Trace Id is missing

Samad sihtmärgid, uued tegevusstsenaariumid: Ida-Aasia küberohustajad kasutavad ainulaadseid meetodeid

Laadi alla
Jaga
Abstraktne illustratsioon mereväelaevast koos graafiliste punaste ringide ja musta võrguga roosal taustal.

Microsoft on alates juunist 2023 täheldanud mitut märkimisväärset Hiina ja Põhja-Korea küber- ja mõjuoperatsioonide trendi: juba tuttavate sihtmärkide vastu suunatud rünnete ägenemisele on lisandunud katsed kasutada eesmärkide saavutamiseks keerukamaid mõjutehnikaid.

Hiina küberründajad on viimase seitsme kuu jooksul laias laastus võtnud sihikule kolm valdkonda.

  • Üks seltskond Hiina küberründajaid on sihtinud ainult Vaikse ookeani lõunaosa saartel tegutsevaid organisatsioone.
  • Teine osa Hiina tegevusest on seisnenud regionaalsete vastaste vastu suunatud jätkuvates küberrünnetes Lõuna-Hiina mere piirkonnas.
  • Kolmas osa Hiina küberründajatest ründas Ameerika Ühendriikide kaitsetööstust.

Hiina mõjuoperaatorid on geograafilise haarde laiendamise asemel oma tehnikaid lihvinud ning eksperimenteerinud uue meediaga. Hiina mõjukampaaniad on jätkuvalt edasi arendanud tehisintellekti genereeritud või muudetud sisu. Nende kampaaniate korraldajad on näidanud üles valmidust võimendada tehisintellekti genereeritud meediat, mis aitab neil levitada oma strateegilisi narratiive, ning ka ise video- ja helisisu ja meeme luua. Selliseid taktikaid on kasutatud kampaaniates, mille eesmärk on võimendada erimeelsusi Ameerika Ühendriikides ning lõhesid Aasia ja Vaikse ookeani piirkonnas (sh Taiwanis, Jaapanis ja Lõuna-Koreas). Need kampaaniad leidsid mitmesugust kõlapinda; polnud ühtegi konkreetset valemit, mis oleks järjekindlalt toiminud.

Põhja-Korea küberründajad jõudsid uudistesse sagenenud rünnetega tarkvara tarneahelate vastu ja krüptovaluuta röövidega viimase aasta jooksul. Kui endiselt on levinud strateegilised harpuunimiskampaaniad, millega sihitakse Korea poolsaarele keskendunud teadlasi, siis lisaks näib, et Põhja-Korea küberründajad on asunud senisest enam kasutama igati õiguspärast tarkvara selleks, et võtta sihikule veelgi rohkem ohvreid.

Gingham Typhoon sihib riigiasutusi, IT-ettevõtteid ja rahvusvahelisi organisatsioone kogu Vaikse ookeani lõunaosa saartel

2023. aasta suvel täheldas Microsofti ohuanalüüsi meeskond Hiinas paikneva spionaažirühmituse Gingham Typhoon ulatuslikku tegevust, mis sihtis peaaegu kõiki Vaikse ookeani lõunaosa riike. Gingham Typhoon on selles regioonis kõige aktiivsem ründaja, kes on keerukate harpuunimiskampaaniatega sihtinud nii rahvusvahelisi organisatsioone, riigiasutusi kui ka IT-sektorit. Ohvrite hulgas on ka Hiina valitsuse häälekaid kriitikuid.

Gingham Typhooni hiljutise tegevuse ohvrite hulgas on ka Hiina diplomaatilisi liitlasi; sihikule võeti olulised riigiametid, kaubandussuhetega seotud osakonnad, Interneti-teenuse pakkujad ja ka üks transpordifirma.

On võimalik, et need küberründed on motiveeritud senisest suuremast geopoliitilisest ja diplomaatilisest konkurentsist selles regioonis. Hiina soovib Vaikse ookeani lõunaosa saareriikidega sõlmida strateegilisi partnerlusi majanduslike sidemete tugevdamiseks ning vahendada diplomaatilisi ja julgeolekuga seotud lepinguid. Hiina küberspionaaž selles regioonis ei jäta puutumata ka majanduspartnereid.

Näiteks on Hiina küberohustajad võtnud ulatuslikult sihikule rahvusvahelised organisatsioonid Paapua Uus-Guineas – tegemist on Hiina kauaaegse diplomaatilise partneriga, kes saab kasu mitmest algatuse „Belt and Road“ („Vöö ja tee“, ühtse majandusvööndi ja teede algatus) projektist, sealhulgas suure maantee rajamisest, mis ühendab Paapua Uus-Guine valitsuse hoone pealinna põhimaanteega.1

Kaart, mis illustreerib sihitud küberohtude sagedust Vaikse ookeani saareriikides, suuremate ringidega
Joonis 1. Vaadeldud sündmused juunist 2023 kuni jaanuarini 2024, mille taga oli Gingham Typhoon. See tegevus tõstab esile rühmituse jätkuvat keskendumist Vaikse ookeani lõunaosa riikidele. Suur osa sellest tegevusest on kestnud pikka aega; see piirkond on sihikul olnud aastaid. Geograafilised asukohad ja tingmärkide diameeter on illustratiivsed.

