вміст, схвалений КПК, було виявлено на багатьох платформах різними мовами. Дізнайтеся більше про це зображення на сторінці 10 повної версії звіту
Два знімки екрана поруч із прикладами пропагандистських відео тайванською мовою
Рисунок 9. Велика кількість поширень відео тайванською мовою із закликом до уряду Тайваню "здатися" Пекіну. Велика різниця між кількістю коментарів і поширень є яскравим індикатором спланованої операції з кібервпливу. Дізнайтеся більше про це зображення на сторінці 10 повної версії звіту

Завуальована глобальна мережа новинних веб-сайтів КПК

Ще одна цифрова кампанія в ЗМІ, яка демонструє розмах китайських операцій із кібервпливу – це мережа з 50 переважно китайськомовних веб-сайтів новин, які служать відомій меті компартії бути авторитетним голосом усіх китайських медіаресурсів у світі.19 Хоча ці веб-сайти представляють як незалежні ЗМІ, що не мають жодного відношення до КПК і просто забезпечують інформаційні потреби китайської діаспори, вони пов’язані з робочим відділом КПК "Єдиний фронт" (United Front Work Department (UFWD), який відповідає за зміцнення впливу партії за межами країни, насамперед за допомогою налагодження зв’язків із китайцями. Ми припускаємо це з високим рівнем вірогідності на основі технічних ідентифікаторів, реєстраційних даних і публікацій спільного вмісту.20
Карта світу з понад 20 емблемами китайських веб-сайтів, які націлені на китайську діаспору.
Рисунок 10. Карта веб-сайтів, які є частиною цієї медіа-стратегії, що націлені на китайську діаспору в різних країнах.  Дізнайтеся більше про це зображення на сторінці 11 повної версії звіту

Оскільки в багатьох веб-сайтів спільні IP-адреси, надіславши запити щодо IP-адрес відомих нам доменів через Аналіз загроз Microsoft Defender, ми змогли виявити інші сайти в цій мережі. У багатьох із них однаковий код HTML для інтерфейсів, у деяких навіть ідентичні вбудовані в коді коментарі розробника. Більше 30 таких сайтів використовують ті самі інтерфейс прикладних програм (API) та систему керування вмістом, що й дочірнє інформаційне агентство відділу "Єдиний фронт", яке повністю підконтрольне Службі новин Китаю (CNS)21 Дані Міністерства промисловості й інформаційних технологій Китаю теж свідчать про те, що ця пов’язана з "Єдиним фронтом" технологічна компанія та ще одна інша зареєстрували принаймні 14 веб-сайтів новин у цій мережі.22 Завдяки використанню дочірніх і сторонніх компаній "Єдиний фронт" може охоплювати глобальну аудиторію та водночас приховувати свою участь.

Ці веб-сайти претендують на роль незалежних інформаційних ресурсів, але вони часто публікують статті державних китайських ЗМІ та видають себе за першоджерело. Сайти широко висвітлюють міжнародні новини й публікують звичайні для китайських державних ЗМІ матеріали, а політично чутливі теми подаються у відповідності до наративів КПК. Наприклад кількасот статей у цій мережі веб-сайтів просувають неправдиві заяви про те, що вірус COVID-19 – це біологічна зброя, створена у військовій дослідницькій лабораторії США у Форт Детріку.23 Крім того, на цих сайтах циркулюють заяви китайських офіційних осіб і статті державних ЗМІ з припущеннями, що вірус COVID-19 походить зі США, а не з Китаю. Ці веб-сайти демонструють, наскільки глибоко проникає контроль КПК в китайськомовне цифрове середовище. Це дає змогу компартії замовчувати делікатні теми.

