Trace Id is missing

Venemaa küberohustajad on valmis sõjaväsimust ära kasutama

 Kübermõjuoperatsioonid
Sissejuhatus
Venemaa küber- ja mõjuoperatsioonide käitajad on kogu Ukrainas peetava sõja vältel näidanud üles kohandumisvõimet, proovides leida uusi võimalusi lahinguväljal edu saavutada ning vähendada nii kohalikku kui ka välist tuge Kiievile. Selles aruandes antakse üksikasjalik ülevaade küberohtudest ja mõjuoperatsioonidest, mida Microsoft vaatles 2023. aastal märtsist oktoobrini. Selles ajavahemikus oli taas sihikule võetud nii Ukraine kaitsevägi kui ka tsiviilelanikkond; samal ajal laienesid ka sissetungidega seotud riskid ja manipuleerimisründed nende organisatsioonide vastu üle kogu maailma, kes aitavad Ukrainat ja kelle eesmärk on Venemaa vägesid sõjakuritegude eest vastutusele võtta.

Venemaa Ukraina vastu peetava sõja etapid jaanuarist 2022 kuni juunini 2023

Diagramm, mis kujutab Venemaa Ukraina vastu peetava sõja etappe
Lisateavet selle pildi kohta leiate täieliku aruande 3. leheküljelt.

Ohutegevused, mida Microsoft selles ajavahemikus (märtsist oktoobrini) jälgis, kajastasid kombineeritud operatsioone, mille eesmärk oli demoraliseerida Ukraina avalikkust ning mis olid aina rohkem suunatud küberspionaažile. Venemaa sõjavägi, küberründajad ja propagandistid korraldasid kooskõlastatud rünnakuid Ukraina põllumajandussektori vastu. Tegemist on tsiviiltaristu sihtmärgiga ja ei tohi unustada, et maailmas on teraviljast puudus. Venemaa sõjaväeluurega (GRU) seotud küberohustajad tegelesid senisest enam küberspionaažiga, mille sihtmärgiks oli Ukraina kaitsevägi ja selle välismaised tarneahelad. Rahvusvahelise kogukonna katsed võtta kurjategijad sõjakuritegude eest vastutusele tõid kaasa Venemaa välisluure (SVR) ja föderaalse julgeoleku (FSB) teenistustega seotud rühmituste ründed sõjakuritegude uurijate vastu nii Ukrainas kui ka väljaspool Ukrainat.

Mõjuoperatsioonide rindel tõstatas Wagneri rühmituse ning kurikuulsa Interneti-uuringute agentuuri (Internet Research Agency) trollifarmi omaniku Jevgeni Prigožini põgus mäss juunis 2023 ja hilisem surm küsimusi Venemaa mõjutegevuste võimekuse tuleviku kohta. Kogu suve jooksul täheldas Microsoft selliste organisatsioonide ulatusliku tegevust, mis ei olnud Prigožiniga seotud; see illustreeris Venemaa kuritahtlike mõjuoperatsioonide tulevikku ilma temata.

Microsofti ohuanalüüsi ja intsidentidele reageerimise meeskonnad on mõjutatud kliente ja riigiasutustest partnereid teavitanud ja teinud nendega selles aruandes kirjeldatud ohutegevuste leevendamiseks koostööd.

Ukrainas loodavad Venemaa väed kahju tekitamiseks pigem tavarelvastusele, ent küber- ja mõjuoperatsioonid on endiselt kriitiline oht nii arvutivõrkude kui ka kodanikuühiskonna turvalisusele Ukraina liitlasriikides, sealhulgas NATO riikides. Lisaks sellele, et värskendame klientide ennetavaks kaitsmiseks oma turbetooteid, jagame seda teavet avalikult – see aitab inimestel ja organisatsioonidel meeles pidada, kui oluline on pidev valvsus ohtude tõkestamiseks globaalses inforuumis.

Venemaa kineetilised, küber- ja propagandajõud koondusid 2023. aasta suvel Ukraina põllumajandussektori vastu. Sõjaliste löökidega hävitati teravilja sellistes kogustes, millega oleks saanud ära toita enam kui miljon inimest aastas, samal ajal kui Venemaad pooldav ajakirjandus levitas ründeid õigustavaid narratiive.1

Ajavahemikul juunist septembrini täheldas Microsofti ohuanalüüsi meeskond võrguläbistusi, andmete väljasmugeldamist ja koguni hävitava otstarbega ründevara kasutamist Ukraina põllumajandustööstuse ja teraviljatranspordi taristuga seotud organisatsioonide vastu. Juunil ja juulis varastas Aqua Blizzard (varasema koodnimega ACTINIUM) andmeid firmalt, mis tegeles saagikuse jälgimisega. Seashell Blizzard (varasema koodnimega IRIDIUM) kasutas variatsioone algelisest hävitavast ründevarast, mida Microsoft tuvastab koodnimega WalnutWipe/SharpWipe, toidu- ja põllumajandussektori võrgustike vastu.2

Ukraina põllumajanduse vastu suunatud Venemaa digitaalsete propagandategevuste ülevaade

Illustratsioon, mis kujutab Ukraina põllumajanduse vastu suunatud Venemaa digitaalseid propagandategevusi
Lisateavet selle pildi kohta leiate täieliku aruande 4. leheküljelt.

