Trace Id is missing

Ruští aktéři hrozeb se připravují využít únavu z války

 Operace kybernetického ovlivňování
Úvod
Ruští operátoři kybernetických hrozeb a ovlivňování prokázali během války proti Ukrajině schopnost přizpůsobovat se a zkoušeli nové způsoby, jak získat výhodu na bojišti a oslabit zdroje domácí i vnější podpory Kyjeva. Tato studie podrobně popisuje kybernetické hrozby a aktivity škodlivého ovlivňování, které Microsoft pozoroval v období od března do října 2023. Během této doby byli znovu na mušce ukrajinští vojáci a civilisté, zatímco riziko narušení a manipulace se rozrostlo i na subjekty z celého světa, které Ukrajině pomáhají a snaží se pohnat ruské síly k odpovědnosti za válečné zločiny.

Fáze ruské války na Ukrajině od ledna 2022 do června 2023

Graf znázorňující fáze ruské války na Ukrajině
Další informace o tomto obrázku najdete na straně 3 v úplné studii.

Hrozby, které společnost Microsoft pozorovala v období od března do října, zahrnovaly kombinované operace zaměřené na demoralizaci ukrajinské veřejnosti a zvýšený důraz na kybernetickou špionáž. Ruští vojenští, kybernetičtí a propagandističtí aktéři vedli koordinované útoky proti ukrajinskému zemědělskému sektoru, což je cíl v civilní infrastruktuře, uprostřed celosvětové obilné krize. Aktéři kybernetických hrozeb napojení na ruskou vojenskou rozvědku (GRU) se zaměřili na kybernetické špionážní operace proti ukrajinské armádě a jejím zahraničním zásobovacím kanálům. Zatímco mezinárodní společenství usilovalo o potrestání válečných zločinů, skupiny napojené na ruskou zahraniční rozvědku (SVR) a federální bezpečnostní službu (FSB) se zaměřily na vyšetřovatele válečných zločinů na Ukrajině i mimo ni.

V oblasti vlivu vyvolala krátká vzpoura v červnu 2023 a pozdější smrt Jevgenije Prigožina, majitele Wagnerovy skupiny a nechvalně proslulé trollí farmy Internet Research Agency, otázky ohledně budoucnosti ruských schopností ovlivňování. Během tohoto léta zaznamenal Microsoft rozsáhlé operace organizací, které nebyly s Prigožinem spojeny, což ukazuje na budoucnost kampaní škodlivého ovlivňování v Rusku i bez něj.

Týmy Analýza hrozeb Microsoft a Microsoft Reakce na incident informovaly postižené zákazníky a vládní partnery a spolupracovaly s nimi na zmírnění hrozeb popsaných v této studii.

Ruské síly se při páchání škod na Ukrajině více spoléhají na konvenční zbraně, ale kybernetické operace and operace ovlivňování jsou i nadále naléhavou hrozbou pro bezpečnost počítačových sítí a občanského života ukrajinských spojenců v regionu, NATO i ve světě. Vedle aktualizování našich produktů zabezpečení za účelem proaktivní ochrany našich zákazníků po celém světě sdílíme tyto informace, abychom podpořili neustálou ostražitost vůči hrozbám ohrožujícím integritu globálního informačního prostoru.

Letos v létě se proti ukrajinskému zemědělství sjednotily ruské kinetické, kybernetické a propagandistické síly. Vojenské údery zničily množství obilí, které by mohlo nasytit více než 1 milion lidí po dobu jednoho roku, zatímco proruská média šířila narativy ospravedlňující tyto cíle navzdory tomu, jaký to mělo humanitární dopad.1

Od června do září zaznamenala služba Analýza hrozeb Microsoft průniky do sítí, exfiltraci dat a dokonce i destruktivní malware nasazený proti organizacím napojeným na ukrajinský zemědělský průmysl a infrastrukturu pro přepravu obilí. V červnu a červenci ukradla skupina Aqua Blizzard (dříve ACTINIUM) data z firmy, která pomáhá sledovat výnosy plodin. Skupina Seashell Blizzard (dříve IRIDIUM) použila varianty základního destruktivního malwaru, který Microsoft detekuje jako WalnutWipe/SharpWipe, proti sítím v potravinářském a zemědělském sektoru.2

Přehled ruských digitálních propagandistických aktivit namířených proti ukrajinskému zemědělství

Znázornění ruských digitálních propagandistických aktivit namířených proti ukrajinskému zemědělství
Další informace o tomto obrázku najdete na straně 4 v úplné studii.