Hiina küberohustajad keskenduvad Lääne militaarõppuste käigus endiselt Lõuna-Hiina merele

Hiinas paiknevad küberohustajad sihivad jätkuvalt asutusi ja juriidilisi isikuid, kes on seotud Hiina majandus- ja sõjaliste huvidega Lõuna-Hiina meres ja selles piirkonnas laiemalt. Näiteks on nad kasutanud ära võimalusi rünnata riigiasutusi ja telesidefirmasid Kagu-Aasia Maade Assotsiatsiooni (ASEAN) riikides. Hiina riiklikult mahitatud küberründajatele näisid eriti suurt huvi pakkuvat regioonis korraldatud arvukate USA sõjaliste õppustega seotud sihtmärgid. Juunis 2023 sihtis Hiinas paiknev riiklikult mahitatud rühmitus Raspberry Typhoon mõni nädal enne harukordset rahvusvahelist mereväeõppust, kus osalesid Indoneesia, Hiina ja Ameerika Ühendriigid, edukalt Indoneesia militaar- ja riigiasutusi ning ühte Malaisia merendussüsteemi.

Teine Hiinas paiknev küberohustaja Flax Typhoon aga võttis sihikule Ameerika Ühendriikide ja Filipiinide ühisõppustega seotud asutused. Granite Typhoon – samuti Hiinas paiknev küberohustaja – omakorda ründas samal perioodil peamiselt selle regiooni telekommunikatsiooniettevõtteid; ohvreid oli nii Indoneesias, Malaisias, Filipiinidel, Kambodžas kui ka Taiwanil.

Pärast Flax Typhooni käsitleva Microsofti ajaveebiartikli avaldamist täheldas Microsoft 2023. aasta sügistalvel uusi Flax Typhooni sihtmärke Filipiinidel, Hongkongis, Indias ja Ameerika Ühendriikides.2 Ka see rühmitus ründab sageli telekommunikatsiooni sektorit, mis toob tihti kaasa mõjud allkasutajate jaoks.

Kaart, mis kujutab Microsofti ohuanalüüsi andmeid Aasias kõige enam sihitud piirkondade kohta.
Joonis 2. Vaadeldud sündmused, mis sihtisid Lõuna-Hiina mere piirkonnas asuvaid riike ning mille taga oli Flax Typhoon, Granite Typhoon või Raspberry Typhoon. Geograafilised asukohad ja tingmärkide diameeter on illustratiivsed.

Nylon Typhoon ohustab rahvusvaheliste suhetega tegelevaid organisatsioone üle maailma

Hiinas paiknev küberohustaja Nylon Typhoon on jätkanud oma ammust praktikat sihtida rahvusvaheliste suhetega tegelevaid asutusi paljudes riikides. Juunist detsembrini 2023 jälgis Nylon Typhooni tegutsemist Lõuna-Ameerika riigiasutustes, sealhulgas Brasiilias, Guatemalas, Costa Ricas ja Peruus. Küberohustaja tegutsemist märgati ka Euroopas: rünnati riigiasutusi Portugalis, Prantsusmaal, Hispaanias, Itaalias ja Ühendkuningriigis. Ehkki enamik Euroopa sihtmärkidest olid riigiasutused, langesid ründe ohvriteks ka mõned IT-ettevõtted. Nende rünnete eesmärk oli luureandmete kogumine.

Hiina küberohurühmitus sihib sõjalisi üksuseid ja kriitilise tähtsusega taristut Ameerika Ühendriikides

2023. aasta sügisel ja talvel aktiveerus ka Storm-0062 tegevus. Suure osa sellest tegevusest moodustas Ameerika Ühendriikide kaitsesektoriga seotud riigiasutuste (sh lennundus- ja kosmosetööstuse ja kaitsetööstuse jaoks insenertehnilisi teenuseid pakkuvate ja USA riikliku julgeoleku jaoks kriitiliselt tähtsate maavaradega tegelevate alltöövõtjate) ründamine. Lisaks võttis Storm-0062 korduvalt sihikule Ameerika Ühendriikide sõjalisi üksuseid; siiski on ebaselge, kas rühmituse ründekatseid saatis edu.

USA kaitsetööstus on endiselt ka Volt Typhooni sihtmärk. Mais 2023 omistas Microsoft Ameerika Ühendriikide kriitilise tähtsusega taristuorganisatsioonide vastu suunatud ründed Hiinas paiknevale riiklikult mahitatud Volt Typhooni rühmitusele. Volt Typhoon kasutas organisatsioonide võrkudesse pääsemiseks käepäraseid võimalusi kasutavaid („living-off-the-land“) tehnikaid; ründeid juhtisid klaviatuuride taga istuvad inimesed.3 Need taktikad võimaldasid Volt Typhoonil juurdepääsu saamise järel sihtvõrkudes märkamatult edasi tegutseda. Juunist 2023 detsembrini 2023 jätkas Volt Typhoon kriitilise tähtsusega taristu ründamist, kuid lisaks tegutseti ka ressursside arendamisega, rünnates väike- ja kodukontorite (SOHO) seadmeid mitmel pool Ameerika Ühendriikides.

