Trace Id is missing
Преминаване към основното съдържание
Security Insider

Цифровите заплахи от Източна Азия увеличават обхвата и ефективността си

Изтегляне
Споделяне
Човек, който седи пред компютър

Въведение

Няколко нововъзникващи тенденции илюстрират бързо променящия се пейзаж на заплахите в Източна Азия, като Китай провежда както широкоразпространени кибероперации, така и операции за оказване на влияние (ОИВ), а севернокорейските участници в кибер заплахи демонстрират повишена сложност.

На първо място, свързаните с китайската държава групи за киберзаплахи са се фокусирали върху региона на Южнокитайско море, насочвайки кибершпионаж към правителства и други критични структури, които са разположени в тази морска зона. Междувременно насочването на Китай към отбранителния сектор на САЩ и проучването на американската инфраструктура сигнализира за опити за получаване на конкурентни предимства за външните отношения и стратегическите военни цели на Китай.

Второ, през изминалата година Китай стана по-ефективен в ангажирането на потребителите на социалните медии  с ОИВ. Китайските кампании за онлайн влияние отдавна разчитат на самия обем, за да достигнат до потребителите чрез мрежи от неавтентични акаунти в социалните медии. От 2022 г. насам обаче мрежите за социални медии, свързани с Китай, се ангажират директно с автентични потребители в социалните медии, насочват се към конкретни кандидати в съдържание за изборите в САЩ и се представят за американски избиратели. Отделно от това, свързаната с държавата инициатива на Китай за многоезично влияние в социалните медии успешно е ангажирала целеви аудитории на поне 40 езика и е увеличила аудиторията си до над 103 милиона.

На трето място, през изминалата година Китай продължи да увеличава мащаба на своите кампании за ИОВ, като разшири усилията си на нови езици и нови платформи, за да увеличи своя глобален отпечатък. В социалните медии кампаниите разполагат с хиляди неавтентични акаунти в десетки уебсайтове, като разпространяват миймове, видеоклипове и съобщения на множество езици. В онлайн новинарските медии китайските държавни медии тактично и ефективно се позиционират като авторитетен глас в международния дебат за Китай, използвайки различни средства за оказване на влияние върху медиите по света. Една кампания прокарва пропагандата на Китайската комунистическа партия (ККП) чрез локализирани новинарски уебсайтове, насочени към китайската диаспора в повече от 35 държави.

И накрая, Северна Корея – която, за разлика от Китай, не разполага с възможности за оказване на сложно влияние – остава огромна киберзаплаха. Северна Корея проявява постоянен интерес към събирането на разузнавателна информация и увеличава тактическата си ефективност, като използва каскадни атаки по веригата за доставки и кражба на криптовалута, наред с други тактики.

Китайските кибероперации подновяват фокуса си върху Южнокитайско море и ключови промишлени отрасли в САЩ

От началото на 2023 г. Наборът от ресурси на Microsoft срещу заплахи идентифицира три области с особен фокус за свързаните с Китай участници в киберзаплахи: Южнокитайско море, отбранителната индустриална база на САЩ и критичната инфраструктура на САЩ.

Насочването към определени аудитории, спонсорирано от китайската държава, отразява стратегическите цели в Южнокитайско море

Свързаните с китайската държава извършители, представляващи заплаха, проявяват постоянен интерес към Южнокитайско море и Тайван, което отразява широкия спектър от икономически, отбранителни и политически интереси на Китай в този регион.1 Конфликтните териториални претенции, нарастващото напрежение между протоците и засиленото военно присъствие на САЩ могат да бъдат мотиви за нападателните кибердейности на Китай.2

Microsoft проследява Raspberry Typhoon (RADIUM) като основна група заплахи, насочени към държавите, които обграждат Южнокитайско море. Raspberry Typhoon постоянно се насочва към правителствени министерства, военни структури и корпоративни структури, свързани с критичната инфраструктура, особено телекомуникациите. От януари 2023 г. насам Raspberry Typhoon е особено настойчива. Когато се насочва към правителствени министерства или инфраструктура, Raspberry Typhoon обикновено събира разузнавателна информация и осъществява злонамерен софтуер. В много държави целите варират от министерства, свързани с отбраната и разузнаването, до министерства, свързани с икономиката и търговията.

Flax Typhoon (Storm-0919) е най-изявената група за заплахи, насочена към остров Тайван. Тази група е насочена предимно към телекомуникационна, образователна, информационно-технологична и енергийна инфраструктура, обикновено чрез използване на персонализирано VPN устройство за директно установяване на присъствие в целевата мрежа. По подобен начин Charcoal Typhoon (CHROMIUM) е насочен към тайванските образователни институции, енергийната инфраструктура и високотехнологичното производство. През 2023 г. и Charcoal Typhoon, и Flax Typhoon бяха насочени към тайвански аерокосмически предприятия, които сключват договори с тайванската армия.

