Trace Id is missing

Itä-Aasian digitaalisten uhkien laajuus ja tehokkuus kasvavat

Lataa
Jaa
Henkilö istuu tietokoneen edessä

Johdanto

Useat esiin nousevat suuntaukset kuvaavat nopeasti muuttuvaa uhkakuvaa Itä-Aasiassa, kun Kiina toteuttaa laajamittaisia kyber- ja vaikuttamisoperaatioita (IO), ja Pohjois-Korean kyberuhkatoimijat osoittavat kasvavaa kehittyneisyyttä.

Ensinnäkin Kiinan valtiosta riippuvaiset kyberuhkaryhmät ovat keskittyneet erityisesti Etelä-Kiinanmeren alueeseen ja kohdistaneet kybervakoilua hallituksiin ja muihin kriittisiin yksiköihin, jotka ympäröivät tätä merialuetta. Samaan aikaan Kiinan kohdistuminen Yhdysvaltojen puolustusalaan ja Yhdysvaltojen infrastruktuurin tutkiminen on merkki yrityksistä hankkia kilpailuetua Kiinan ulkosuhteita ja strategisia sotilaallisia tavoitteita varten.

Toiseksi Kiina on viime vuoden aikana tehostanut sosiaalisen median käyttäjien sitouttamista IO:n kanssa. Kiinalaiset verkkovaikuttamiskampanjat ovat jo pitkään tukeutuneet pelkkään volyymiin saavuttaakseen käyttäjiä epäaitojen sosiaalisen median tilien verkostojen kautta. Vuodesta 2022 lähtien Kiinaan sidoksissa olevat sosiaalisen median verkostot ovat kuitenkin olleet suoraan tekemisissä aitojen käyttäjien kanssa sosiaalisessa mediassa, ottaneet kohteekseen Yhdysvaltain vaalien ehdokkaita ja esiintyneet amerikkalaisina äänestäjinä. Kiinan valtion tukema monikielinen sosiaalisen median vaikuttaja-aloite on onnistunut saamaan kohderyhmät mukaan ainakin 40 kielellä ja kasvattanut yleisönsä yli 103 miljoonaan.

Kolmanneksi Kiina on jatkanut viime vuonna IO-kampanjoidensa skaalausta ja laajentanut toimiaan uusille kielille ja uusille alustoille lisätäkseen maailmanlaajuista jalansijaansa. Sosiaalisessa mediassa kampanjat käyttävät tuhansia epäaitoja tilejä kymmenillä sivustoilla ja levittävät meemejä, videoita ja viestejä useilla kielillä. Verkkouutismedioissa Kiinan valtion mediat ovat tahdikkaita ja tehokkaita asemoidessaan itsensä arvovaltaiseksi äänenkannattajaksi Kiinaa koskevassa kansainvälisessä keskustelussa, ja ne käyttävät erilaisia keinoja vaikuttaakseen mediaan kaikkialla maailmassa. Eräässä kampanjassa levitettiin Kiinan kommunistisen puolueen (KKP) propagandaa paikallisilla uutissivustoilla, jotka oli suunnattu kiinalaiselle diasporalle yli 35 maassa.

Pohjois-Korea, jolla, toisin kuin Kiinalla, ei ole kykyä kehittyneeseen vaikuttamiseen, on edelleen merkittävä kyberuhka. Pohjois-Korea on osoittanut jatkuvaa kiinnostusta tiedustelutietojen keräämiseen ja lisääntyvään taktiseen hienostuneisuuteen hyödyntämällä muun muassa asteittaisia toimitusketjuhyökkäyksiä ja kryptovaluuttavarkauksia.

Kiinan kyberoperaatiot keskittyvät jälleen Etelä-Kiinan mereen ja Yhdysvaltojen keskeisiin teollisuudenaloihin

Vuoden 2023 alusta lähtien Microsoft Threat Intelligence on tunnistanut kolme aluetta, joihin Kiinaan liittyvät kyberuhkatoimijat keskittyvät erityisesti: Etelä-Kiinan meri, Yhdysvaltojen puolustusteollisuus ja Yhdysvaltojen kriittinen infrastruktuuri.