2023. aasta septembri raportis andsime üksikasjaliku ülevaate, kuidas Hiina mõjuoperatsioonide (MO) agendid on asunud kasutama genereerivat tehisintellekti pilkupüüdva ja kvaliteetse visuaalsisu loomiseks. Suve jooksul jätkas Microsofti ohuanalüüsi osakond selliste Ameerika Ühendriike sihtivate tehisintellekti genereeritud meemide tuvastamist, mis võimendasid vastuolulisi siseriiklikke lahkhelisid ja kritiseerisid praegust administratsiooni. Hiinaga seostatud MO-agendid on tehisintellekti abil muudetud ja tehisintellekti genereeritud meediumeid (edaspidi „TI-sisu“) möödunud aasta jooksul mõjukampaaniates kasutanud aina rohkem ja sagedamini.

Tehisintellekti tõus (võidukäiku see veel ei tee)

Tehisintellektipõhist sisu kasutavatest küberohustajatest kõige viljakam on Storm-1376 – selle nimetusega tähistab Microsoft Hiina kommunistliku parteiga (Hiina KP) seostatud ründajat, keda teatakse ka koodnimega „Spamouflage“ või „Dragonbridge“. Talve saabudes olid ka teised Hiina KP-ga seostatud ründajad asunud veebipõhiste mõjuoperatsioonide täiendamiseks kasutama mitmesugust TI-sisu. Oluliselt suurenes sellise Taiwani poliitikuid kujutava sisu hulk enne 13. jaanuari presidendi- ja parlamendivalimisi. See oli esimene kord, mil Microsofti ohuanalüüsi meeskond oli tunnistajaks riiklikult mahitatud küberohustaja katsetele mõjutada teise riigi valimisi tehisintellektipõhise sisu abil.

Tehisintellekti genereeritud heliklipid: Taiwani valimispäeval postitas Storm-1376 arvatavalt tehisintellekti genereeritud heliklipid, milles väidetavalt kõneles Foxconni omanik Terry Gou – sõltumatu erakonna kandidaat Taiwani presidendivalimistel, kes loobus kandideerimast novembris 2023. Helisalvestistel kõlas Gou hääl avaldamas toetust teisele presidendivalimiste kandidaadile. Kuna Gou ei ole sellist avaldust teinud, on tema hääl neis salvestistes tõenäoliselt tehisintellekti genereeritud. YouTube blokeeris selle sisu kiiresti, enne selle jõudmist märkimisväärse hulga kasutajateni. Vaid mõni päev enne nende videote postitamist hakkas veebis ringlema võltsitud kiri, milles Terry Gou väidetavalt toetas sama kandidaati. Taiwani juhtivad faktikontrolliühendused tunnistasid kirja võltsinguks. Gou kampaaniameeskond andis samuti teada, et kiri ei olnud ehtne, ning lubas sellele reageerida asja kohtusse andmisega.4 Gou ei avaldanud ametlikult toetust ühelegi teisele presidendivalimiste kandidaadile.
Ülikonnas mees kõneleb puldis, esiplaanil on hiinakeelne tekst ja heli signaalkuju kujutis.
Joonis 3. Storm-1376 avaldatud videod kasutasid tehisintellekti genereeritud häälsalvestisi, mille eesmärk oli jätta mulje, nagu toetaks Terry Gou teist kandidaati.
Tehisintellekti genereeritud uudisteankrud: mitmesugustes kampaaniates, kus kujutati Taiwani poliitikuid5 ja edastati ka Myanmari (Birmat) puudutavaid sõnumeid, astusid üles tehisintellekti abil genereeritud uudisteankrud, kelle kujutiste loomiseks kasutasid kolmandatest osapooltest tehnikafirmad Hiina tehnoloogiaettevõtte ByteDance tööriista Capcut. Storm-1376 on selliseid tehisintellekti genereeritud uudisteankruid kasutanud juba vähemalt alates veebruarist 2023,6 kuid neid ankruid hõlmava sisu hulk on viimastel kuudel kasvanud.
Kollaaž, mis kujutab militaarsõidukit
Joonis 4. Storm-1376 postitas nii inglis- kui ka hiinakeelseid videoid väitega, et Myanmari rahutuste eest vastutavad Ameerika Ühendriigid ja India. Mitmes videos kasutatakse sama tehisintellekti genereeritud uudisteankrut.
Tehisintellekti abil muudetud videod: Kanada valitsus ja seda seika uurinud teadlased on kinnitanud, et Kanada parlamendisaadikutele suunatud kampaanias, milles kujutati ühte Kanadas elavat Hiina dissidenti, kasutati videote muutmiseks tehisintellekti.7 Need võltsitud videod, mis moodustasid üksnes ühe osa mitut platvormi haaranud kampaaniast (muu hulgas hõlmas see Kanada poliitikute ahistamist nende sotsiaalmeediakontode kaudu), kujutasid dissidenti tegemas negatiivseid kommentaare Kanada valitsuse kohta. Sarnaseid tehisintellekti abil muudetud videoid on sama dissidendi vastu kasutatud ka varem.
Inimene istub laua ääres
Joonis 5. Tehisintellekti toega süvavõltsitud videod dissidendist religiooni kohta halvustavalt rääkimas. Ehkki kasutatakse Kanada kampaaniaga sarnaseid taktikaid, näib, et need videod pole sisu poolest seotud.
Tehisintellekti genereeritud meemid: Storm-1376 levitas tehisintellekti genereeritud meeme, mis kujutasid Taiwani tollast demokraatliku progressiivse partei (DPP) presidendikandidaati William Laid detsembris koos DPP võimult kukutamiseni jäänud päevade pöördloendusega.
Graafiline kujutis, kus kaks pilti on kõrvuti; ühel neist on kuju punase X-iga ja teisel sama kuju ilma tähistuseta.
Joonis 6. Tehisintellekti genereeritud meemides süüdistatakse DPP presidendikandidaati William Laid Taiwani tulevikku vaatava taristuarenduse programmist vahendite kõrvale kantimises. Meemides on kasutatud lihtsustatud märke (neid kasutatakse Hiina RV-s, kuid mitte Taiwanil) ja need moodustasid osa sarjast, mis lugesid „päevi DPP võimult kõrvaldamiseni“.
Ajaskaalat kujutav teabegraafika, mis näitab tehisintellekti genereeritud sisu mõju Taiwani valimistele detsembrist 2023 kuni jaanuarini 2024.
Joonis 7. Ajaskaala tehisintellekti genereeritud ja tehisintellekti muudetud sisust, mis avaldati enne Taiwanis jaanuaris 2024 peetud presidendi- ja parlamendivalimisi. Storm-1376 võimendas mitut sellist sisupostitust ning tegeles kahe kampaania jaoks sisu loomisega.