Juulis lahkus Moskva nn Musta mere teraviljaalgatusest – humanitaarsetel kaalutlustel sõlmitud kokkuleppest, mis aitas ära hoida globaalset toidukriisi ning võimaldas esimese aasta jooksul transportida Afganistani, Etioopia, Keenia, Somaalia ja Jeemeni inimestele enam kui 725 000 tonni nisu.3 Pärast seda Moskva sammu asusid Venemaa-meelsed meediaväljaanded ja Telegrami kanalid kohe teraviljaalgatust halvustama ja Moskva otsust õigustama. Propagandakanalites maaliti teraviljakoridorist pilt kui uimastite salakaubaveo varitegevusest või viisist, kuidas salaja relvi vedada, vähendamaks kokkuleppe humanitaartähendust.

Mitmes 2023. aasta aruandes juhtisime tähelepanu sellele, kuidas kas ehtsad või arvatavalt GRU-ga seotud pseudohäktivistide rühmitused on aidanud võimendada Moskva rahulolematust vastastega ning liialdada Venemaa-meelsete küberjõudude arvukust.4 5 6 Samuti nägime 2023. aasta suvel, kuidas häktivistid levitasid Telegramis sõnumeid, mille eesmärk oli õigustada Ukraina tsiviiltaristu sõjalist ründamist, ning kuidas Ukraina liitlased välismaal võeti fookustatud hajusate ummistusrünnete (DDoS) sihtmärgiks. Microsoft jälgib pidevalt häktivistide rühmituste kokkupuuteid riiklikult mahitatud küberohustajatega. See teave annab meile parema arusaamise mõlemat liiki ründajate operatiivtempo ja ka selle kohta, kuidas nende tegevused üksteise eesmärkide täitmisele kaasa aitavad.

Praeguseks oleme tuvastanud kolm rühmitust – Solntsepek, InfoCentr ja Cyber Army of Russia –, mis teevad Seashell Blizzardiga suuremal või vähemal määral koostööd. Seashell Blizzardi suhe häktivistidega võib põhineda pigem lühiajalisel kasul ja koostööl, mitte kontrollil – sellele osutab kübervõimekuse ajutine kiire tõus häktivistide tegevuses, mis on aset leidnud Seashell Blizzardi rünnetega samal ajal. Seashell Blizzard teeb perioodiliselt hävitavaid ründeid, mille toimepanijateks nimetavad end avalikult Telegrami häktivistide rühmitused. Seejärel lähevad häktivistid tagasi oma tavapärase lihtsama tegevuse juurde, mis hõlmab näiteks DDoS-ründeid või ukrainlaste isikuandmete lekitamist. See võrgustik kujutab endast paindlikku ja kiiresti muutuvat taristut, mida APT saab oma tegevuse reklaamimiseks kasutada.

Venemaa-meelse häktivismi numbrilaud

Diagramm, mis kujutab Venemaa-meelset häktivismi
Lisateavet selle pildi kohta leiate täieliku aruande 5. leheküljelt

Lisaks sellele, et Venemaa relvajõud teevad asju, mis ei pruugi olla rahvusvahelise õigusega kooskõlas, on nad ka sihikule võtnud kriminaaluurijad ja prokurörid, kes panevad kokku nende vastu käivaid süüdistusi.

Microsofti telemeetriaandmed näitasid, et Venemaa sõjaväe- ja välisluureametitega seotud küberohustajad võtsid 2023. aasta kevadel ning suvel järjekindlalt sihikule ja ründasid nii Ukraina kui ka rahvusvaheliste sõjakuritegusid uurivate organisatsioonide kohtu- ja juurdlusvõrgustikke.