Kiinan valtion tukema tähtäys heijastaa strategisia tavoitteita Etelä-Kiinan merellä

Kiinan valtiosta riippuvaiset uhkaavat toimijat osoittavat jatkuvaa kiinnostusta Etelä-Kiinan merta ja Taiwania kohtaan, mikä kuvastaa Kiinan monenlaisia taloudellisia, puolustuksellisia ja poliittisia intressejä tällä alueella.1 Ristiriitaiset aluevaatimukset, kasvavat Taiwanin väliset jännitteet ja Yhdysvaltojen lisääntynyt sotilaallinen läsnäolo voivat kaikki olla Kiinan hyökkäyksellisen kybertoiminnan motiiveja.2

Microsoft on jäljittänyt Raspberry Typhoonin (RADIUM) ensisijaiseksi uhkaryhmäksi, jonka kohteena on Etelä-Kiinan merta ympäröivät maat. Raspberry Typhoon ottaa kohteekseen johdonmukaisesti ministeriöitä, sotilasyksikköjä ja kriittiseen infrastruktuuriin, erityisesti televiestintään, liittyviä yrityksiä. Tammikuusta 2023 lähtien Raspberry Typhoon on ollut erityisen sinnikäs. Kun Raspberry Typhoon ottaa kohteekseen ministeriön tai infrastruktuurin, se tyypillisesti kerää tiedustelutietoja ja toteuttaa haittaohjelmia. Monissa maissa kohteet vaihtelevat puolustus- ja tiedusteluministeriöistä talous- ja kauppaministeriöihin.

Flax Typhoon (Storm-0919) on merkittävin uhkaryhmä, joka on ottanut kohteekseen Taiwanin saaren. Tämä ryhmä ottaa kohteekseen ensisijaisesti televiestintä-, koulutus-, tietotekniikka- ja energiainfrastruktuurit, yleensä käyttämällä mukautettua VPN-laitetta, jonka avulla se pääsee suoraan kohdeverkkoon. Vastaavasti Charcoal Typhoon (CHROMIUM) on ottanut kohteekseen taiwanilaisia oppilaitoksia, energiainfrastruktuurin ja korkean teknologian valmistuksen. Vuonna 2023 sekä Charcoal Typhoon että Flax Typhoon ottivat kohteekseen taiwanilaisia ilmailu- ja avaruusalan yrityksiä, jotka tekivät sopimuksia Taiwanin armeijan kanssa.

Etelä-Kiinan meren alueen kartta, jossa näkyvät havaitut tapahtumat maittain
Kuva 1: Havaitut tapahtumat maittain Etelä-Kiinan merellä tammikuusta 2022 huhtikuuhun 2023. Lue lisää tästä kuvasta täyden raportin sivulla 4

Kiinalaiset uhkaavat toimijat suuntaavat huomionsa Guamiin, kun Yhdysvallat rakentaa merijalkaväen tukikohtaa

Useat kiinalaiset uhkaryhmät jatkavat hyökkäyksien kohdistamista Yhdysvaltojen puolustusteollisuuteen. Ryhmät ovat nimeltään Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) ja Mulberry Typhoon (MANGANESE). Vaikka näiden kolmen ryhmän tavoitteet ovat toisinaan päällekkäisiä, ne ovat erillisiä toimijoita, joilla on erilainen infrastruktuuri ja erilaiset valmiudet.3

Circle Typhoon harjoittaa monenlaista kybertoimintaa Yhdysvaltojen puolustusteollisuutta vastaan, mukaan lukien resurssien kehittäminen, kerääminen, alustava pääsy ja pääsy käyttäjätiedoilla. Circle Typhoon käyttää usein VPN-laitteita kohdistaakseen hyökkäyksensä tietotekniikkaan ja yhdysvaltalaisiin puolustusalan alihankkijoihin. Volt Typhoon on myös suorittanut tiedustelua lukuisia yhdysvaltalaisia puolustusalan alihankkijoita vastaan. Guam on yksi näiden kampanjoiden yleisimmistä kohteista, erityisesti siellä sijaitsevat satelliittiviestintä- ja televiestintäyksiköt.4

Volt Typhoonin yleiseen taktiikkaan kuuluu pienten toimistojen ja kotien reitittimien vaarantaminen, yleensä infrastruktuurin rakentamiseksi.5 Mulberry Typhoon on ottanut kohteekseen myös Yhdysvaltojen puolustusteollisuuden, erityisesti laitteisiin kohdistuvalla nollapäivähyökkäyksellä.6 Guamiin kohdistuvien hyökkäysten lisääntyminen on merkittävää, kun otetaan huomioon sen asema Yhdysvaltojen lähimpänä Itä-Aasiaa sijaitsevana alueena ja se on ratkaisevan tärkeä Yhdysvaltojen strategialle alueella.

Kiinalaiset uhkaryhmät tähtäävät Yhdysvaltojen kriittiseen infrastruktuuriin

Microsoft on havainnut viimeisen puolen vuoden aikana, että Kiinan valtioon sidoksissa olevat uhkaryhmät ovat kohdistaneet hyökkäyksiä Yhdysvaltojen kriittiseen infrastruktuuriin useilla eri aloilla ja että resursseja on kehitetty merkittävästi. Volt Typhoon on ollut ensisijainen ryhmä tämän toiminnan takana ainakin kesästä 2021 lähtien, eikä toiminnan laajuus ole vielä täysin tiedossa.