Схема того, як однакові статті публікуються на різних сайтах.
Рисунок 11. Веб-сайти, які презентують як незалежні в певній громаді, але публікують спільний для китайських ЗМІ вміст. На цій схемі показані приклади однакових статей, опублікованих на різних сайтах. Дізнайтеся більше про це зображення на сторінці 12 повної версії звіту
Знімки екранів із прикладами повторних публікацій статті на різних веб-сайтах для цільової аудиторії в Італії, Угорщині, Росії та Греції
Рисунок 12. Служба новин Китаю та інші державні медіа опублікували статтю "Відомості від ВООЗ викривають приховані біолабораторії США в Україні". Цю статтю потім публікували на різних веб-сайтах для цільової аудиторії в Угорщині, Швеції, Західній Африці й Греції. Дізнайтеся більше про це зображення на сторінці 12 повної версії звіту

Глобальне охоплення китайських державних ЗМІ

Хоча вище описана досить заплутана прихована кіберкампанія, більшість глобальної аудиторії припадає на офіційні державні веб-сайти, які сумлінно працюють на інтереси КПК. Партія розширяє аудиторію на іншомовних користувачів,24 відкриває представництва державних ЗМІ закордоном,25 створює доброзичливий до Пекіна вміст26 і таким чином висвітлює делікатні теми в руслі своєї пропаганди, створивши ілюзію "права на висловлювання" (话语权) в ЗМІ різних країн.27
Організаційна діаграма, яка дає уявлення про екосистему неприхованої пропаганди КПК.
Рисунок 13. Організаційна діаграма, яка дає уявлення про функції та ресурси, які є частиною екосистеми неприхованої пропаганди КПК. Дізнайтеся більше про це зображення на сторінці 13 повної версії звіту

Вимірювання трафіку на китайських державних веб-сайтах

Лабораторія корпорації Майкрософт "ШІ заради добра" розробила індекс для вимірювання трафіку від користувачів поза межами Китаю на ресурси, основним власником яких є китайський уряд. Індекс вимірює співвідношення між трафіком відвідування цих сайтів і загальним трафіком в Інтернеті, аналогічно роботі індексу результативності російської пропаганди (Russian Propaganda Index (RPI), який запроваджено в червні 2022 р.28

Роботу китайських державних ЗМІ підтримують п’ять основних доменів, які відповідають приблизно за 60% загальної кількості переглядів сторінок цих ресурсів.

Графік, який показує споживання інформації китайських ЗМІ
Дізнайтеся більше про це зображення на сторінці 14 повної версії звіту

Індекс висвітлює тенденції успішної діяльності китайських державних ЗМІ в різних географічних регіонах протягом певного періоду. Наприклад серед країн-учасниць Асоціації держав Південно-Східної Азії Сінгапур і Лаос виділяються тим, що трафік на державні веб-сайти Китаю із цих країн майже вдвічі вищий, ніж із Брунею, який посідає третє місце. На останній позиції розмістилися Філіппіни, звідки трафік на веб-сайти Китаю майже в 30 разів нижчий, ніж із Сінгапуру й Лаосу. У Сінгапурі офіційною мовою є мандаринська, тому високий рівень перегляду китайських державних ЗМІ відображає вплив Китаю на новини мандаринською мовою. У Лаосі значно менше носіїв китайської мови, тому можна говорити про відносно успішну роботу китайських державних ЗМІ в цій країні.

Знімок екрана домашньої сторінки PhoenixTV, домену з найвищим рівнем відвідування.
Рисунок 14. Домашня сторінка PhoenixTV, домену з найвищим рівнем відвідування, що займає 32% від усієї кількості переглядів сторінок. Дізнайтеся більше про це зображення на сторінці 14 повної версії звіту

Майстерні кібероперації Північної Кореї збирають розвіддані й забезпечують прибуток для держави

Джерела загроз з Північної Кореї проводять кібероперації для того, щоб (1) збирати розвіддані про держави, які вважають своїми ворогами, а саме: Південну Корею, США та Японію; (2) збирати розвіддані про військовий потенціал інших країн, щоб покращувати власні можливості; (3) викрадати криптовалюти для наповнення державного бюджету. У минулому році корпорація Майкрософт спостерігала частіші збіги у виборі цілей різними джерелами загроз Північної Кореї та підвищення складності самих атак.