Need küberoperatsioonid toimusid ajal, mil kasvasid pinged Moskva ning Rahvusvahelise Kriminaalkohtu (ICC) vahel; ICC andis 2023. aasta märtsis välja käsu Venemaa presidendi Vladimir Putini arreteerimiseks.7

Aprillis murdis GRU-ga seotud Seashell Blizzard sisse ühe sõjakuritegude kaasustele keskenduva õigusbüroo võrgustikku. Tõenäoliselt FSB-ga seotud Aqua Blizzard murdis juulis Ukrainas sisse ühe olulise juurdlusameti sisevõrku ning kasutas siis seal ründe ohvriks langenud kontosid septembris selleks, et saata andmepüügisõnumeid mitmele Ukraina telesidefirmale.

SVR-i juures tegutsev Midnight Blizzard (varasema koodnimega NOBELIUM) murdis juunis ja juulis sisse ühte ülemaailmselt tegutsevasse õigusorganisatsiooni ja pääses juurde dokumentidele, enne kui Microsofti intsidentidele reageerimise meeskond sissetungi kõrvaldamiseks sekkus. See tegevus oli osa sama ründaja varasemast agressiivsemast tegutsemisest, mille eesmärk oli murda sisse diplomaatilistesse, kaitsesuunitlusega, avaliku poliitika ja IT-sektori asutustesse ja ettevõtetesse üle kogu maailma.

Mõjutatud klientidele märtsist alates saadetud Microsofti turbeteatuste läbivaatuse käigus selgus, et Midnight Blizzard on rohkem või vähem edukalt püüdnud saada juurdepääsu enam kui 240 organisatsioonile Ameerika Ühendriikides, Kanadas ja Euroopa riikides8

Ligi 40%  sihitud organisatsioonidest olid riigiasutused, valitsustevahelised organisatsioonid või poliitikale keskendunud mõttekojad.

Venemaa mahitatud küberohustajad on sihikule võetud võrkudesse sissepääsuks ja seal kanna kinnitamiseks kasutanud mitmesuguseid võtteid. Midnight Blizzard otsustas kõik variandid korraga käiku lasta, kasutades pilvkeskkondadesse sisse imbumiseks nii paroolisimultaani, kolmandate osapoolte kaudu hangitud identimisteavet, veenvalt mõjuvaid manipuleerimiskampaaniaid Teamsis kui ka pilvteenuste kuritarvitamist.9 Aqua Blizzard omakorda integreeris esialgsetesse juurdepääsu saamise andmepüügikampaaniatesse edukalt HTML-i smugeldamise, vähendamaks rünnete viirusetõrjetarkvara signatuurikontrollis ja meiliteenuste turbemeetmete poolt tuvastamise tõenäosust.

Seashell Blizzard ekspluateeris esialgse juurdepääsu saamiseks perimeeterserverisüsteeme (nt Exchange’i ja Tomcati servereid) ja kasutas samal ajal ära ka DarkCrystalRAT tagaust sisaldavat Microsoft Office’i piraattarkvara. See tagauks võimaldas ründajal laadida teise astme lasti, mida meie nimetame Shadowlinkiks – tarkvarapaketi, mis jäljendab Microsoft Defenderit ning installib seadmesse TOR-i teenuse, et anda ründajale märkamatu juurdepääs TOR-i võrgu kaudu.10

Skeem, mis näitab, kuidas Shadowlink installib TOR-i teenuse tarkvaraseadmesse
Lisateavet selle pildi kohta leiate täieliku aruande 6. leheküljelt

Sellest ajast peale, kui Venemaa relvajõud alustasid oma 2023. aasta kevadpealetungi, on GRU ja FSB-ga seotud küberohustajad keskendunud lahingutegevuse piirkondades Ukraina side- ja militaartaristust luureteabe kogumisele.

Märtsi seisuga seostas Microsofti ohuanalüüs Seashell Blizzardi potentsiaalsete andmepüügipeibutiste ja pakettidega, mis näisid olevat kohandatud ründama ühte Ukraina sõjaväe sidetaristu olulist komponenti. Järeltegevuste kohta meil teavet ei ole. Ukraina julgeolekuteenistuse (SBU) teatel hõlmasid Seashell Blizzardi teised Ukraina militaarvõrkudesse tungimise katsed ründevara, mis oleks neil lasknud koguda teavet võrku ühendatud Starlinki satelliitsideterminalide konfiguratsioonide ja Ukraina väeüksuste asukohtade kohta.11 12 13

Ka Secret Blizzard (varasema koodnimega KRYPTON) astus samme selleks, et Ukraina kaitsega seotud võrgustikes luureteabe kogumiseks kanda kinnitada. Koostöös Ukraina riikliku operatiivse küberturbe meeskonnaga (CERT-UA) tuvastas Microsofti ohuanalüüsi meeskond Secret Blizzardi DeliveryChecki ja Kazuari tagaukseründevara Ukraina kaitsejõudude süsteemides.14 Kazuar toetab enam kui 40 funktsiooni, mille seas on näiteks identimisteabe varastamine mitmesugustest rakendustest, autentimisandmetest, puhverserveritest ja küpsistest ning andmete toomine operatsioonisüsteemi logidest.15 Secret Blizzard oli eriti huvitatud Signal Desktopi sõnumsiderakenduse sõnumeid sisaldavate failide varastamisest, mis oleks võimaldanud neil lugeda privaatseid Signali vestluseid.16