Kohdealoja ovat muun muassa liikenne (kuten satamat ja rautatiet), yleishyödylliset palvelut (kuten energia ja vedenkäsittely), terveysinfrastruktuuri (kuten sairaalat) ja televiestintäinfrastruktuuri (kuten satelliittiviestintä ja valokuitujärjestelmät). Microsoft arvioi, että tämä kampanja voisi antaa Kiinalle valmiudet häiritä kriittistä infrastruktuuria ja viestintää Yhdysvaltojen ja Aasian välillä.7

Kiinalainen uhkaryhmä on ottanut kohteekseen noin 25 organisaatiota, joiden joukossa on myös Yhdysvaltojen viranomaisia

Kiinalainen uhkaava toimija Storm-0558 käytti 15. toukokuuta alkaen väärennettyjä todennustunnuksia päästäkseen käsiksi noin 25 organisaation, muun muassa Yhdysvaltojen ja Euroopan valtionhallinnon, Microsoftin asiakassähköpostitileihin.8 Microsoft on onnistunut estämään tämän kampanjan. Hyökkäyksen tavoitteena oli saada luvaton pääsy sähköpostitileille. Microsoft arvioi, että tämä toiminta vastasi Storm-0558:n vakoilutavoitteita. Storm-0558 on aiemmin ottanut kohteekseen Yhdysvaltojen ja Euroopan diplomaattisia yksikköjä.

Kiina ottaa kohteekseen myös strategisia kumppaneitaan

Kun Kiina on kasvattanut kahdenvälisiä suhteitaan ja maailmanlaajuisia kumppanuuksiaan Belt and Road Initiative (BRI) -aloitteen avulla, Kiinan valtioon liittyvät uhkaavat toimijat ovat toteuttaneet rinnakkaisia kyberoperaatioita yksityisiä ja julkisia tahoja vastaan eri puolilla maailmaa. Kiinassa toimivat uhkaryhmät ottavat kohteekseen maita, jotka ovat linjassa CCP:n BRI-strategian kanssa, mukaan lukien Kazakstanin, Namibian, Vietnamin ja muiden maiden yksiköt.9 Samaan aikaan laajalle levinnyt kiinalainen uhkatoiminta kohdistuu jatkuvasti ulkoministeriöihin, jotka sijaitsevat Euroopassa, Latinalaisessa Amerikassa ja Aasiassa – todennäköisesti talousvakoiluun tai tiedustelutietojen keräämiseen liittyviin tavoitteisiin pyrkien.10 Kun Kiina laajentaa maailmanlaajuista vaikutusvaltaansa, siihen liittyvien uhkaryhmien toiminta seuraa sitä. Vasta huhtikuussa 2023 Twill Typhoon (TANTALUM) vaaransi menestyksekkäästi hallituksen koneita Afrikassa ja Euroopassa sekä humanitaarisia järjestöjä maailmanlaajuisesti.

CCP:n mukaiset sosiaalisen median toimet lisäävät tehokkaasti yleisön osallistamista

CCP:hen liittyvät salaiset vaikuttamisoperaatiot ovat nyt alkaneet menestyksekkäästi ottaa yhteyttä kohdeyleisöihin sosiaalisessa mediassa laajemmin kuin aiemmin on havaittu, mikä on osoitus verkko-operaatioiden kehittyneisyydestä ja kasvattamisesta. Ennen vuoden 2022 Yhdysvaltojen välivaaleja Microsoft ja alan yhteistyökumppanit havaitsivat, että CCP:hen sidoksissa olevat sosiaalisen median tilit tekeytyivät yhdysvaltalaisiksi äänestäjiksi – uusi alue CCP:hen sidoksissa olevalle IO:lle.11 Nämä tilit esiintyivät amerikkalaisina eri puolilla poliittista kirjoa ja vastasivat aitojen käyttäjien kommentteihin.

Sekä käyttäytymisessä että sisällössä näissä tileissä näkyy monia hyvin dokumentoituja kiinalaisia IO-taktiikoita, -tekniikoita ja -menettelyjä (TTP). Esimerkkeinä voidaan mainita, että tilit julkaisevat alkuvaiheessa mandariininkielisiä viestejä, ennen kuin ne vaihtavat toiseen kieleen, käyttävät muiden Kiinaan liittyvien resurssien sisältöä heti viestin julkaisemisen jälkeen ja käyttävät vuorovaikutuksessa "siemen ja vahvistin" -mallia.12 Toisin kuin aiemmat CCP:hen sidoksissa olevien toimijoiden IO-kampanjat, joissa käytettiin helposti havaittavia tietokoneella luotuja tunnuksia, näyttönimiä ja profiilikuvia13, näitä kehittyneempiä tilejä ylläpitävät oikeat ihmiset, jotka käyttävät fiktiivisiä tai varastettuja henkilöllisyyksiä peittääkseen tilien yhteydet CCP:hen.