V červenci Moskva odstoupila od Černomořské obilné iniciativy, humanitárního projektu, který pomohl odvrátit celosvětovou potravinovou krizi a v prvním roce umožnil přepravu více než 725 000 tun pšenice lidem v Afghánistánu, Etiopii, Keni, Somálsku a Jemenu.3 Po tomto kroku Moskvy se proruská média a kanály Telegramu zaměřily na očerňování této obilné iniciativy a zdůvodňování rozhodnutí Moskvy. Propagandistické kanály vykreslovaly obilný koridor jako zástěrku pro obchod s drogami nebo ho označovaly za prostředek pro tajnou přepravu zbraní, aby bagatelizovaly humanitární význam této dohody.

V několika studiích z roku 2023 jsme upozornili na to, jak legitimní nebo pseudo-hacktivistické skupiny podezřelé z napojení na GRU pracují na zesílení nespokojenosti Moskvy s protivníky a zveličují počet proruských kybernetických sil.4 5 6 Letos v létě jsme také pozorovali, jak hacktivistické osoby na Telegramu šíří zprávy, které se snaží ospravedlnit vojenské útoky na civilní infrastrukturu na Ukrajině a zaměřují se na distribuované útoky s cílem odepření služeb (DDoS) proti spojencům Ukrajiny v zahraničí. Microsoft pokračuje ve sledování prolínání hacktivistických skupin se státními aktéry. To přináší další poznatky o tempu operací obou těchto subjektů a o tom, jak se jejich aktivity vzájemně doplňují v oblasti cílů.

K dnešnímu dni jsme identifikovali tři skupiny – Solntsepek, InfoCentr a Cyber Army of Russia – které spolupracují se skupinou Seashell Blizzard. Vztah skupiny Seashell Blizzard s hacktivistickými kanály může být spíše krátkodobá spolupráce než řízení, a to na základě dočasných špiček v kybernetických schopnostech hacktivistů, které se překrývají s útoky skupiny Seashell Blizzard. Seashell Blizzard pravidelně spouští destruktivní útok, ke kterému se veřejně hlásí hacktivistické skupiny na Telegramu. Pak se hacktivisté vrátí k málo složitým akcím, které obvykle provádějí, včetně útoků DDoS nebo úniků ukrajinských osobních informací. Tato síť představuje agilní infrastrukturu, kterou můžou aktéři rozšířené trvalé hrozby (APT) využívat k podpoře svých aktivit.

Skladba proruského hacktivismu

Graf se znázorněním skladby proruského hacktivismu
Další informace o tomto obrázku najdete na straně 5 v úplné studii.

Ruské síly se vedle provádění akcí, které by mohly být v rozporu s mezinárodním právem, zaměřují také na vyšetřovatele a žalobce, kteří proti nim vedou jednotlivá řízení.

Telemetrie Microsoftu odhalila, že aktéři napojení na ruskou armádu a zahraniční zpravodajské služby během jara a léta tohoto roku cíleně narušovali ukrajinské právní a vyšetřovací sítě a sítě mezinárodních organizací zapojených do vyšetřování válečných zločinů.