Карта на региона на Южнокитайско море с подчертани наблюдавани събития по държави
Фигура 1: Наблюдавани събития по държави в Южнокитайско море от януари 2022 г. до април 2023 г. Научете повече за това изображение на страница 4 в пълния отчет

Китайските участници в заплахите насочват вниманието си към Гуам, докато САЩ изграждат база на морската пехота

Няколко базирани в Китай групи за заплахи продължават да се насочват към отбранително-промишлената база на САЩ, а това са именно Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) и Mulberry Typhoon (MANGANESE). Въпреки че целите на тези три групи понякога се припокриват, те са отделни участници с различна инфраструктура и възможности.3

Circle Typhoon извършва широк спектър от кибер дейности срещу отбранително-промишлената база на САЩ, включително разработване на ресурси, събиране на информация, първоначален достъп и достъп до идентификационни данни. Circle Typhoon често използва VPN устройства, за да атакува ИТ и базираните в САЩ изпълнители на отбранителни дейности. Volt Typhoon също така е провеждал разузнаване срещу многобройни американски компании в областта на отбраната. Гуам е една от най-честите мишени на тези кампании, особено намиращите се там обекти за сателитни комуникации и телекомуникации.4

Честа тактика на Volt Typhoon включва компрометиране на малки офис и домашни рутери, обикновено с цел изграждане на инфраструктура.5 Mulberry Typhoon е насочена и към отбранителната индустриална база на САЩ, най-вече с уязвимост от нулевия ден, насочена към устройства.6 Засиленото насочване към Гуам е важно, имайки предвид, че Гуам е най-близката територия на САЩ до Източна Азия и решаващото му значение за стратегията на САЩ в региона.

Китайските групи, осъществяващи заплахи, се насочват към критичната инфраструктура на САЩ

През последните шест месеца Майкрософт наблюдава, че свързани с китайската държава групи за заплахи се насочват към критичната инфраструктура на САЩ в множество сектори и значително развитие на ресурсите. Volt Typhoon е основната група, която стои зад тази дейност поне от лятото на 2021 г., като обхватът на тази дейност все още не е напълно известен.

Целевите сектори включват транспорт (като пристанища и железопътни линии), комунални услуги (като енергетика и пречистване на вода), медицинска инфраструктура (включително болници) и телекомуникационна инфраструктура (включително сателитни комуникации и фиброоптични системи). Microsoft преценява, че тази кампания може да предостави на Китай възможности за нарушаване на критичната инфраструктура и комуникациите между САЩ и Азия.7

Базираната в Китай група за заплахи е насочена към приблизително 25 организации, включително американски правителствени структури

От 15 май Storm-0558, базирана в Китай група – извършител, представляващ заплаха – използва фалшиви маркери за удостоверяване, за да получава достъп до имейл акаунти на клиенти на Microsoft на приблизително 25 организации, включително правителствени структури в САЩ и Европа.8 Microsoft успешно блокира тази кампания. Целта на атаката е била да се получи неоторизиран достъп до имейл акаунти. Microsoft оценява, че тази дейност е била в съответствие с шпионските цели на Storm-0558. Преди това Storm-0558 е била насочена към американски и европейски дипломатически структури.

Китай се насочва и към своите стратегически партньори

С разрастването на двустранните отношения и глобалните партньорства на Китай в рамките на инициативата „Един пояс, един път“ (BRI), свързани с китайската държава извършители, представляващ заплаха, провеждат паралелни кибероперации срещу частни и публични обекти по целия свят. Базираните в Китай групи за заплахи се насочват към държави, които са в съответствие със стратегията на ККП за BRI, включително структури в Казахстан, Намибия, Виетнам и др.9 Същевременно широко разпространената китайска дейност по заплахите постоянно е насочена към чуждестранни министерства, базирани в Европа, Латинска Америка и Азия – вероятно с цел икономически шпионаж или събиране на разузнавателна информация.10 Тъй като Китай разширява глобалното си влияние, дейностите на свързаните с него групи за заплахи трябва да бъдат следени. Неотдавна, през април 2023 г., Twill Typhoon (TANTALUM) успешно компрометира правителствени компютърни системи в Африка и Европа, както и хуманитарни организации по целия свят.