Пріоритетами кібердіяльності Північної Кореї є розробки в галузі військово-морських технологій на тлі випробування підводних дронів і транспортних засобів

За минулий рік фахівці Аналізу загроз Microsoft спостерігали частіші збіги у виборі цілей різними джерелами загроз із Північної Кореї. Наприклад три північнокорейські джерела загроз – Ruby Sleet (CERIUM), Diamond Sleet (ZINC) і Sapphire Sleet (COPERNICIUM) – атакували військово-морський сектор і кораблебудівну галузь із листопада 2022 р. по січень 2023 р. Оскільки раніше фахівці корпорації Майкрософт не помічали такого рівня збігів у цілях серед різних зловмисних груп, складається враження, що в указаний період розробки в галузі військово-морських технологій були пріоритетом для уряду Північної Кореї. Є дані про те, що в березні 2023 року Північна Корея здійснили пробні запуски двох стратегічних крилатих ракет із підводного човна в напрямку Японського моря (Східного моря) як попередження перед початком спільних військових навчань США і Південної Кореї під назвою "Щит свободи". Пізніше того ж місяця Північна Корея ймовірно випробувала два підводні бойові безпілотники Haeil на узбережжі Японського моря на сході країни. Ці морські випробування відбулися невдовзі після того, як три хакерські групи Північної Кореї атакували оборонні підприємства морського флоту для збору розвідувальних даних.

Джерела загроз уражають оборонні компанії, щоб збирати розвіддані на замовлення Північної Кореї

З листопада 2022 року по січень 2023 року корпорація Майкрософт зафіксувала другий випадок збігу цілей зловмисних груп, коли Ruby Sleet і Diamond Sleet атакували оборонні компанії. Ці джерела загроз уразили двох виробників озброєння в Німеччині та Ізраїлі. Можна припустити, що уряд Північної Кореї залучає кілька груп зловмисників одночасно до збору розвідданих у пріоритетних галузях, щоб покращити свої військові можливості. З січня 2023 року група Diamond Sleet також атакувала оборонні компанії в Бразилії, Чехії, Фінляндії, Італії, Норвегії та Польщі.
Секторна діаграма, яка показує найчастіші цілі Північної Кореї в оборонній галузі, за країнами
Рисунок 15. Атаки Північної Кореї на оборонну галузь із розподілом на країни з березня 2022 р. по березень 2023 р.

Російські урядові й оборонні організації залишаються цілями атак Північної Кореї для збору розвідувальних даних

Нещодавно Північна Корея замовляла хакерські атаки на урядовий і оборонний сектор Росії та водночас надавала їй матеріальну підтримку у війні проти України.32 У березні 2023 р. група Ruby Sleet уразила аерокосмічний дослідний інститут у Росії. Крім того, на початку березня група Onyx Sleet (PLUTONIUM) уразила пристрій, який належить одному з російських університетів. Того ж місяця з облікового запису, який, імовірно, належить групі Opal Sleet (OSMIUM), надіслано фішингові електронні листи до російських дипломатичних установ. Напевно, джерела загроз Північної Кореї користуються можливістю для збору розвідувальних даних про організації Росії, доки та зосереджена на війні проти України.

Групи загроз із Північної Кореї демонструють майстерність під час крадіжок криптовалют і атак на ланцюги постачання

За оцінками корпорації Майкрософт атаки зловмисних груп Північної Кореї для крадіжки криптовалют і порушення ланцюгів постачання стали майстернішими. У січні 2023 р. Федеральне бюро розслідувань США оприлюднило свої дані про те, що викрадення 100 млн дол. США в криптовалюті з Horizon Bridge компанії Harmony в червні 2022 р. здійснила група Jade Sleet (DEV-0954), або Lazarus Group/APT38.33 Більше того, корпорація Майкрософт визначила, що атаку на ланцюг постачання системи 3CX у березні 2023 р., яка спиралася на попереднє ураження ланцюга постачання фінансово-технологічної компанії в США в 2022 р., здійснила група Citrine Sleet (DEV-0139). Уперше корпорація Майкрософт спостерігала, як зловмисна група використовувала попередньо уражений ланцюг постачання для атаки іншого. Це свідчить про вищий рівень майстерності кібероперацій Північної Кореї.