Forest Blizzard (varasema koodnimega STRONTIUM) keskendus uuesti oma traditsioonilistele luuresihtmärkidele: kaitsevõimega seotud organisatsioonidele Ameerika Ühendriikides, Kanadas ja Euroopas, kelle sõjaline tugi ja väljaõpe annab Ukraina vägedele võimaluse vastupanu jätkata.

Märtsist alates on Forest Blizzard proovinud saada esialgset juurdepääsu kaitseorganisatsioonidele andmepüügisõnumite kaudu, mis kasutasid ära uudseid ja kõrvalepõikeid kasutavaid tehnikaid. Augustis näiteks saatis Forest Blizzard ühe Euroopa kaitseorganisatsiooni kontoomanikele välja andmepüügisõnumi, mis sisaldas CVE-2023-38831 eksploiti. CVE-2023-38831 on WinRAR-i tarkvara turbehaavatavus, mis võimaldab ründajatel käivitada suvalist koodi, kui kasutaja proovib vaadata ZIP-arhiivis sisalduvat ohutut faili.

Samuti kasutab ründaja kontrolli enda kätte saamiseks ära täiesti legitiimseid arendusriistu (nt Mockbin ja Mocky). Septembri lõpus viis ründaja läbi GitHubi ja Mockbini teenuseid kuritarvitanud andmepüügikampaania. CERT-UA ja teised küberturbefirmad avaldasid teabe selle tegevuse kohta septembris, märkides, et ründaja kasutas täiskasvanutele suunatud meelelahutuse lehti ohvrite ahvatlemiseks kindlat linki klõpsama või faili avama, mis suunas nad ümber Mockbini ründetaristusse.17 18Microsoft täheldas septembri lõpus üleminekut tehnoloogiateemalise lehe kasutamisele. Kummalgi juhul saatsid ründajad meiliga andmepüügisõnumi, milles sisaldanud ründelingi klõpsamisel suunati kasutaja edasi Mockbini URL-ile ja tema arvutisse laaditi alla ZIP-fail Windowsi värskendust jäljendavale LNK- ehk otseteefailiga. Seejärel laadis LNK-fail alla ja käivitas teise PowerShelli skripti, et end arvutis sisse seada ja tegelda järeltegevustega, näiteks andmete vargusega.

Kuvatõmmise näidis, mis illustreerib Forest Blizzardi kaitseorganisatsioonide andmepüügiga seotud PDF-peibutist.

Küberohustaja kehastab Euroopa Parlamendi töötajat
Meilimanus: „Päevakava, 28. august – 3. september 2023“, Euroopa Parlamendi koosolekud. Pressiteenistuse teade. 160 kB bülletään.rar
Joonis 5. Kuvatõmmis, mis illustreerib Forest Blizzardi kaitseorganisatsioonide andmepüügiga seotud PDF-peibutist.  Lisateavet selle pildi kohta leiate täieliku aruande 8. leheküljelt.

Kogus 2023. aasta jooksul jätkas MTAC Venemaaga seotud mõjuoperaatori Storm-1099 jälgimist – just see ründaja vastutab keeruka Venemaa-meelse mõjuoperatsiooni eest, millega on Ukraina rahvusvahelisi toetajaid sihitud juba 2022. aasta kevadest alates.

Storm-1099 on tõenäoliselt kõige paremini tuntud ulatusliku veebisaitide võltsimise operatsiooni poolest, millele uurimisrühm EU DisinfoLab pani nimeks „Doppelganger“.19 Kuid selle rühmituse tegevuste seas on ka mitmesugused portaalid (nt Reliable Recent News ehk RRN), multimeediumprojektid (nt Ukraina-vastane multifilmisari „Ukraine Inc.“) ning meeleavaldused ja protestiaktsioonid, mis toovad digitaalse ja füüsilise maailma omavahel kokku. Ehkki kõiki seoseid ei saa raudkindlalt tõestada, on väga hästi finantseeritud Vene poliittehnoloogid, propagandistid ja avalike suhete spetsialistid, kellel on tõendatavalt sidemed Venemaa riigiaparatuuriga, korraldanud ja toetanud mitut Storm-1099 kampaaniat.20