Операциите на ККП в социалните медии увеличават ефективното ангажиране на аудиторията

Свързаните с ККП операции за тайно влияние вече са започнали да се ангажират успешно с целевата аудитория в социалните медии в по-голяма степен, отколкото се наблюдаваше досега, което представлява по-високо ниво на усъвършенстване и култивиране на онлайн активите на операции за оказване на влияние. Преди междинните избори в САЩ през 2022 г. Microsoft и партньорите от индустрията са наблюдавали акаунти в социалните медии, свързани с ККП, които са се представяли за американски избиратели – нова територия за свързаните с ККП операции за оказване на влияние.11 Тези акаунти се представяха за акаунти на американци от целия политически спектър и отговаряха на коментари от автентични потребители.

Както с поведението, така и със съдържанието си тези акаунти показват много добре документирани китайски тактики, техники и процедури (TTP). Примерите включват: акаунти, които публикуват на мандарин в ранните си етапи, преди да преминат на друг език, които се ангажират със съдържание от други активи, свързани с Китай, непосредствено след публикуването и които използват модел на взаимодействие „посей и усилвай“.12 За разлика от по-ранните кампании на свързани с ККП извършители, които използваха лесни за откриване компютърно генерирани профили, имена и профилни снимки13, тези по-усъвършенствани акаунти се управляват от реални хора, които използват измислени или откраднати самоличности, за да прикрият връзката на акаунтите с ККП.

Акаунтите в социалните медии в тази мрежа показват сходно поведение с дейността, за която се съобщава, че се извършва от елитна група в Министерството на обществената сигурност (MPS), наречена Специална работна група 912. Според Министерството на правосъдието на САЩ тази група е управлявала ферма за тролове в социалните медии, която е създала хиляди фалшиви онлайн самоличности и е прокарвала пропаганда на ККП, насочена срещу продемократични активисти.

Приблизително от март 2023 г. насам някои предполагаеми китайски активи на ОИВ в западните социални медии започват да използват генеративен изкуствен интелект (ИИ) за създаване на визуално съдържание. Това сравнително висококачествено визуално съдържание вече привлича по-високи нива на ангажираност от страна на автентичните потребители на социалните медии. Тези изображения носят отличителните белези на поддържано от дифузия генериране на изображения и са по-привлекателни от неудобното визуално съдържание в предишни кампании. Потребителите по-често препубликуват такива визуални изображения, въпреки разпространените индикатори за генериране на изображения с изкуствен интелект – например повече от пет пръста на ръката на човек.14

Постове в социалните мрежи, показващи идентични изображения на Black Lives Matter.
Фигура 2: Графиката „Black Lives Matter“, която първо е качена от автоматичен акаунт, свързан с ККП, след това е качена от акаунт, представящ се за консервативен избирател от САЩ, седем часа по-късно.
Пропагандно изображение на Статуята на свободата, генерирано от ИИ.
Фигура 3: Пример за изображение, генерирано от изкуствен интелект, публикувано от заподозрян китайски актив на ОИВ. Ръката на Статуята на свободата, която държи факела, има повече от пет пръста. Научете повече за това изображение на страница 6 в пълния отчет
Масив от четири категории влиятелни лица – журналисти, влияещи на начина на живот, връстници и етнически малцинства – в континуум, вариращ от явен до скрит
Фигура 4: Тази инициатива включва влиятелни лица, които попадат в четири широки категории въз основа на техния произход, целеви аудитории, набиране и стратегии за управление. Всички лица, включени в нашия анализ, имат преки връзки с китайските държавни медии (например чрез наемане на работа, приемане на покани за пътуване или друг паричен обмен). Научете повече за това изображение на страница 7 в пълния отчет.

Инициативата на китайските държавни медии за влиятелни лица

Друга стратегия, привличаща съществено участие в социалните медии, е концепцията на ККП за „многоезични интернет студиа за знаменитости“ (多语种网红工作室).15 Използвайки силата на автентични гласове, повече от 230 служители на държавни медии и техни филиали се маскират като независими влиятелни лица във всички основни западни социални медийни платформи.16 През 2022 г. и 2023 г. нови влиятелни лица продължават да дебютират средно на всеки седем седмици. Набирани, обучавани, насърчавани и финансирани от Международното китайско радио (CRI) и други китайски държавни медии, тези влиятелни лица разпространяват експертно локализирана пропаганда на ККП, която постига съществено ангажиране на целевите аудитории по целия свят, достигайки до комбиниран брой последователи от поне 103 милиона в множество платформи, говорещи най-малко 40 езика.

Въпреки че влиятелните лица публикуват предимно безобидно лайфстайл съдържание, тази техника прикрива пропаганда, свързана с ККП, която цели да смекчи имиджа на Китай в чужбина.