Emerald Sleet застосовує перевірені прийоми цільового фішингу, щоб змусити експертів висловлюватися про міжнародні політичні події

Emerald Sleet (THALLIUM) – найактивніша група серед джерел загроз Північної Кореї, за якими корпорація Майкрософт стежила минулого року. Група постійно й цілеспрямовано надсилає фішингові електронні листи для збору розвідданих експертам, які спеціалізуються на Корейському півострові. У грудні 2022 р. Аналіз загроз Microsoft детально проаналізував фішингові кампанії Emerald Sleet, які були націлені на впливових експертів зі США та союзних країн. Як виявилося, хакери з Emerald Sleet не розгортали зловмисні файли чи посилання на зловмисні веб-сайти, натомість вони застосовували унікальну тактику: вдавши із себе поважні академічні інститути й громадські організації, обманом змушували свої цілі висловлювати фахову думку й коментувати міжнародні політичні події, пов’язані з Північною Кореєю.

Можливості: Вплив

За минулий рік Північна Корея провела певну кількість операцій із кібервпливу в соціальних мережах, де можна обмінюватися відеовмістом, як-от YouTube і TikTok.34 Майже всі північнокорейські лідери думок на YouTube – це жінки або дівчата, одна навіть одинадцяти років, які публікують відеокліпи про своє щоденне життя і просувають позитивні наративи про політичний режим. Деякі з них розмовляють у відео англійською, щоб охопити ширшу аудиторію в усьому світі. Північнокорейські лідери думок працюють менш ефективно, ніж ті, яких підтримує уряд Китаю в рамках державної ініціативи.

Прогнози на майбутнє: геополітичне напруження мотивує до хакерських атак і операцій із кібервпливу

За останні роки Китай розширив свої можливості в сфері цифрових технологій і проводив амбітні операції з кібервпливу. У найближчій перспективі Північна Корея зосереджуватиметься на цілях, пов’язаних з її політичними, економічними й військовими інтересами в цьому регіоні. Варто очікувати, що Китай ширше розкине сіті шпіонажу як за своїми геополітичними опонентами, так і за союзниками на кожному континенті. Хоча китайські джерела загроз невпинно розвивають і використовують нові цифрові технології, ми спостерігаємо, що Китай не поєднує хакерські атаки з операціями із кібервпливу, на відміну від Ірану й Росії, які проводять кампанії зі зламу й привласнення інформації.

Жодні агенти впливу не можуть зрівнятися за масштабами дільності з китайськими джерелами загроз, які готові скористатися кількома основними світовими тенденціями й подіями протягом наступних шести місяців.

По-перше, використання відеокліпів і візуальних мультимедія стає нормою. Пов’язані з компартією Китаю мережі давно використовують для профілів зображення, створені ШІ. Цього року вони почали застосовувати згенерований ШІ візуальний вміст для мемів. Спонсоровані державою суб’єкти й надалі замовлятимуть приватним фірмам, які спеціалізуються на створенні вмісту та зв’язках із громадськістю, операції з поширення пропаганди.35

По-друге, Китай намагатиметься залучати до взаємодії реальних користувачів, інвестувати час і ресурси в створені ресурси в соціальних мережах. Лідери думок з глибокими знаннями культури й мови, а також високоякісний відеовміст стали передумовами для успішних кампаній залучення користувачів у соціальних мережах. КПК вдаватиметься до деяких із цих прийомів, зокрема до взаємодії з користувачами в соцмережах і демонстрації культурних здобутків, щоб просувати свої приховані медіа-кампанії.