K těmto kybernetickým operacím docházelo v době rostoucího napětí mezi Moskvou a skupinami, jako je Mezinárodní trestní soud (ICC), který v březnu vydal zatykač na ruského prezidenta Putina kvůli obvinění z válečných zločinů.7

V dubnu napadla skupina Seashell Blizzard napojená na GRU síť advokátní kanceláře, která se zabývá případy válečných zločinů. Skupina Aqua Blizzard, přisuzovaná rozvědce FSB, pronikla v červenci do interní sítě významného ukrajinského vyšetřovacího orgánu a pak v září využila napadané účty k odesílání phishingových e-mailů několika ukrajinským telekomunikačním firmám.

Aktéři napojení na ruskou zahraniční rozvědku (SVR) – Midnight Blizzard (dříve NOBELIUM) – v červnu a červenci napadli a získali přístup k dokumentům právní organizace s globální odpovědností, než zasáhla služba Microsoft Reakce na incident, aby toto vniknutí napravila. Tato aktivita byla součástí agresivnější snahy těchto aktérů proniknout do organizací z oblastí diplomacie, obrany, veřejné politicky a IT po celém světě.

Revize upozornění zabezpečení společnosti Microsoft vydaných od března postiženým zákazníkům odhalila, že skupina Midnight Blizzard usilovala o přístup do více než 240 organizací převážně v USA, Kanadě a v dalších evropských zemích, a to s různou mírou úspěšnosti.8

Téměř 40 %  organizací, na které aktéři cílili, byly vládní, mezivládní nebo politicky zaměřené think-tanky.

Ruští aktéři hrozeb používali různé techniky k získání počátečního přístupu a zajištění trvalé přítomnosti v cílových sítích. Skupina Midnight Blizzard použila k infiltraci do cloudových prostředí metodu „kuchyňského dřezu“ a používala útoky password spray, přihlašovací údaje získané od třetích stran, věrohodné kampaně sociálního inženýrství prostřednictvím Teams a zneužití cloudových služeb.9 Skupina Aqua Blizzard úspěšně začlenila pašování kódu HTML do phishingových kampaní pro získání počátečního přístupu, aby snížila pravděpodobnost odhalení antivirovými signaturami a bezpečnostními kontrolami e-mailů.

Skupina Seashell Blizzard využívala perimetrické serverové systémy, jako jsou servery Exchange a Tomcat, a současně využívala pirátský software Microsoft Office, který obsahoval zadní vrátka DarkCrystalRAT, aby získala počáteční přístup. Tato zadní vrátka umožnila aktérům načíst druhou fázi datové části, kterou označujeme jako Shadowlink – softwarový balíček maskovaný jako Microsoft Defender, který nainstaluje do zařízení službu TOR a umožní aktérům hrozeb skrytý přístup přes síť TOR.10

Diagram znázorňující, jak Shadowlink instaluje službu TOR do softwarového zařízení
Další informace o tomto obrázku najdete na straně 6 v úplné studii .

Od zahájení ofenzivy ruských sil na jaře 2023 se kybernetičtí aktéři napojení na GRU a FSB soustředili na sběr zpravodajských informací z ukrajinské komunikační a vojenské infrastruktury v oblastech bojů.

V březnu Analýza hrozeb Microsoft spojila Seashell Blizzard s potenciálními phishingovými návnadami a balíčky, které se zdály být vytvořené na míru pro útok na hlavní součást ukrajinské vojenské komunikační infrastruktury. Neměli jsme žádný přehled o následných akcích. Podle ukrajinské bezpečnostní služby SBU zahrnovaly další pokusy skupiny Seashell Blizzard o přístup do ukrajinských vojenských sítí malware, který by umožnil shromažďovat informace o konfiguraci připojených satelitních terminálů Starlink a zjišťovat polohu ukrajinských vojenských jednotek.11 12 13