Стратегията на китайските държавни медии за набиране на влиятелни лица изглежда включва две различни групи лица: такива с опит в журналистиката (по-специално в държавни медии) и наскоро завършили програми за изучаване на чужди езици. По-специално, China Media Group (компанията майка на CRI и CGTN) изглежда директно набира завършили най-добрите китайски училища за чужди езици като Пекинския университет за чуждестранни изследвания и Китайския университет за комуникации. Онези, които не са наети директно от университетите, често са бивши журналисти и преводачи, които премахват от профилите си всички явни индикатори за принадлежност към държавните медии, след като се „ребрандират“ като влиятелни лица.

Лаоскоезичното влиятелно лице Сонг Сиао публикува лайфстайл влог, в който обсъжда икономическото възстановяване на Китай в условията на пандемията COVID-19.
Фигура 5: Лаоскоезичното влиятелно лице Сонг Сиао публикува лайфстайл влог, в който обсъжда икономическото възстановяване на Китай в условията на пандемията COVID-19. В самостоятелно заснетия видеоклип той посещава автокъща в Пекин и разговаря с местни жители. Научете повече за това изображение на страница 8 в пълния отчет
Публикация в социална мрежа на Теки Рейчъл, англоезично влиятелно лице.
Фигура 6: Теки Рейчъл, англоезично влиятелно лице, което обикновено публикува публикации за китайски иновации и технологии, се отклонява от темите на съдържанието си, за да се включи в дебата за китайския шпионски балон. Подобно на други китайски държавни медии, то отрича балонът да е бил използван за шпионаж. Научете повече за това изображение на страница 8 в пълния отчет

Влиятелните лица достигат до световната аудитория на поне 40 езика

Географското разпределение на езиците, говорени от тези свързани с държавата влиятелни лица, представя нарастващото глобално влияние на Китай и регионалното приоритизиране. Влиятелните лица, говорещи азиатски езици, с изключение на китайски – като хинди, синхалски, пущу, лаоски, корейски, малайски и виетнамски – съставляват най-голям брой влиятелни лица. Англоговорящите влиятелни лица съставляват втория по големина брой влиятелни лица.
Пет кръгови графики, изобразяващи разпределението на влиятелните лица в китайски държавни медии по езици.
Фигура 7: Разпределение на влиятелните лица в китайските държавни медии по езици. Научете повече за това изображение на страница 9 в пълния отчет

Китай, насочен към аудитории по целия свят

Влиятелните лица се насочват към седем аудиторни пространства (езикови групи), които са разделени на географски региони. Не са показани диаграми за аудиторията на английски или китайски език.

Китайските ОИВ разширяват глобалния си обхват в няколко кампании

През 2023 г. Китай допълнително разшири мащаба на своите онлайн операции за оказване на влияние, достигайки до аудитории на повече езици и в нови платформи. Тези операции съчетават силно контролиран открит държавен медиен апарат със скрити или завоалирани активи в социални медии, включително ботове, които изпират и усилват предпочитаните от ККП сюжети.17

Microsoft наблюдава една такава кампания, свързана с ККП, започнала през януари 2022 г. и продължаваща към момента на изготвяне на настоящия документ, насочена срещу испанската неправителствена организация (НПО) Safeguard Defenders, след като тя разкри съществуването на повече от 50 китайски полицейски участъка в чужбина.18 Тази кампания използва повече от 1800 акаунта в няколко платформи за социални медии и десетки уебсайтове, за да разпространява миймове, видеоклипове и съобщения, насочвани от ККП, които критикуват Съединените щати и други демокрации.

Тези акаунти изпращаха съобщения на нови езици (нидерландски, гръцки, индонезийски, шведски, турски, уйгурски и др.) и в нови платформи (включително Fandango, Rotten Tomatoes, Medium, Chess.com и VK, наред с други). Въпреки мащаба и постоянството на тази операция, нейните публикации рядко събират значимо участие от автентични потребители, което подчертава елементарния характер на дейността на тези китайски мрежи.

Масив от 30 познати емблеми на технологични марки, представени заедно със списък от 16 езика
Фигура 8: Съдържанието на ОИВ, подкрепяно от ККП, е открито в много платформи и на много езици. Научете повече за това изображение на страница 10 в пълния отчет
Примери за заснети екранни снимки на видеопропаганда на тайвански език, разположени една до друга
Фигура 9: Високообемни споделяния на публикации на видеоклип на тайвански език, призоваващ тайванското правителство да се „предаде“ на Пекин. Голямата разлика между впечатленията и споделянията е много показателна за координирана дейност на ОИВ. Научете повече за това изображение на страница 10 в пълния отчет