Storm-1376 reageerib sündmustele sõnumitega, vahel ka konspiratsiooniteooriatega

Storm-1376 – küberohustaja, kelle mõjuoperatsioonid hõlmavad enam kui 175 veebisaiti ja 58 keelt – korraldab jätkuvalt kampaaniaid reageerimaks laia kõlapinda leidvatele geopoliitilistele sündmustele. Eriti sageli reageerib rühmitus sündmustele, mis võimaldavad kujutada Ameerika Ühendriike negatiivselt või edendada Hiina KP huvisid APAC-i regioonis. Pärast meie eelmist raportit septembris 2023 on need kampaaniad mitmel olulisel viisil edasi arenenud; muu hulgas kaasatakse nüüd tehisintellekti genereeritud fotosid vaatajaskonna eksitamiseks, levitatakse vandenõuteooriaid (eelkõige USA valitsuse vastu) ja sihitakse lokaliseeritud sisu pakkudes uusi piirkondi, näiteks Lõuna-Koread.

1. Väide, nagu oleks Hawaii metsatulekahjud põhjustanud Ameerika Ühendriikide valitsuse „ilmarelv“

Augustis 2023, kui Maui looderannikul möllasid suured metsapõlengud, haaras Storm-1376 kinni võimalusest levitada mitmel sotsiaalmeediaplatvormil konspiratsiooniteooriaid. Neis postitustes väideti, nagu oleks USA valitsus tulekahjud süüdanud teadlikult, katsetamaks sõjalise otstarbega „ilmarelva“. Lisaks selle teksti postitamisele kümnetel veebisaitidel ja platvormidel vähemalt 31 keeles kasutas Storm-1376 tehisintellekti genereeritud pilte põlevatest rannateedest ja elumajadest, et muuta sisu pilkupüüdvamaks.8

Komposiitpilt, kus dramaatilisi põlenguid kujutavatele stseenidele on lisatud tempel „võltsing“.
Joonis 8. Storm-1376 postitas vandenõuteooriatele viitavat sisu juba mõne päeva jooksul pärast suurpõlengute puhkemist, väites, et põlengute põhjuseks on USA valitsuse „meteoroloogilise relva“ katsetused. Postitusi illustreerisid sageli tehisintellekti genereeritud fotod hiiglaslikest tulekahjudest.

2. Jaapani tuumajaamade reoveekäitlusega seotud protestide võimendamine

Kui Jaapan alustas 24. augustil 2023 puhastatud radioaktiivse reovee laskmist Vaiksesse ookeani, käivitas Storm-1376 ulatusliku ja agressiivse Jaapani valitsust kritiseeriva sõnumikampaania.9 Storm-1376 postitatud sisu kahtles Rahvusvahelise Aatomienergia Agentuuri (IAEA) teaduspõhises hinnangus, et selline teguviis oli ohutu. Storm-1376 postitas sõnumeid kõikvõimalikel sotsiaalmeediaplatvormidel paljudes keeltes (sh jaapani, korea ja inglise keeles). Osa sellest sisust süüdistas isegi Ameerika Ühendriike teiste riikide tahtlikus mürgitamises „veehegemoonia“ säilitamiseks. Selles kampaanias kasutatud sisul on tehisintellektipõhise genereerimise tunnused.