По-третє, пріоритетними цілями для китайських операцій із кібервпливу залишатимуться Тайвань і США, особливо з огляду на майбутні вибори в цих країнах у 2024 році. Зважаючи на те, що агенти впливу, які діють в інтересах китайського уряду, намагалися втручатися в останні вибори в США, вони, безперечно, робитимуть це знову. Фальшиві профілі в соціальних мережах, які вдаватимуть із себе американських виборців, цього разу діятимуть майстерніше, щоб посіяти ворожнечу на расовому, соціальному, економічному й ідеологічному підґрунті за допомогою дописів із жорсткою критикою США.

  1. [2]

    Нові бази на Філіппінах посилили військову присутність США в регіоні, https://go.microsoft.com/fwlink/?linkid=2262254

  2. [3]

    Зараз недостатньо доказів зв’язку між цими групами.

  3. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; Ця статистика відображає дані станом на квітень 2023 р.
  4. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Цих агентів впливу іноді називають "Spamouflage Dragon" або "DRAGONBRIDGE".
  5. [20]

    Статті: Система стандартів Центру Аналізу кіберзагроз корпорації Майкрософт для виявлення ознак впливу. https://go.microsoft.com/fwlink/?linkid=2262095; Китайський уряд загалом називає діаспору "китайці закордоном" або китайською 华侨 (huaqiao). Це стосується людей із китайським громадянством або корінням, які мешкають за межами КНР. Докладні відомості про те, як офіційний Пекін розглядає діаспору, див. тут: https://go.microsoft.com/fwlink/?linkid=2262777

  6. [23]

    Китайський уряд почав просувати цей наратив на початку пандемії COVID-19, див.: https://go.microsoft.com/fwlink/?linkid=2262170; Веб-сайти в цій мережі, які просувають цю заяву: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  7. [28]

    Захист України: перші уроки кібервійни, https://go.microsoft.com/fwlink/?linkid=2262441

  8. [30]

    По-іншому концепцію програми Xuexi Qiangguo можна інтерпретувати так: "Вивчай Сі – зміцнюй країну". "Сі" в цьому виразі скорочено позначає ім’я Сі Цзіньпіна. Уряди, університети й приватні компанії в Китаї пропагують використання цієї програми, іноді навіть соромлять або карають підлеглих за те, що вони рідко нею користуються (див. https://go.microsoft.com/fwlink/?linkid=2262362)

  9. [31]

    Газета належить медіакомпанії Shanghai United Media Group, яку повністю контролює Комітет комуністичної партії в Шанхаї: https://go.microsoft.com/fwlink/?linkid=2262098

  10. [35]

    Раніше компартія Китаю інвестувала в приватні компанії, які підтримували операції з кібервпливу за допомогою маніпулювання пошуковою оптимізацією, фальшивих уподобань або підписників й інших методів. Це відображено в документах із державних закупівель: https://go.microsoft.com/fwlink/?linkid=2262522

Пов’язані статті

LOTL-атаки угрупування Volt Typhoon на критичну інфраструктуру США

Спонсороване китайською державою джерело загрози Volt Typhoon використовувало методи непомітності, щоб атакувати критичну інфраструктуру США, здійснювати шпигунство та проникати в уражені середовища.

Пропаганда в епоху цифрових технологій: як операції з кібервпливу руйнують довіру

Ознайомтеся зі світом операцій із кібервпливу, у якому національні держави поширюють пропаганду з метою дискредитації достовірної інформації, необхідної для процвітання демократії.

Іран вдається до операцій впливу в кіберсередовищі для досягнення геополітичних цілей

Фахівці команди Аналізу загроз Microsoft виявили збільшений рівень операцій впливу в кіберсередовищі з Ірану. Отримуйте аналітику про методи й можливі напрямки нових загроз.

Підпишіться на новини про Захисний комплекс Microsoft