Завоалирана глобална мрежа от новинарски уебсайтове на ККП

Друга цифрова медийна кампания, която илюстрира разширения обхват на свързаните с ККП операции за оказване на влияние, е мрежа от повече от 50 новинарски уебсайта на предимно китайски език, които подкрепят заявената от ККП цел да бъде авторитетен глас на всички медии на китайски език по света.19 Въпреки че се представят като до голяма степен независими, несвързани уебсайтове, обслужващи различни общности на китайската диаспора по света, ние с голяма степен на увереност оценяваме, че тези уебсайтове са свързани с Отдела за работа на Обединения фронт (UFWD) на ККП – орган, отговорен за засилване на влиянието на ККП отвъд границите на Китай: по-специално чрез поддържане на връзки с „отвъдморските китайци“ – въз основа на технически показатели, информация за регистрацията на уебсайтовете и споделено съдържание.20
Карта на света с повече от 20 емблеми на китайски уебсайтове, насочени към глобалната китайска диаспора.
Фигура 10: Карта на уебсайтовете, насочени към глобалната китайска диаспора, за които се преценява, че са част от тази медийна стратегия.  Научете повече за това изображение на страница 11 в пълния отчет

Тъй като много от тези сайтове споделят общи IP адреси, запитването за резолюции на домейни с Разузнаване за заплахи на Microsoft Defender ни позволи да открием още сайтове в мрежата. Много от уебсайтовете споделят HTML код за клиентската мрежова част, в който дори коментарите на уеб разработчиците, вградени в кода, често са идентични в различни уебсайтове. Повече от 30 от сайтовете използват един и същ интерфейс за програмиране на приложения (API) и система за управление на съдържанието от „изцяло притежавано дъщерно дружество“ на China News Service (CNS), медийната агенция на отдела на ККП UFWD.21 Документи от китайското Министерство на промишлеността и информационните технологии разкриват още, че тази технологична компания, свързана с UFWD заедно с още една са регистрирали поне 14 новинарски сайта в тази мрежа.22 С използването на дъщерни дружества и медийни компании от трети страни по този начин UFWD може да достигне до глобална аудитория като същевременно прикрива прякото си участие.

Тези уебсайтове претендират, че са независими доставчици на новини, но същевременно често препубликуват едни и същи статии от китайски държавни медии, често твърдейки, че са първоначалният източник на съдържанието. Въпреки че сайтовете обхващат в голяма степен международни новини и публикуват общи статии от китайските държавни медии, политически чувствителните теми в преобладаващата си част съответстват на предпочитаните от ККП сюжети. Например няколкостотин статии в тази мрежа от уебсайтове популяризират неверни твърдения, че вирусът COVID-19 е биологично оръжие, произведено в американската военна лаборатория за биологични изследвания във Форт Детрик.23 Сайтовете също така често разпространяват изявления на китайски правителствени служители и статии в държавните медии, в които се твърди, че вирусът COVID-19 произхожда от САЩ, а не от Китай. Тези уебсайтове са пример за степента, до която контролът на ККП е проникнал в китайскоезичната медийна среда, позволявайки на партията да заглуши критичното отразяване на чувствителни теми.

Акордна диаграма на припокриващи се статии, публикувани от няколко сайта.
Фигура 11: Уебсайтовете се представят като уникални за района, но споделят идентично съдържание. Тази акордова диаграма показва припокриващи се статии, публикувани от няколко сайта. Научете повече за това изображение на страница 12 в пълния отчет
Екранни снимки за това как статията на China News Service е била препубликувана в уебсайтове, насочени към аудиторията в Италия, Унгария, Русия и Гърция
Фигура 12: China News Service и други китайски държавни медии публикуваха статия, озаглавена „Изявление на СЗО разкрива тъмните биолаборатории на САЩ в Украйна“. След това тази статия беше публикувана в уебсайтове, насочени към аудиторията в Унгария, Швеция, Западна Африка и Гърция. Научете повече за това изображение на страница 12 в пълния отчет

Глобалният обхват на китайските държавни медии

Макар че описаната по-горе кампания се отличава със своята прикритост, уебсайтовете на добросъвестни китайски държавни медии представляват огромното мнозинство от световната аудитория на медиите, насочвани от ККП. Чрез разширяване на дейността си на чужди езици,24 откриване на бюра на китайски държавни медии в чужбина,25 и предоставяне на безплатно съдържание,съобразено с изискванията на Пекин,26 ККП разширява обхвата на своя „дискурс на властта“ (话语权) като вкарва пропаганда в новинарските медии на страните по света.27
Организационна схема, представяща моментна снимка на екосистемата на откритата пропаганда на ККП.
Фигура 13: Организационна схема, представяща моментна снимка на функциите и структурите, съставляващи част от екосистемата за открита пропаганда на ККП. Научете повече за това изображение на страница 13 в пълния отчет