Mõnel juhul taaskasutas Storm-1376 teiste Hiina propaganda ökosüsteemi kuuluvate rühmituste, sealhulgas Hiina riikliku meediaga seotud sotsiaalmeedia suunamudijate kasutatud sisu.10 Suunamudijad ja Storm-1376 kuuluvad agendid laadisid üles kolm identset videot, milles kritiseeriti Fukushima reoveekäitlust. Selliseid juhtumeid, mis hõlmavad identse sisu postitamist erinevate isikute poolt pealtnäha koordineeritud või ülaltpoolt suunatud viisil, tuli 2023. aastal aina juurde.

Komposiitpilt, mis koosneb satiirilisest illustratsioonist inimestest, Godzillat kujutava video kuvatõmmisest ja sotsiaalmeediapostitusest.
Joonis 9. Tehisintellekti genereeritud meemid ja pildid, mis kritiseerivad Fukushima reoveekäitlust ning mille on avaldanud varjatud Hiina mõjuoperatsioonide agendid (vasakul) ja Hiina riigiametnikud (keskel). Hiina riikliku meediaga seotud suunamudijad on reoveekäitlusse kriitiliselt suhtuvaid sõnumeid samuti võimendanud (paremal).

3. Rahulolematuse õhutamine Lõuna-Koreas

Fukushima reovee ookeani laskmisega seoses võttis Storm-1376 selgelt sihikule Lõuna-Korea, kasutades lokaliseeritud sisu võimendamaks selles riigis Jaapani reoveekäitluse vastu aset leidvaid proteste ning muud Jaapani valitsust kritiseerivat sisu. See kampaania hõlmas sadu koreakeelseid postitusi mitmel platvormil ja veebisaidil, sealhulgas Lõuna-Korea sotsiaalmeedia saitidel (nt Kakao Story, Tistory ja Velog.io).11

Selle sihitud kampaania raames võimendas Storm-1376 aktiivselt Minjoo partei juhi ja 2022. aasta presidendivalimistel põrunud kandidaadi Lee Jaemyungi (이재명, 李在明) kommentaare ja tegusid. Lee kritiseeris Jaapani käiku „saastunud vee terrorina“ ja võrdles seda „teise Vaikse ookeani sõjaga“. Samuti süüdistas ta Lõuna-Korea tollast valitsust, nimetades seda Jaapani otsusele kaasa aitamise tõttu kuriteos osaliseks, ning alustas protestiks 24 päeva kestnud näljastreiki.12

Neljast paneelist koosnev koomiks, mis käsitleb keskkonnasaastet ja selle mõju mereelustikule.
Joonis 10. Lõuna-Korea blogiplatvormi Tistory koreakeelsed meemid võimendavad Fukushima reoveekäitlusega seotud lahkhelisid.

4. Kentucky rongiõnnetus

Ameerika Ühendriikides sõitis novembris 2023, tänupüha ajal, Kentucky osariigis Rockcastle Countys rööbastelt välja sulaväävlit vedanud rong. Ligikaudu nädal hiljem käivitas Storm-1376 sotsiaalmeedias kampaania, mis võimendas õnnetust, levitas USA valitsuse vastaseid vandenõuteooriaid ja rõhutas poliitilisi erimeelsusi USA valijate vahel. Kõik see aitas kaasa inimestes Ameerika Ühendriikide valitsuse vastu usaldamatuse ja pettumuse õhutamisele. Storm-1376 soovitas lugejatel kaaluda, kas USA valitsus võis õnnetuse ise põhjustada ning „varjab midagi teadlikult“.13 Mõnes sõnumis võrreldi rongi rööbastelt maha sõitmist koguni 11. septembri terrorirünnaku ja II maailmasõjas Pearl Harborile korraldatud rünnaku varjamise teooriatega.14

Hiina mõjuoperatsioonide petukontod uurivad USA poliitiliste teemade vaatenurki

2023. aasta septembri raportis tõstsime esile, kuidas Hiina kommunistliku parteiga seotud sotsiaalmeediakontod on asunud etendama USA valijaid, kehastudes kogu poliitilist spektrit esindavateks ameeriklasteks ja vastates ehtsate kasutajate kommentaaridele.15 Enne neid katseid mõjutada 2022. aasta USA vahevalimisi polnud me sarnaseid Hiina mõjuoperatsioone täheldanud.