Skupina Secret Blizzard (dříve KRYPTON) se také snažila zajistit základny pro sběr zpravodajských informací v ukrajinských sítích souvisejících s obranou. Ve spolupráci s ukrajinským vládním týmem pro reakci na počítačové hrozby (CERT-UA) zjistila Analýza hrozeb Microsoft přítomnost malwaru DeliveryCheck a Kazuar skupiny Secret Blizzard v systémech ukrajinských obranných sil.14 Kazuar umožňuje využívat více než 40 funkcí včetně krádeží přihlašovacích údajů z různých aplikací, ověřovacích dat, proxy serverů a souborů cookie a získávání dat z protokolů operačního systému.15 Skupina Secret Blizzard se zajímala zejména o krádeže souborů se zprávami z aplikace pro zasílání zpráv Signal Desktop, což by těmto aktérům umožnilo číst soukromé chaty služby Signal.16

Skupina Forest Blizzard (dříve STRONTIUM) se znovu zaměřila na své tradiční špionážní cíle, organizace spojené s obranou ve Spojených státech, Kanadě a Evropě, které poskytováním podpory a výcviku udržují ukrajinské síly vybavené pro další boj.

Od března se skupina Forest Blizzard pokoušela získat počáteční přístup k obranným organizacím prostřednictvím phishingových zpráv, které obsahovaly nové a úhybné techniky. Například v srpnu skupina Forest Blizzard odeslala phishingový e-mail, který obsahoval „exploit“ pro CVE-2023-38831, držitelům účtů v Evropské obranné agentuře. CVE-2023-38831 je ohrožení zabezpečení v softwaru WinRAR, které umožňuje útočníkům spustit libovolný kód, když se uživatel pokusí zobrazit neškodný soubor v archivu ZIP.

Tito aktéři také využívají legitimní vývojářské nástroje, jako jsou Mockbin a Mocky, pro útoky typu „command and control“. Koncem září vedli tito aktéři phishingovou kampaň zneužívající služby GitHub a Mockbin. CERT-UA a další firmy zabývající se kybernetickou bezpečností o této aktivitě informovaly v září s tím, že aktéři použili stránky se zábavou pro dospělé, aby přiměli oběti kliknout na určitý odkaz nebo otevřít soubor, který je přesměroval na škodlivou infrastrukturu Mockbinu.17 18Microsoft zaznamenal koncem září obrat k používání stránek s technologickou tematikou. V obou případech aktéři odeslali phishingový e-mail obsahující škodlivý odkaz, který oběť přesměroval na adresu URL Mockbinu a stáhl soubor ZIP se škodlivým souborem LNK (zástupce), který se maskoval jako aktualizace systému Windows. Tento soubor LNK pak stáhl a spustil další skript PowerShellu umožňující zřízení trvalé přítomnosti a provádění následných akcí, jako jsou krádeže dat.

Screenshot s příkladem souboru PDF použitého jako návnady v souvislosti s útoky phishing skupiny Forest Blizzard na obranné organizace.

Aktéři hrozeb se vydávají za zaměstnance Evropského parlamentu
Příloha e-mailu: „Program zasedání Evropského parlamentu od 28. srpna do 3. září 2023. Sdělení tiskové služby. bulletin.rar – 160 kB
Obrázek 5: Screenshot s příkladem souboru PDF použitého jako návnady v souvislosti s útoky phishing skupiny Forest Blizzard na obranné organizace.  Další informace o tomto obrázku najdete na straně 8 v úplné studii.

Během roku 2023 pokračovalo středisko MTAC ve sledování skupiny Storm-1099, aktérů zabývajících se ovlivňováním napojených na Rusko, kteří byli od jara 2022 zodpovědní za sofistikovanou proruskou operaci ovlivňování zaměřenou na mezinárodní podporovatele Ukrajiny.