Storm-1099 operatsioon „Doppelganger“ on käesoleva aruande koostamise ajal endiselt täies elujõus, ehkki tehnoloogiafirmad ja uurimisasutused annavad järjekindlalt endast parima, et neist tegevustest teada anda ja nende mõju leevendada.21 Kuigi ajalooliselt on see ründaja sihtinud peamiselt Lääne-Euroopat, eelkõige Saksamaad, on sihikule võetud ka Prantsusmaa, Itaalia ja Ukraina. Viimastel kuudel on Storm-1099 tegevuse fookus nihkunud Ameerika Ühendriikide ja Iisraeli poole. See üleminek sai alguse juba jaanuaris 2023, kui Iisraelis korraldati ulatuslikke meeleavaldusi plaanitud õigussüsteemi muudatuste vastu, kuid muutus veelgi intensiivsemaks pärast Iisraeli–Hamasi sõja puhkemist oktoobri alguses. Vastselt loodud avalikud portaalid peegeldavad seda, et aina rohkem pannakse rõhku Ameerika Ühendriikide poliitikale ja 2024. aastal eelseisvatele presidendivalimistele, samas kui juba varasemast ajast tegutsevad Storm-1099 esindajad on jõuliselt levitanud valeväidet, nagu oleks Hamas oma 7. oktoobril Iisraeli vastu toime pandud rünnakutes kasutanud mustalt turult hangitud Ukraina relvi.

Oktoobri lõpus jälgis MTAC, kuidas kontod, mis Microsofti hinnangul kuuluvad Storm-1099 liikmetele, reklaamivad uut liiki võltsingut, lisaks juba varem kasutatud libauudistele, valeväidetega artiklitele ja võltsveebisaitidele. Tegemist on lühikeste libauudiseklippide sarjaga, mille autoriteks väidetakse olevat hea mainega portaalid või väljaandjad ning mis levitavad Venemaa-meelset propagandat, et õõnestada nii Ukraina kui ka Iisraeli toetust. Ehkki videovõltsingute kasutamine propaganda levitamiseks on taktika, mida Venemaa-meelsed ründajad on viimastel kuudel laiemalt kasutanud, tõstab asjaolu, et Storm-1099 reklaamib sellist videosisu, esile selle küberohustaja mõjutehnikate ja levitatavate sõnumite eesmärkide mitmekesisust.

Doppelgangeri libasaitidel avaldatud artiklid

Microsoft vaatles ja jälgis Venemaa kübermõjuoperaatori Storm-1099 korraldatud kampaaniat.
Microsofti vaadeldud ja jälgitud 31. oktoobril 2023. Libasaitidel avaldatud artiklid; Venemaa kübermõjuoperaatori Storm-1099 korraldatud kampaania.
Lisateavet selle pildi kohta leiate täieliku aruande 9. leheküljelt

Alates Hamasi rünnakutest Iisraelis 7. oktoobril on Venemaa riigimeedia ja riiklikult toetatud mõjuoperaatorid proovinud Iisraeli–Hamasi sõda ära kasutada Ukraina-vastaste narratiivide levitamiseks, Ameerika Ühendriikide vastaste meeleolude õhutamiseks ja kõigi osapoolte vaheliste pingete suurendamiseks. Ehkki see tegevus on sõjale reageeriv ja ulatuselt pigem piiratud, hõlmab see nii avalikult tegutsevat riigimeediat kui ka varjatult Venemaaga seotud sotsiaalmeediavõrgustikku mitmel sotsiaalmeediaplatvormil.

 

Vene propagandistide ja Venemaa-meelsete sotsiaalmeediavõrgustike levitatavad narratiivid püüavad Iisraeli ja Ukrainat vastandada ning vähendada Lääne tuge Kiievile, esitades hea mainega meediaväljaandeid jäljendavate libaklippide ja töödeldud videote abil võltsväiteid, nagu oleks Ukraina Hamasi võitlejad relvastanud. Võltsitud video, mis väitis, et Ukrainas värvatud välismaalastest sõdurid (sh ameeriklased) viidi Iisraeli, et nad liituksid Iisraeli kaitsejõudude (IDF) operatsioonidega Gaza sektoris, ning mida vaadati mitmel sotsiaalmeediaplatvormil sadu tuhandeid kordi, on vaid üks sellise sisu näide. See strateegia toob Ukraina-vastased narratiivid laiema avalikkuseni ning kasutab parajasti inimeste tähelepanu püüdvate oluliste uudistega kokku sobituvaid valeväiteid.