Измерване на трафика към уебсайтовете на китайските държавни медии

Лабораторията AI for Good на Microsoft е разработила индекс за измерване на потока от трафик от потребители извън Китай към търговски обекти, чийто мажоритарен собственик е китайското правителство. Индексът измерва съотношението на трафика за посещаване на тези сайтове спрямо общия трафик в интернет, подобно на индекса на руската пропаганда (RPI), въведен през юни 2022 г.28

Пет домейна доминират в потреблението на китайските държавни медии, като на тях се падат приблизително 60% от всички показвания на страници на китайските държавни медии.

Графика, показваща потреблението на китайските медии
Научете повече за това изображение на страница 14 в пълния отчет

Индексът може да осветли тенденциите в относителния успех на китайските държавни медии по географски признак във времето. Например сред държавите членки на Асоциацията на страните от Югоизточна Азия (АСЕАН), Сингапур и Лаос се открояват с повече от два пъти по-голям относителен трафик към уебсайтове на китайски държавни медии в сравнение с Бруней на трето място. Филипините заемат най-ниското място, с 30 пъти по-малък трафик към уебсайтове на китайски държавни медии от Сингапур и Лаос. В Сингапур, където мандаринът е официален език, високото потребление на китайски държавни медии отразява влиянието на Китай върху новините на мандарин. В Лаос говорещите китайски език са много по-малко, което отразява относителния успех на китайските държавни медии в средата на страната.

Екранна снимка на началната страница на най-посещавания домейн – PhoenixTV.
Фигура 14: Начална страница на най-посещавания домейн, PhoenixTV, с 32% от всички показвания на страници. Научете повече за това изображение на страница 14 в пълния отчет

Все по-усъвършенстваните севернокорейски кибероперации събират разузнавателна информация и генерират приходи за държавата

Севернокорейските участници в киберзаплахите провеждат кибероперации, целящи (1) събиране на разузнавателна информация за дейностите на предполагаемите противници на държавата: (2) събиране на разузнавателна информация за военния капацитет на други държави с цел подобряване на собствения си и (3) събиране на средства в криптовалута за държавата. През изминалата година Microsoft наблюдава по-голямо припокриване на целите между отделните севернокорейски участници в заплахите и увеличаване на сложността на севернокорейските групи за действие.

Киберприоритетите на Северна Корея наблягат на изследванията в областта на морските технологии на фона на тестовете на подводни дронове и превозни средства

През изминалата година Наборът от ресурси на Microsoft срещу заплахи наблюдава по-голямо припокриване на целите на отделните севернокорейски участници в заплахите. Например трима севернокорейски участници в заплахи – Ruby Sleet (CERIUM), Diamond Sleet (ZINC) и Sapphire Sleet (COPERNICIUM) – са се насочили към морския и корабостроителния сектор от ноември 2022 г. до януари 2023 г. Преди това Microsoft не е наблюдавал такова ниво на припокриване на таргетирането в множество севернокорейски групи за дейности, което предполага, че изследванията в областта на морските технологии са били висок приоритет за севернокорейското правителство по това време. През март 2023 г. Северна Корея според сведенията изстрелва тестово две стратегически крилати ракети от подводница към Японско море (т.нар. Източно море) като предупреждение преди военното учение „Щит на свободата“ на Южна Корея и САЩ. По-късно през същия месец и на следващия Северна Корея уж е изпробвала два подводни ударни дрона Haeil край източното крайбрежие на страната в посока Японско море. Тези изпитания на морския военен потенциал се случиха малко след като три севернокорейски кибергрупи се насочиха към морски отбранителни структури за събиране на разузнавателна информация.

Участници в заплахите компрометират отбранителни фирми, тъй като севернокорейският режим поставя изисквания за събиране с висок приоритет

От ноември 2022 г. до януари 2023 г. Microsoft наблюдава втори случай на припокриване на целите, като Ruby Sleet и Diamond Sleet компрометират отбранителни фирми. Двамата участници в заплахата компрометираха две компании за производство на оръжие, базирани в Германия и Израел. Това предполага, че правителството на Северна Корея назначава няколко групи от участници в заплахи наведнъж, за да отговори на изискванията за събиране на информация с висок приоритет с цел подобряване на военните способности на страната. От януари 2023 г. насам Diamond Sleet е компрометирала и отбранителни компании в Бразилия, Чехия, Финландия, Италия, Норвегия и Полша.
Кръгова диаграма, показваща отбранителните индустрии, към които Северна Корея е насочила най-много удари, по държави
Фигура 15: Северна Корея, насочена към отбранителната индустрия по държави, от март 2022 г. до март 2023 г.