Aktivity skupiny Storm-1099 jsou pravděpodobně nejznámější díky masové operaci falšování webů, kterou výzkumná skupina EU DisinfoLab nazvala „Doppelganger“19, a zahrnují také jedinečné „značkové“ kanály, jako je Reliable Recent News (RRN), multimediální projekty, jako je protiukrajinský kreslený seriál „Ukraine Inc.“, a demonstrace v terénu, které propojují digitální a fyzický svět. Ačkoli nemáme úplné informace o napojení, dobře financovaní ruští političtí technologové, propagandisté a PR specialisté s prokazatelnými vazbami na ruský stát vedli a podporovali několik kampaní skupiny Storm-1099.20

Operace Doppelganger skupiny Storm-1099 je v době vytváření této studie stále v plném nasazení, a to navzdory vytrvalým pokusům technologických společností a výzkumných subjektů informovat o jejím dosahu a zmírnit ho.21 Tito aktéři se v minulosti zaměřovali na západní Evropu – převážně na Německo – ale také na Francii, Itálii a Ukrajinu. V posledních měsících se skupina Storm-1099 zaměřila na Spojené státy a Izrael. Tento přechod začal už v lednu 2023 v souvislosti s rozsáhlými protesty v Izraeli proti navrhované revizi soudnictví a zesílil po vypuknutí války mezi Izraelem a hnutím Hamás na začátku října. Nově vytvořené „značkové“ kanály odrážejí rostoucí upřednostňování americké politiky a nadcházejících prezidentských voleb v USA v roce 2024, zatímco stávající prostředky skupiny Storm-1099 důrazně prosazují nepravdivé tvrzení, že Hamás získal pro své útoky 7. října v Izraeli ukrajinské zbraně na černém trhu.

Nejnověji, koncem října, zaznamenalo středisko MTAC kromě falešných článků a webů na sociálních sítích také účty, které Microsoft považuje za prostředky skupiny Storm-1099 a které propagují nový druh padělků. Jedná se o sérii krátkých falešných zpráv, zdánlivě vytvořených renomovanými médii, které šíří proruskou propagandu s cílem podkopat podporu Ukrajiny i Izraele. Ačkoli je tato taktika – používání podvržených videí k prosazování propagandy – v posledních měsících pozorována u proruských aktérů v širším měřítku, propagace takového videoobsahu ze strany skupiny Storm-1099 jen zvýrazňuje rozmanité techniky ovlivňování a cíle komunikace těchto aktérů.

Články publikované na falešných webech Doppelganger

Kampaň vedená ruskými aktéry kybernetických hrozeb – skupinou Storm 1099 – byla zaznamenána a sledována společností Microsoft.
Zaznamenáno a sledováno společností Microsoft 31. října 2023. Články zveřejněné na falešných webech Doppelganger; kampaň vedená ruským aktérem kybernetických hrozeb – skupinou Storm 1099.
Další informace o tomto obrázku najdete na straně 9 v úplné studii.

Od 7. října, kdy Hamás zaútočil na Izrael, se ruská státní média a státem podporovaní aktéři ovlivňování snaží využít válku mezi Izraelem a hnutím Hamás k propagování protiukrajinských narativů, protiamerických nálad a ke zvyšování napětí mezi všemi stranami. Tato aktivita, ačkoli reaguje na válku a má obecně omezený rozsah, zahrnuje jak veřejná média sponzorovaná státem, tak skryté sítě sociálních médií napojené na Rusko, které pokrývají více platforem sociálních médií.

 

Narativy propagované ruskými propagandisty a proruskými sociálními sítěmi se snaží postavit Izrael proti Ukrajině a snížit podporu Kyjeva ze strany Západu nepravdivým tvrzením, že Ukrajina vyzbrojila bojovníky Hamásu, a to prostřednictvím podvrhů renomovaných médií a zmanipulovaných videí. Neautentické video, které tvrdilo, že zahraniční rekruti, včetně Američanů, byli převeleni z Ukrajiny, aby se připojili k operacím IDF (Izraelské obranné síly) v pásmu Gazy, a které nasbíralo stovky tisíc zhlédnutí na sociálních sítích, je jen jedním z příkladů takového obsahu. Tato strategie šíří protiukrajinské narativy širokému publiku a současně podporuje zájem tím, že vytváří falešné narativy v souladu s hlavními zprávami o vyvíjejících se událostech.