 

Venemaa täiendab digitaalset mõjutegevust ka tegelikult aset leidnud sündmuste kohta info levitamisega. Nii näiteks on Venemaa kanalid jõuliselt levitanud sisu, mille eesmärk on inimesi vihastada, võimendades näiteks Iisraeli–Hamasi sõjaga seotud meeleavaldusi Lähis-Idas ja Euroopas – muu hulgas kasutatakse selleks ka Venemaa riiklike uudisteagentuuride kohapealseid korrespondente. 2023. aasta oktoobri lõpus teatasid Prantsusmaa võimud, et Pariisis avalikus ruumis mitmel pool seintele joonistatud Taaveti tähtedega olid tõenäoliselt seotud neli Moldova kodanikku. Kaks neist kinnitas väidetavalt, et neid juhendas keegi vene keelt kõnelnud inimene, mis viitab võimalusele, et grafiti eest vastutas tegelikult Venemaa. Storm-1099 liikmed võimendasid olukorda, levitades grafitist pilte.22

 

Tõenäoliselt hindab Venemaa, et jätkuv Iisraeli–Hamasi konflikt on talle geopoliitiliselt soodne, kuna see võib Venemaa hinnangul tõmmata ära Lääne tähelepanu sõjalt Ukrainas. Võttes arvesse Venemaa seniseid mõjuoperatsioonide tegevusstsenaariumeid ja sagedamini kasutatavaid taktikaid, hindab MTAC, et need ründajad jätkavad veebis propaganda levitamist ja teiste oluliste rahvusvahelist tähelepanu nõudvate sündmuste ärakasutamist pingete õhutamiseks; samuti jätkuvad katsed Läänes segadust tekitada, et Lääs ei saaks efektiivselt takistada Venemaa tegutsemist Ukrainas.

Ukraina-vastane propaganda on Venemaa mõjutegevuses läbivat rolli mänginud juba pikka aega, ammu enne 2022. aasta täiemahulist kallaletungi Ukrainale. Viimastel kuudel on aga Venemaa-meelsed ja Venemaaga seotud mõjuvõrgustikud keskendunud nende sõnumite levitamiseks video kui dünaamilisema meediumi kasutamisele. Samuti jäljendatakse autoriteetseid meediakanaleid ja võltsitakse nende toodangut, et ära kasutada nende usaldusväärsust. MTAC on vaadelnud kahte käimasolevat kampaaniat, mille taga on seni teadmata Venemaa-meelsed tegijad ning mis hõlmavad peavoolumeedia uudiste ja meelelahutuse brändide võltsimist manipuleeritud või töödeldud videosisu levitamiseks. Sarnaselt varasemate Vene propagandakampaaniatega on ka selle tegevuse keskmes katse näidata Ukraina presidenti Volodõmõr Zelenskõid korrumpeerunud narkomaanina ning Lääne tuge Kiievile kui nende riikide elanikkonnale kahjulikku tegevust. Mõlema kampaania sisu eesmärk on vähendada tuge Ukrainale, kuid narratiive kohandatakse vastavalt muude uudistega, mis on parajasti olulisel kohal – näiteks allveelaeva „Titan“ hukkumine 2023. aasta juunis või Iisraeli–Hamasi sõda –, et jõuda laiema vaatajaskonnani.

Skeem, mis kujutab võltsitud uudiseklippide ülevaadet

võltsitud uudiseklippide ülevaade
Lisateavet selle pildi kohta leiate täieliku aruande 11. leheküljelt.

Üks neist videokesksetest kampaaniatest hõlmab tervet seeriat võltsitud videoid, mis levitavad Ukraina-vastaseid, Kremli jutupunktidega seotud valeväiteid ja narratiive lühikeste videotena, mis väidetakse pärinevat peavooluväljaannetest. MTAC märkas seda tegevust esmalt aprillis 2022, kui Venemaa-meelsed Telegrami kanalid postitasid võltsitud BBC Newsi video, mis väitis, et kümneid tsiviilelanikke tapnud raketirünnaku taga oli Ukraina sõjavägi. Video kasutab BBC logo, värviskeemi ja esteetikat; selle ingliskeelsetes subtiitrites on vigu, mida tehakse sageli slaavi keeltest inglise keelde tõlkimisel.

See kampaania kestis kogu 2022. aasta jooksul ja suvel 2023 kogus see veelgi rohkem hoogu. Käesoleva aruande koostamise ajal on MTAC vaadelnud enam kui kümmet samasse kampaaniasse kuuluvat võltsvideot, mis jäljendavad mõnda nimekat meediakanalit; kõige sagedamini näidatakse libavideote autoritena BBC Newsi, Al Jazeerat ja EuroNewsi. Esmalt võimendasid nende videote levikut venekeelsed Telegrami kanalid; alles seejärel hakkasid need levima peavoolu sotsiaalmeediaplatvormidel.