Руското правителство и отбранителната промишленост остават цели за Северна Корея за събиране на разузнавателна информация

Многобройни севернокорейски заплахи напоследък са насочени към правителството и отбранителната промишленост на Русия като същевременно предоставят материална подкрепа на Русия във войната ѝ в Украйна.32 През март 2023 г. Ruby Sleet компрометира институт за космически изследвания в Русия. Освен това в началото на март Onyx Sleet (PLUTONIUM) компрометира устройство, принадлежащо на университет в Русия. Отделно от това през същия месец акаунт на нападател, приписван на Opal Sleet (OSMIUM), е изпратил фишинг имейли до акаунти, принадлежащи на руски дипломатически правителствени структури. Възможно е севернокорейските участници в заплахи да се възползват от възможността да извършват събиране на разузнавателна информация за руски структури поради съсредоточаването на вниманието на страната върху войната ѝ в Украйна.

Севернокорейските групи демонстрират по-усъвършенствани операции чрез кражба на криптовалута и атаки по веригата за доставки

Microsoft оценява, че севернокорейските активни групи провеждат все по-сложни операции чрез кражба на криптовалута и атаки по веригата на доставки. През януари 2023 г. Федералното бюро за разследване (ФБР) публично приписва на Jade Sleet, известни още като DEV-0954, кражбата на 100 милиона USD в криптовалута от блокчейн моста на Harmony Horizon през юни 2022 г. Lazarus Group/APT38.33 Освен това Microsoft приписва на Citrine Sleet (DEV-0139) атаката по веригата за доставки на 3CX от март 2023 г., която използва предишен компрометиран достъп до веригата за доставки на американска компания за финансови технологии през 2022 г. Това е първият случай, в който Microsoft наблюдава група за дейности, използваща съществуващо компрометиране по веригата на доставки, за провеждане на друга атака по верига на доставки, което показва нарастващата сложност на севернокорейските кибероперации.

Emerald Sleet използва изпитана тактика на „спиърфишинг“ като примамва експерти да отговорят с прозрения за външната политика

Emerald Sleet (THALLIUM) остава най-активният севернокорейски участник в заплахата, който Microsoft проследява през изминалата година. Emerald Sleet продължава да изпраща често спиърфишинг имейли на експерти от Корейския полуостров по света с цел събиране на разузнавателна информация. През декември 2022 г. Наборът от ресурси на Microsoft срещу заплахи подробно описа фишинг кампаниите на Emerald Sleet, насочени към влиятелни експерти от Северна Корея в САЩ и съюзнически на САЩ държави. Вместо да разгръща зловредни файлове или връзки към злонамерени уебсайтове, Microsoft установи, че Emerald Sleet използва уникална тактика: представя се за авторитетни академични институции и неправителствени организации, за да подмами жертвите да отговорят с експертни мнения и коментари за външните политики, свързани със Северна Корея.

Възможности: Влияние

През изминалата година Северна Корея е провела ограничени операции за оказване на влияние в социални медийни платформи за споделяне на видеоклипове като YouTube и TikTok.34 Севернокорейските оказващи влияние лица в YouTube са предимно момичета и жени, една от които е едва на единадесет години, които публикуват влогове за ежедневието си и популяризират положителни разкази за режима. Някои от тези оказващи влияние лица говорят на английски език във видеоклиповете си, с намерението да достигнат до по-широка световна аудитория. Инфлуенсърите на Северна Корея са много по-малко ефективни от инициативата на инфлуенсърите, подкрепяна от китайските държавни медии.

С поглед към бъдещето, тъй като геополитическото напрежение зарежда кибернетичната дейност и операциите за влияние

През последните години Китай продължава да разширява кибернетичните си възможности и показва много по-голяма амбиция в кампаниите си за ОИВ. В краткосрочен план Северна Корея ще продължи да се фокусира върху цели, свързани с нейните политически, икономически и отбранителни интереси в региона. Можем да очакваме по-широкообхватен кибершпионаж както срещу опоненти, така и срещу поддръжници на геополитическите цели на ККП на всички континенти. Въпреки че базираните в Китай групи за заплахи продължават да развиват и използват впечатляващи кибернетични възможности, не сме наблюдавали Китай да комбинира кибернетични операции и операции за влияние – за разлика от Иран и Русия, които участват в кампании за хакване и изтичане на информация.

Действайки в мащаб, несравним с този на други зловредни фактори за влияние, свързаните с Китай фактори за влияние са готови да се възползват от няколко ключови тенденции и събития през следващите шест месеца.