 

Rusko také rozšiřuje aktivity digitálního vlivu o propagaci skutečných událostí. Ruské kanály agresivně propagovaly podněcující obsah, který zesiloval dojem z protestů souvisejících s válkou mezi Izraelem a hnutím Hamás na Blízkém východě a v Evropě – a to i prostřednictvím zpravodajů ruských státních zpravodajských agentur přímo na místě. Koncem října 2023 francouzské úřady uvedly, že čtyři moldavští občané jsou pravděpodobně spojeni s graffiti s Davidovou hvězdou na veřejných prostranstvích v Paříži. Dva z těchto Moldavanů údajně tvrdili, že je řídil rusky mluvící člověk, což naznačuje možnou odpovědnost Ruska za tato graffiti. Snímky těchto graffiti byly později šířeny pomocí prostředků skupiny Storm-1099.22

 

Rusko pravděpodobně vyhodnotilo, že probíhající konflikt mezi Izraelem a hnutím Hamás je pro ně geopoliticky výhodný, protože se domnívá, že tento konflikt odvádí pozornost Západu od války na Ukrajině. Středisko MTAC se domnívá, že tito aktéři budou pomocí často používaných taktik ruského ovlivňování pokračovat v šíření online propagandy a využívání dalších významných mezinárodních událostí k vyvolávání napětí a budou se dál snažit omezovat schopnost Západu čelit ruské invazi na Ukrajinu.

Protiukrajinská propaganda široce prostupuje ruskými aktivitami ovlivňování už od doby před vypuknutím invaze v roce 2022. V posledních měsících se však proruské a s Ruskem spojené vlivové sítě zaměřily na využívání videa jako dynamičtějšího média k šíření těchto zpráv spolu s falšováním autoritativních médií, aby využily jejich důvěryhodnosti. Středisko MTAC zaznamenalo dvě probíhající kampaně vedené neznámými proruskými aktéry, které zahrnují falšování mainstreamových zpravodajských a zábavních mediálních značek za účelem šíření zmanipulovaného videoobsahu. Stejně jako předchozí ruské propagandistické kampaně se tato aktivita zaměřuje na vykreslování ukrajinského prezidenta Volodymyra Zelenského jako zkorumpovaného narkomana a západní podpory Kyjeva jako škodlivé pro domácí obyvatelstvo těchto zemí. Obsah obou kampaní se důsledně snaží snižovat podporu Ukrajiny, ale přizpůsobuje narativy novým zpravodajským událostem, jako byla imploze ponorky Titan v červnu 2023 nebo válka mezi Izraelem a hnutím Hamás, aby oslovoval širší publikum.

Diagram zobrazující přehled zfalšovaných zpravodajských klipů

zobrazení přehledu zfalšovaných zpravodajských klipů
Další informace o tomto obrázku najdete na straně 11 v úplné studii.

Jedna z těchto kampaní zaměřených na videa zahrnuje sérii vymyšlených videí, která jsou maskovaná jako krátké zprávy z mainstreamových médií a šíří falešná, protiukrajinská a s Kremlem spojená témata a narativy. Středisko MTAC tuto aktivitu poprvé zaznamenalo v dubnu 2022, kdy proruské kanály na Telegramu zveřejnily falešné video BBC News, které tvrdilo, že je ukrajinská armáda zodpovědná za raketový útok, při kterém byly zabity desítky civilistů. Toto video používá logo, barevné schéma a estetiku BBC a obsahuje anglické titulky, které obsahují chyby běžně se vyskytující při překladu ze slovanských jazyků do angličtiny.

Tato kampaň pokračovala po celý rok 2022 a zrychlila se v létě 2023. V době vytváření této studie zaznamenalo středisko MTAC v rámci této kampaně více než tucet zfalšovaných mediálních videí, přičemž nejčastěji falšovanými médii byly agentury BBC News, Al Jazeera a EuroNews. Videa byla nejprve rozšířena na ruskojazyčných kanálech Telegramu a teprve poté se dostala na mainstreamové platformy sociálních médií.