Kuvatõmmised videotest, mis jäljendavad BBC Newsi (vasakul) ja EuroNewsi (paremal) logo ja üldilmet

Võltsitud uudiseklipid, mis sisaldavad Venemaa levitatavat väärinfot
Microsofti ohuanalüüs Võltsitud uudised seostavad omavahel Ukraina sõjalise läbikukkumise, Hamasi rünnaku ja valeväited Iisraeli vastutuse kohta
Võltsitud uudiseklipid, mis sisaldavad Venemaa levitatavat väärinfot. Kuvatõmmised videotest, mis jäljendavad BBC Newsi (vasakul) ja EuroNewsi (paremal) logo ja üldilmet. Lisateavet selle pildi kohta leiate täieliku aruande 12. leheküljelt.

Ehkki selle sisu haare on seni olnud piiratud, võib see edaspidi endast kujutada arvestatavat ohtu, kui seda sisu lihvitakse või täiustatakse näiteks tehisintellekti abil või kui seda võimendab mõni usaldusväärsem allikas. Venemaad toetav ründaja, kes on nende võltsitud uudiseklippide taga, on hästi kursis maailma poliitilise hetkeolukorraga ja kohaneb kiiresti. Nii näiteks esitati võltsitud BBC Newsi videos valeväide, nagu oleks uuriva ajakirjanduse organisatsioon Bellingcat välja selgitanud, et Hamasi võitlejate kasutatud relvad müüsid sellele rühmitusele musta turu kaudu Ukraina kaitseväeametnikud. Selle video sisu peegeldas väga täpselt väiteid, millega Venemaa endine president Dmitri Medvedev tuli välja kõigest üks päev enne video avaldamist, mis demonstreerib kampaania tihedat seotust Venemaa valitsuse sõnumitega.23

Juulis 2023 hakkasid Venemaad toetavates sotsiaalmeediakanalites ringlema videod kuulsustest, mis olid kokku monteeritud nii, et näisid edastavat Ukraina-vastast propagandat. Videod, mille on ilmselt kokku pannud seni tundmatu Venemaaga seotud mõjuoperaator, näivad ära kasutavat Cameot – populaarset veebisaiti, kus kasutajad saavad tasu eest tellida kuulsustelt ja teistelt avaliku elu tegelastelt personaalseid videosõnumeid. Need lühivideosõnumid, milles kuulsused paluvad sageli, et „Vladimir“ otsiks oma narkoprobleemist jagu saamiseks abi, on tundmatu küberohustaja poolt kokku monteeritud ning neile on lisatud emodžisid ja linke. Videod ringlevad Venemaa-meelsetes sotsiaalmeediakogukondades ning neid võimendavad Venemaa riigiaparaadiga seotud ja riiklikud meediaväljaanded; nendega soovitakse jätta muljet, et tegu on Ukraina presidendile Volodõmõr Zelenskõile suunatud sõnumitega. Mõnel juhul on küberohustaja lisanud meediaväljaande logo ja asjakohase kuulsuse sotsiaalmeediakonto lingi, et jätta mulje, nagu pärineks video mõnest uudisloost, näiteks reportaažist kuulsuste väidetavatest avalikest üleskutsetest Zelenskõile, või kuulsuste enda sotsiaalmeediapostitustest. Kremli esindajad ja Venemaa riiklik propaganda on juba mõnda aega levitanud valeväidet, nagu oleks president Zelenskõil probleeme narkootikumide kuritarvitamisega; see kampaania on aga Venemaad toetavate mõjuoperaatorite poolt uudne lähenemine, mille eesmärk on seda narratiivi digitaalses inforuumis veelgi võimendada.

Kampaania esimene video, mida vaadeldi juuli lõpus, sisaldas Ukraina lipu emodžisid, Ameerika meediaväljaande TMZ vesimärke ja linke nii võõrutusravikeskusele kui ka ühele president Zelenskõi ametlikest sotsiaalmeedialehtedest. 2023. aasta oktoobri lõpu seisuga on Venemaa-meelsetes sotsiaalmeediakanalites ringelnud veel kuus sarnast videot. Nii näiteks avaldas 17. augustil Venemaa riiklik uudisteagentuur RIA Novosti artikli videoga, mis kujutas Ameerika näitlejat John McGinleyt, nagu oleks see olnud McGinley ehtne pöördumine Zelenskõi poole.24 Lisaks McGinleyle on kampaanias seni kasutatud töödeldud videoid, milles kasutajale on oma sõnumi edastanud näitlejad Elijah Wood, Dean Norris, Kate Flannery ja Priscilla Presley, muusik Shavo Odadjian ning poksija Mike Tyson. Kampaania sisu on võimendanud ka muud Venemaa riiklikud meediaväljaanded, teiste seas Ameerika Ühendriikides sanktsioneeritud väljaanne Tsargrad.25

Kaadrid videotest, mis kujutavad kuulsusi näiliselt Venemaa-meelset propagandat esitamas

kaadrid videotest, mis kujutavad kuulsusi näiliselt Venemaa-meelset propagandat esitamas
Lisateavet selle pildi kohta leiate täieliku aruande 12. leheküljelt.