Microsofti ohuanalüüsikeskus (MTAC) on märganud väikest, ent selget kasvutrendi täiendavate petukujude kontode loomisel, mida meie mõõdukalt kindlal hinnangul haldab Hiina KP. Varem Twitteri nimel all tegutsevas X-is loodi need kontod juba 2012. või 2013. aastal, kuid praeguste tegelaskujudena hakati neilt postitama alles 2023. aasta alguses – see viitab, et kontod hangiti alles hiljuti või et neil oli algselt mingi muu otstarve. Need petukujud postitavad nii enda loodud videoid, meeme ja teabeülevaateid kui ka muude suure jälgijaskonnaga poliitiliste kontode sisu. Peaasjalikult postitatakse neilt kontodelt USA siseriiklikel teemadel (uimastikasutus Ameerikas, immigratsioonipoliitikad, rassipinged), ent vahel kirjutatakse kommentaare ka Hiinale huvi pakkuvatel teemadel, näiteks Fukushima reovee ookeani laskmise või Hiina dissidentide kohta.

Kuvatõmmis tekstiga sõja ja konfliktide, uimastiprobleemide, rassisuhete jne kohta.
Joonis 11. Suve ja sügise jooksul kasutasid tüüpkasutajaid kehastavad Hiina petukujud ja käpiknukud oma Ameerika Ühendriikide poliitilisi probleeme ja aktuaalseid sündmusi arutavates postitustes sageli kaasahaaravaid visuaalseid kujutisi, mis vahel olid genereeriva tehisintellekti abil muudetud.
Lisaks poliitiliselt motiveeritud teabeülevaadete ja videote postitamisele küsitakse nende kontode jälgijatelt sageli ka seda, kas nood on teemakäsitlusega nõus. Mõni selline konto on postitanud mitme presidendikandidaadi kohta ja palunud siis jälgijatel kommenteerida, kas nood toetavad vastavat kandidaati või mitte. Selle taktika eesmärk võib olla lihtsalt suurema hulga inimeste kaasamine, ent samuti on võimalik, et nii proovitakse saada aimu ameeriklaste vaadetest USA poliitikale. Selliseid kontosid võib tegutseda veelgi, kogumaks rohkem teavet peamiste valimistel osalevate demograafiliste rühmade kohta Ameerika Ühendriikides.
Poolitatud kuvapilt võrdlusega: vasakul on lennukikandjalt startiv sõjalennuk, paremal barjääri taga istuv rühm inimesi
Joonis 12. Hiina petukujud ehk käpiknukud küsivad teistelt X-i kasutajatelt nende seisukohti poliitilistel teemadel.

Põhja-Korea küberohustajad varastasid 2023. aastal sadade miljonite dollarite väärtuses krüptovaluutat, korraldasid ründeid tarkvara tarneahelatele ning võtsid sihikule isikud ja organisatsioonid, keda peeti ohuks riiklikule julgeolekule. Need operatsioonid genereerivad Põhja-Korea valitsuse (eelkõige relvastusprogrammi) jaoks tulu ning koguvad teavet Ameerika Ühendriikide, Lõuna-Korea ja Jaapani kohta.16

Teabegraafika, mis kujutab küberohtudega seoses kõige rohkem sihitud sektoreid ja riike.
Joonis 13. Põhja-Korea kõige sagedamini sihitud sektorid ja riigid alates juunist 2023 kuni jaanuarini 2024, võttes aluseks Microsofti ohuanalüüsi riiklikult mahitatud küberrünnetest teatamise andmed.

Põhja-Korea küberohustajad röövisid riigi jaoks tulu teenimiseks rekordilisel hulgal krüptovaluutat.

ÜRO hinnangul on Põhja-Korea küberohustajad 2017. aastast alates varastanud enam kui 3 miljardi USA dollari väärtuses krüptovaluutat.17 Ainuüksi 2023. aastal ulatus röövidega teenitud tulu kokku 600 miljoni kuni ühe miljardi USA dollarini. Selle varastatud rahaga finantseeritakse väidetavalt enam kui poolt riigi tuuma- ja raketiprogrammist, mis võimaldab Põhja-Koreal relvi massiliselt toota ja katsetada sanktsioonidele vaatamata.18 Põhja-Korea korraldas möödunud aasta jooksul arvukalt raketikatsetusi ja sõjaväeõppusi ning 21. novembril 2023 õnnestus neil koguni edukalt kosmosesse saata sõjaväeluure satelliit.19

Kolm Microsofti jälgitavat küberohustajat – Jade Sleet, Sapphire Sleet ja Citrine Sleet – keskendusid 2023. aasta juunist kõige enam just krüptovaluutaga seotud sihtmärkidele. Jade Sleet viis läbi suuri krüptovaluuta rööve, Sapphire Sleet omakorda korraldas väiksemaid, ent sagedasemaid krüptoraha varguseid. 2023. aasta juuni alguses varastati ühelt Eestis asuvalt krüptovaluutaga tegelevalt ettevõttelt vähemalt 35 miljoni USA dollari väärtuses krüptoraha ning Microsoft seostas selle varguse just Jade Sleetiga. Kuu hiljem langes enam kui 125 miljoni USA dollari väärtuses krüptoraha röövi ohvriks üks Singapuris tegutsev platvorm ning ka see oli Microsofti hinnangul just Jade Sleeti operatsioon. Augustis 2023 alustas Jade Sleet veebipõhiste krüptovaluutas tegutsevate kasiinode ründamist.