Първо, операциите, при които се използват видео и визуални медии, се превръщат в норма. Свързаните с ККП мрежи отдавна използват профилни снимки, генерирани от изкуствен интелект, а тази година възприеха изкуство, генерирано от изкуствен интелект, за визуални миймове. Подкрепяните от държавата участници също така ще продължат да използват частни студия за съдържание и фирми за връзки с обществеността, за да възлагат пропаганда по поръчка.35

Второ, Китай ще продължи да се стреми към автентично ангажиране на аудиторията, инвестирайки време и ресурси в култивирани активи в социалните медии. Влиятелните личности с дълбоки културни и езикови познания и висококачествено видеосъдържание са пионери за успешно ангажиране в социалните медии. ККП ще приложи някои от тези тактики, включително взаимодействие с потребителите на социалните медии и демонстриране на културно ноу-хау, за да подсили своите тайни кампании в социалните медии.

Трето, Тайван и Съединените щати вероятно ще останат двата основни приоритета за китайската ОИВ, особено с предстоящите избори в двете държави през 2024 г. Като се има предвид, че в близкото минало участници в операции за оказване на влияние, свързани с ККП, са се насочвали към избори в САЩ, почти сигурно е, че те ще го направят отново. Активите в социалните медии, представящи се за американски избиратели, вероятно ще демонстрират по-висока степен на сложност, като активно ще сеят раздор по расови, социално-икономически и идеологически признаци със съдържание, което е остро критично към Съединените щати.

  1. [1]
  2. [2]

    Новите бази във Филипините увеличават военното присъствие на САЩ в региона, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    Понастоящем няма достатъчно доказателства, които да свързват групите.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; Тези статистически данни отразяват данни към април 2023 г.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Такива участници във влиянието понякога са известни като „Spamouflage Dragon“ или „DRAGONBRIDGE“.
  18. [18]
  19. [19]
  20. [20]

    Вижте: Рамката на Центъра за операции за киберотбрана на Microsoft за определяне на атрибутите за влияние. https://go.microsoft.com/fwlink/?linkid=2262095; Китайската диаспора обикновено се нарича от китайското правителство „отвъдморски китайци“ или 华侨 (huaqiao), с което се обозначават лицата с китайско гражданство или наследство, които пребивават извън КНР. За повече подробности относно тълкуването на китайската диаспора от страна на Пекин вижте: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Китайското правителство разпространи това твърдение в началото на пандемията COVID-19, виж: https://go.microsoft.com/fwlink/?linkid=2262170; Сайтовете в тази мрежа, които популяризират това твърдение, включват: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Защита на Украйна: Ранни уроци от кибервойната, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Друго тълкуване на xuexi qiangguo е „Изучавай Си, укрепвай страната“. Името е игра на думи с фамилията на Си Дзинпин. Правителствата, университетите и фирмите в Китай силно насърчават използването на приложението, като понякога засрамват или наказват подчинените си за рядко използване, вижте: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    Вестникът е собственост на Shanghai United Media Group, която на свой ред е собственост на Комитета на Шанхайската комунистическа партия: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    ККП и преди е инвестирала в компании от частния сектор, които подпомагат кампаниите на ОИВ чрез техники за манипулиране на SEO, фалшиви харесвания и последователи и други услуги. Документи за обществени поръчки разкриват такива оферти, вж: https://go.microsoft.com/fwlink/?linkid=2262522

Операции за кибервлияние Отчети за национални държави от Източна Азия Отчети за националното състояние Фишинг Извършители, представляващи заплаха

Свързани статии

Volt Typhoon си набелязва за мишена критична инфраструктура на САЩ с техники, използващи налични инструменти в системата на набелязаната цел

Спонсорираният от китайската държава извършител, представляващ заплаха, Volt Typhoon е бил наблюдаван да използва скрити техники за избиране като мишена на критична инфраструктура на САЩ, извършване на шпионаж и пребиваване в компрометирана среда.
Научете повече

Пропагандата в цифровата ера: Как операциите за влияние в киберпространството подкопават доверието

Проучете света на операциите за влияние в киберпространството, където националните държави разпространяват пропаганда, целяща да застраши надеждната информация, от която демокрацията се нуждае, за да процъфтява.
Научете повече

Иран се насочва към кибернетични операции за постигане на по-голям ефект

Набор от ресурси на Microsoft срещу заплахи разкриха засилени операции за оказване на влияние с помощта на киберпространството в Иран. Получете информация за заплахите с подробности за новите техники и за потенциалните бъдещи заплахи.
Научете повече

Следвайте Microsoft Security