Screenshoty videí napodobujících logo a estetiku zpravodajství BBC (vlevo) a EuroNews (vpravo)

Vymyšlené zpravodajské klipy obsahující dezinformace nakloněné Rusku
Analýza hrozeb Microsoft: Vymyšlené zprávy na témata spojení vojenského selhání Ukrajiny s útokem hnutí Hamás a falešné odpovědnosti Izraele
Vymyšlené zpravodajské klipy obsahující dezinformace nakloněné Rusku. Screenshoty videí napodobujících logo a estetiku zpravodajství BBC (vlevo) a EuroNews (vpravo). Další informace o tomto obrázku najdete na straně 12 v úplné studii.

Ačkoli má tento obsah omezený dosah, mohl by představovat důvěryhodnou hrozbu pro budoucí cíle, pokud by byl zdokonalen nebo vylepšen pomocí umělé inteligence nebo zesílen použitím důvěryhodnějšího komunikačního kanálu. Proruští aktéři zodpovědní za zfalšované zpravodajské klipy mají cit pro aktuální světové dění a jsou pohotoví. Například zfalšované video BBC News nepravdivě tvrdilo, že investigativní novinářská organizace Bellingcat odhalila, že zbraně používané bojovníky hnutí Hamás prodali této skupině ukrajinští vojenští úředníci prostřednictvím černého trhu. Obsah tohoto videa přesně kopíruje veřejné prohlášení bývalého ruského prezidenta Dmitrije Medveděva, které pronesl pouhý den před zveřejněním videa, což dokazuje, že kampaň je silně sladěna s veřejnou komunikací ruské vlády.23

Od července 2023 se na proruských sociálních sítích začala šířit videa známých osobností, která byla podvodně upravena tak, aby šířila protiukrajinskou propagandu. Zdá se, že tato videa, která jsou výtvorem neznámého ruského vlivového aktéra, využívají populární web Cameo, kde můžou celebrity a další veřejně známé osobnosti nahrávat a posílat osobní videozprávy uživatelům, kteří zaplatí určitý poplatek. Tyto krátké videozprávy, ve kterých celebrity často žádají „Vladimíra“, aby vyhledal pomoc kvůli zneužívání návykových látek, jsou upraveny neznámým aktérem a jsou v nich přidány emotikony a odkazy. Videa kolují proruskými komunitami na sociálních sítích a jsou šířena médii napojenými na Rusko a ruskými státními médii, přičemž jsou falešně prezentována jako vzkazy ukrajinskému prezidentovi Volodymyru Zelenskému. V některých případech aktér přidal loga médií a účty celebrit na sociálních sítích, aby videa vypadala jako zpravodajské klipy z reportáží o údajných veřejných výzvách celebrit Zelenskému nebo z příspěvků samotných celebrit na sociálních sítích. Představitelé Kremlu a ruská státem sponzorovaná propaganda už dlouho propagují nepravdivé tvrzení, že prezident Zelenskyj bojuje se závislostí na návykových látkách. Tato kampaň však představuje nový přístup proruských aktérů, kteří se snaží tento narativ rozvíjet v online informačním prostoru.

Na prvním videu kampaně zaznamenaném na konci července se objevily emotikony ukrajinské vlajky, vodoznaky amerického média TMZ a odkazy na centrum pro léčbu závislostí a na jednu z oficiálních stránek prezidenta Zelenského na sociálních sítích. Na konci října 2023 se na proruských sociálních sítích objevilo dalších šest videí. Především pak 17. srpna zveřejnila ruská státní zpravodajská agentura RIA Novosti článek o videu s americkým hercem Johnem McGinleym, jako by šlo o autentickou výzvu McGinleyho Zelenskému.24 Kromě McGinleyho pak mezi celebrity, jejichž obsah se v kampani objevuje, patří herci Elijah Wood, Dean Norris, Kate Flannery a Priscilla Presley, hudebník Shavo Odadjian a boxer Mike Tyson. Obsah této kampaně rozšířila i další ruská média napojená na stát, včetně média Tsargrad, na které jsou uvaleny americké sankce.25

Snímky z videí znázorňující celebrity, které zdánlivě šíří proruskou propagandu

snímky z videí s celebritami, které zdánlivě podporují proruskou propagandu
Další informace o tomto obrázku najdete na straně 12 v úplné studii.