Ukraina kaitseväe juhtkonna hinnangul on sõjas käes uus faas – käimas on staatiline kaevikusõda, mis osutab, et Venemaa on valmis veelgi pikemaks venivaks konfliktiks.26 Kiievil on vastupanu jätkamiseks vaja jätkuvat relvaabi ja rahva tuge. Seetõttu näeme tõenäoliselt, et Venemaa küber- ja mõjuoperatsioonid hoogustuvad veelgi, proovides Ukraina elanikkonda demoraliseerida ning lõigata Kiiev ära välistest sõjalise ja rahalise abi allikatest.

Talve lähenedes võime taas näha sõjalisi lööke, mis sihivad Ukraina energia- ja veetaristut, kombineerituna hävitavate küberrünnetega nende taristute võrkudele.27CERT-UA Ukraina küberturbe ametkonnad teatasid septembris, et Ukraina energiavõrgud olid pideva ründe all, ning Microsofti ohuanalüüsi meeskond märkas jälgi GRU ohustamistegevusest Ukraina energiasektori võrkudes augustist oktoobrini.28 Microsoft vaatles vähemalt ühte Sdelete-utiliidi hävitavat kasutust ühe Ukraina energiafirma võrgu vastu augustis.29

Väljaspool Ukrainat võivad Ameerika Ühendriikide presidendivalimised ja muud olulised poliitilised sündmused 2024. aastal pakkuda mõjuoperatsioonidega tegelevatele ründajatele võimalust kasutada oma videomeedia kogemusi ning uusi tehisintellektiga seotud oskusi selleks, et vähendada Ukrainat toetavate poliitikute populaarsust valijate hulgas.30

Microsoft töötab mitmel rindel, et kaitsta nende mitmetahuliste rünnete eest nii meie kliente Ukrainas kui ka kogu maailmas. Oma turvalise tuleviku algatuse raames integreerime tehisintellektipõhise küberkaitse ja turvalise tarkvaratehnika uuendused jõupingutustega, mida me teeme rahvusvaheliste normide tugevdamiseks, et tsiviilelanikke küberohtude eest kaitsta. 31 Samuti võtame kasutusele ressursid koos teatud kindlate põhimõtetega, et kaitsta valijate, kandidaatide, kampaaniate ja valimisametnike turvalisust kogu maailmas; järgmise aasta jooksul valmistub selles demokraatia alustalaks olevas protsessis osalema üle kahe miljardi inimese.32

  1. [2]

    Tehnilist teavet uusimate Ukrainas kasutatud hävitavate ründemeetodite kohta leiate siit:  https://go.microsoft.com/fwlink/?linkid=2262377

  2. [8]

    Põhineb teadetel, mis on välja antud ajavahemikus 15. märtsist 2023 kuni 23. oktoobrini 2023. 

  3. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  4. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  5. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  6. [29]

    Tehniliste üksikasjade saamiseks https://go.microsoft.com/fwlink/?linkid=2262377

Seotud artiklid

Ida-Aasia digiohud on üha ulatuslikumad ja tõhusamad

Tehke lähemalt tutvust Ida-Aasia ohumaastikul pead tõstvate uute ohtudega: Hiina viib läbi nii laiaulatuslikke küber- kui ka mõjuoperatsioone, Põhja-Korea küberohustajad aga näitavad üles aina paremaid oskuseid.

Iraan pöördub suurema mõju saavutamiseks kübertoega mõjuoperatsioonide poole

Microsofti ohuanalüüs on päevavalgele toonud Iraani senisest ulatuslikumad kübertoega mõjuoperatsioonid. Lisaks ohtudele saate ülevaate ka uutest tehnikatest ja sellest, kus on kõige suurem potentsiaal tulevaste ohtude tekkimiseks.

Sõja küber- ja mõjuoperatsioonid Ukraina digitaalsel lahinguväljal

Microsofti ohuanalüüs uurib aasta kestnud küber- ja mõjuoperatsioone Ukrainas, toob päevavalgele küberohtude uued trendid ja annab ülevaate sellest, mida oodata teise sõja-aasta alates.

Jälgige Microsofti turbeteenust