Sapphire Sleet ründas edukalt ja järjekindlalt paljusid töötajaid (sh juhtivtöötajaid ja arendajaid) krüptovaluuta, riskikapitali ja muude finantsteenustega tegelevates organisatsioonides. Samuti töötas Sapphire Sleet välja uusi tehnikaid – näiteks hakati sihtmärkidele saatma virtuaalkoosolekute libakutseid linkidega ründaja domeenile ning registreerima võltsveebisaite, mis näiliselt tegelesid tööpakkumisega. Citrine Sleet korraldas esmalt märtsis 2023 ründe 3CX-i tarneahelale ning seejärel murdis seda rünnet ära kasutades sisse ühte Türgis asuvasse krüptoraha ja digivarade firmasse. Ohvri süsteemis oli kasutusel tarneahela turbemurdega seotud 3CX-i rakenduse haavatav versioon.

Põhja-Korea kübeohustajad ähvardavad IT-sektorit harpuunimis- ja tarkvara tarneahela rünnetega

Põhja-Korea küberohustajad korraldasid ka tarkvara tarneahela ründeid IT-firmadele. See andis neile juurdepääsu vastavat tarkvara kasutavatele klientidele. Jade Sleet kasutas GitHubi hoidlaid ja relvana kasutatavaid npm-pakette manipuleerimis- ja harpuunimiskampaanias, mis sihtis krüptovaluuta- ja tehnoloogiaorganisatsioone.20 Ründajad kehastasid arendajaid või värbajaid, kes kutsusid valitud ohvrid GitHubi hoidlas koostööd tegema ning veensid seejärel neid hoidla sisu kloonima ja käivitama; hoidla sisaldas npm-ründepakette. Diamond Sleet viis augustis 2023. läbi ühe Saksamaal asuva IT-ettevõtte tarneahela ründe. Novembris 2023 kasutati ühe Taiwanis asuva IT-firma rakendust tarneahela ründe korraldamiseks. Nii Diamond Sleet kui ka Onyx Sleet kasutasid 2023. aasta oktoobris ära TeamCity CVE-2023- 42793 nõrkust, mis võimaldab ründajal käivitada koodi kaugkäitusründe ja saada server oma halduskontrolli alla. Diamond Sleet kasutas seda tehnikat sadade paljudes valdkondades töötavate ohvrite ründamiseks Ameerika Ühendriikides ja Euroopas, sealhulgas Ühendkuningriigis, Taanis, Iirimaal ja Saksamaal. Onyx Sleet kasutas sama nõrkust vähemalt kümne ohvri edukaks ründamiseks (ohvrite hulgas olid näiteks üks Austraalia tarkvarapakkuja ja Norra riigiasutus) ning kasutas turbemurde järel tööriistu täiendavate lastide käivitamiseks.

Põhja-Korea küberohustajad sihtisid Ameerika Ühendriike, Lõuna-Koread ja nende liitlasi

Põhja-Korea küberohustajad jätkasid oma riiklikule julgeolekule ohuks peetavate sihtmärkide ründamist. See kübertegevus illustreeris Põhja-Korea geopoliitilist eesmärki: seista vastu Ameerika Ühendriikide, Lõuna-Korea ja Jaapani kolmepoolsele liidule. Nende kolme riigi juhid kinnitasid selle partnerluse Camp Davidi tippkohtumisel augustis 2023.21 Ruby Sleet ja Onyx Sleet jätkasid oma senist suunda Ameerika Ühendriikide ja Lõuna-Korea lennundus- ja kosmosetööstuse ning kaitseorganisatsioonide sihtimisel. Emerald Sleet jätkas luure- ja harpuunimiskampaaniaid, millega võeti sihikule diplomaadid ja Korea poolsaare eksperdid riigiasutustes, mõttekodades ja valitsusvälistes organisatsioonides, ajakirjanduses ja haridussektoris. Pearl Sleeti operatsioonide sihtmärgiks olid juunis 2023 jätkuvalt Lõuna-Korea organisatsioonid, kes tegelevad Põhja-Korea ülejooksikutega, ja Põhja-Korea inimõigustega seotud aktivistid. Microsofti hinnangul on nende tegevuste motiiviks luureandmete kogumine.

Põhja-Korea küberohustajad kasutavad legitiimse tarkvara kaudu tagauksi

Põhja-Korea küberohustajad kasutasid ka olemasolevas tarkvaras leiduvaid nõrkusi, luues süsteemidele juurdepääsuks tagauksi. 2023. aasta esimeses pooles kasutas Diamond Sleet sageli ohvrite ründamiseks VNC ründevara. Samuti jätkas Diamond Sleet juulis 2023 PDF-failide lugemise ründevara kasutamist. Selliste tehnikate kasutamist relvana analüüsis Microsofti ohuanalüüsi meeskond ühes oma 2022. aasta septembri ajaveebipostituses.22 Ka Ruby Sleet kasutas detsembris 2023 tõenäoliselt tagauksena ühe Lõuna-Korea elektrooniliste dokumentide programmi installerit.