Podle náčelníka ukrajinské armády přecházejí ruští bojovníci do nové fáze statické, zákopové války, což ukazuje na ještě delší konflikt.26 Kyjev bude k pokračování odporu potřebovat stálé dodávky zbraní a podporu veřejnosti a pravděpodobně budeme svědky toho, jak ruští kybernetičtí a vlivoví operátoři zintenzivní své snahy demoralizovat ukrajinské obyvatelstvo a degradovat externí zdroje vojenské a finanční pomoci Kyjevu.

S blížící se zimou můžeme být znovu svědky vojenských úderů zaměřených na energetické a vodárenské společnosti na Ukrajině a ničivých útoků na tyto sítě.27Ukrajinské orgány pro kybernetickou bezpečnost CERT-UA v září oznámily, že ukrajinské energetické sítě jsou vystaveny trvalému ohrožení, a Analýza hrozeb Microsoft pozorovala artefakty škodlivých aktivit rozvědky GRU v sítích ukrajinského energetického sektoru od srpna do října.28 Microsoft zaznamenal v srpnu nejméně jedno destruktivní použití nástroje Sdelete proti síti ukrajinské energetické společnosti.29

Mimo Ukrajinu můžou prezidentské volby v USA a další významná politická klání v roce 2024 poskytnout aktérům škodlivého ovlivňování příležitost využít své schopnosti v oblasti videomédií a vznikající umělé inteligence k tomu, aby odklonili politickou vlnu od volených představitelů, kteří se zasazují o podporu Ukrajiny.30

Microsoft pracuje na více frontách, aby chránil své zákazníky na Ukrajině a po celém světě před těmito mnohostrannými hrozbami. V rámci naší iniciativy pro bezpečnou budoucnost (Secure Future Initiative) spojujeme pokroky v kybernetické obraně založené na umělé inteligenci a vytváření zabezpečeného softwaru s úsilím o posílení mezinárodních norem na ochranu civilistů před kybernetickými hrozbami. 31V příštím roce, kdy se více než 2 miliardy lidí chystají zapojit do demokratického procesu, nasazujeme také zdroje a základní principy na ochranu voličů, kandidátů, kampaní a volebních orgánů po celém světě.32

  1. [2]

    Technické informace o nejnovějších metodách destruktivních útoků na Ukrajině najdete tady: https://go.microsoft.com/fwlink/?linkid=2262377

  2. [8]

    Na základě upozornění vydaných mezi 15. březnem 2023 a 23. říjnem 2023. 

  3. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  4. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  5. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

Související články

Rozsah a účinnost digitálních hrozeb z východní Asie roste

Prozkoumejte nové trendy ve vyvíjejícím se prostředí hrozeb ve východní Asii, kde Čína provádí rozsáhlé kybernetické operace i operace ovlivňování, zatímco severokorejští aktéři kybernetických hrozeb prokazují rostoucí sofistikovanost.

Írán začíná používat kybernetické operace ovlivňování, aby dosáhl většího efektu

Tým Analýzy hrozeb Microsoft odhalil zvýšený počet kybernetických operací ovlivňování z Íránu. Získejte přehled o hrozbách s podrobnostmi o nových technikách a o tom, kde existuje potenciál budoucích hrozeb.

Kybernetické operace a operace ovlivňování ve válce na ukrajinském digitálním bojišti

Tým Analýzy hrozeb Microsoft zkoumá kybernetické operace a operace ovlivňování na Ukrajině v posledním roce, odhaluje nové trendy v kybernetických hrozbách a informuje o tom, co lze očekávat, až válka postoupí do druhého roku.

Sledujte zabezpečení od Microsoftu