Põhja-Korea kasutas küberründetegevusteks tehisintellektipõhiseid tööriistu

Põhja-Korea küberohustajad kohanevad tehisintellekti ajastuga. Nad õpivad kasutama tehisintellektil ja suurtel keelemudelitel (LLM) põhinevaid tööriistu oma operatsioonide tõhustamiseks. Näiteks jälgisid Microsoft ja OpenAI, kuidas Emerald Sleet kasutas suuri keelemudeleid Korea poolsaare eksperte sihtivate harpuunimiskampaaniate täiustamiseks.23 Emerald Sleet kasutas suuri keelemudeleid nõrkuste uurimiseks ning Põhja-Korea ekspertide ja organisatsioonide järel luuramiseks. Samuti võttis Emerald Sleet suured keelemudelid kasutusele tehniliste probleemide tõrkeotsingu jaoks, lihtsamate skriptimistoimingute tegemiseks ning harpuunimissõnumite jaoks mustandsisu koostamiseks. Microsoft tegi OpenAI-ga koostööd Emerald Sleetiga seostatud kontode ja varade peatamiseks.

Hiina tähistab oktoobris Hiina Rahvavabariigi asutamise 75. aastapäeva ning Põhja-Korea jätkab oluliste relvaprogrammide arendamist. Indias, Lõuna-Koreas ja Ameerika Ühendriikides seisavad ees valimised – nende valimiste mõjutamisega tegelevad kindlasti Hiina küber- ja mõjuoperaatorid ning tõenäoliselt vähemalt mingil määral ka Põhja-Korea küberohustajad.

Kindel võib olla selles, et Hiina loob ja võimendab tehisintellekti genereeritud sisu, mis toob neile neil olulistel valimistel kasu. Ehkki selline sisu ei suuda sihtrühmade seisukohti arvestataval määral muuta, jätkab Hiina meemide, videote ja heliklippide muutmise ja täiendamisega katsetamist ning edaspidi võib selle tegevuse mõju suureneda. Kuigi Hiina küberohustajad on Ameerika Ühendriikide poliitiliste institutsioonide järel luuranud juba pikka aega, oleme valmis nägema mõjuoperaatoreid ameeriklastega suhtlemas, et inimesi kaasata ja potentsiaalselt uurida arvamusi USA poliitika kohta.

Põhja-Koreas on käimas uute riiklike poliitikate juurutamine ning relvade katsetamine. Sellega seoses võime oodata varasemast lihvitumaid ja keerukamaid krüptoraharööve ning kaitsesektori vastu suunatud tarneahelaründeid, mille eesmärk on hankida režiimile raha ja toetada uute sõjaliste võimekuste arendamist.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1. jaanuar 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11. jaanuar 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    „Probable PRC „Spamouflage“ campaign targets dozens of Canadian Members of Parliament in disinformation campaign“, oktoober 2023,

  8. [8]
  9. [9]

    Mitu allikat on dokumenteerinud Hiina valitsuse käimasolevat propagandakampaaniat, mille eesmärk on õhutada rahvusvahelist protesti Jaapani otsuse suhtes, mis on seotud 2011. aasta Fukushima Daiichi tuumaõnnetuse reovee käitlemisega; vt järgmisi linke: „China’s Disinformation Fuels Anger Over Fukushima Water Release“, 31. august 2023 „Japan targeted by Chinese propaganda and covert online campaign“, 8. juuni 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Kübermõjuoperatsioonid Riiklikult mahitatud Riiklikult mahitatud küberohtude aruanded Manipuleerimine Küberohustajad

Seotud artiklid

Ida-Aasia digiohud on üha ulatuslikumad ja tõhusamad

Tehke lähemalt tutvust Ida-Aasia ohumaastikul pead tõstvate uute ohtudega: Hiina viib läbi nii laiaulatuslikke küber- kui ka mõjuoperatsioone, Põhja-Korea küberohustajad aga näitavad üles aina paremaid oskuseid.
Lisateave

Usalduspõhise majanduse ekspluateerimine: manipuleerimispettus

Tutvuge areneva digitaalse maastikuga, kus usaldusest on saanud nii väärtuslik valuuta kui ka nõrkus. Uurige, millised on sotsiaalse manipuleerimise pettuse taktikad, mida küberründajad enim kasutavad, ja vaadake üle strateegiad, mis aitavad teil tuvastada ja üle kavaldada inimlikke apsakaid ära kasutava sotsiaalse manipuleerimise ohte.
Lisateave

Iraan suurendab Hamasi toetuseks kübermõjuoperatsioone

Lugege täpsemat teavet Iraani kübermõjuoperatsioonide kohta, mis toetavad Iisraelis Hamasi. Siit saate teada, kuidas operatsioonid on sõja eri etappides edenenud, ja uurida nelja peamist mõjutaktikat, tehnikat ja protseduuri (TTP), mida Iraan kõige enam eelistab.
Lisateave

Jälgige Microsofti turbeteenust