Tämän verkoston sosiaalisen median tileillä on samankaltaista käyttäytymistä kuin toiminnassa, jota tiettävästi harjoittaa Ministry of Public Securityn (MPS) 912 Special Working Group -niminen eliittiryhmä. Yhdysvaltojen oikeusministeriön mukaan ryhmä ylläpiti sosiaalisen median trollifarmia, joka loi tuhansia väärennettyjä verkkopersoonia ja levitti CCP:n propagandaa demokratia-aktivisteja vastaan.

Noin maaliskuusta 2023 lähtien jotkin länsimaisessa sosiaalisessa mediassa olevat epäillyt kiinalaiset IO-agentit ovat alkaneet hyödyntää generatiivista tekoälyä visuaalisen sisällön luomiseen. Tämä suhteellisen korkealaatuinen visuaalinen sisältö on jo nyt saanut aidot sosiaalisen median käyttäjät osallistumaan enemmän. Näissä kuvissa on diffuusiovoimaisen kuvantuotannon tunnusmerkkejä, ja ne ovat huomiota herättävämpiä kuin aiempien kampanjoiden kömpelö visuaalinen sisältö. Käyttäjät ovat useammin julkaisseet edelleen näitä kuvia, vaikka tekoälyn luomisesta kertovat yleiset indikaattorit – esimerkiksi se, että ihmisen kädessä on enemmän kuin viisi sormea.14

Rinnakkain sosiaalisen median viestit, joissa on samoja Black Lives Matter -kuvia.
Kuva 2: CCP:hen sidoksissa oleva automaattinen tili latasi ensin Black Lives Matter -kuvan ja seitsemän tuntia myöhemmin sen latasi tili, joka esitti olevansa yhdysvaltalainen konservatiivinen äänestäjä.
Tekoälyn luoma propagandakuva Vapaudenpatsaasta.
Kuva 3: Esimerkki tekoälyn luomasta kuvasta, jonka on julkaissut epäilty kiinalainen IO-agentti. Vapaudenpatsaan soihtua pitelevässä kädessä on enemmän kuin viisi sormea. Lue lisää tästä kuvasta täyden raportin sivulla 6.
Neljän vaikuttajaluokan joukko – toimittajat, lifestyle-vaikuttajat, vertaiset ja etniset vähemmistöt – jatkumolla, joka vaihtelee avoimesta peiteltyyn
Kuva 4: Tämä aloite koostuu vaikuttajista, jotka jakautuvat neljään laajaan kategoriaan taustansa, kohdeyleisönsä, rekrytointinsa ja hallintastrategioidensa perusteella. Kaikilla analyysissämme mukana olevilla henkilöillä on suoria yhteyksiä Kiinan valtion mediaan (esimerkiksi työsuhteen, matkakutsujen vastaanottamisen tai muun rahallisen vaihdon kautta). Lue lisää tästä kuvasta täyden raportin sivulla 7.

Kiinan valtion mediavaikuttaja-aloite

Toinen strategia, jolla saadaan aikaan mielekästä sitoutumista sosiaalisessa mediassa, on CCP:n käsite "monikieliset internet-julkkisstudiot" (多语种网红工作室).15 Hyödyntämällä autenttisten äänten voimaa yli 230 valtion median työntekijää ja tytäryhtiötä naamioituu riippumattomiksi sosiaalisen median vaikuttajiksi kaikilla tärkeimmillä länsimaisilla sosiaalisen median alustoilla.16 Vuosina 2022 ja 2023 uusia vaikuttajia debytoi edelleen keskimäärin seitsemän viikon välein. Nämä China Radio Internationalin (CRI) ja muiden Kiinan valtiollisten medioiden rekrytoimat, kouluttamat, edistämät ja rahoittamat vaikuttajat levittävät asiantuntevasti lokalisoitua CCP:n propagandaa, jolla saavutetaan mielekäs vuorovaikutus kohdeyleisöihin eri puolilla maailmaa. Heillä on yhteensä vähintään 103 miljoonaa seuraajaa useilla eri alustoilla ja vähintään 40 kielellä.

Vaikka vaikuttajat julkaisevat enimmäkseen harmitonta lifestyle-sisältöä, tämä tekniikka naamioi CCP:n propagandan, jolla pyritään pehmentämään Kiinan imagoa ulkomailla.

Kiinan valtion medioiden vaikuttajien rekrytointistrategiaan näyttää kuuluvan kaksi erillistä henkilöryhmää: ne, joilla on kokemusta journalistisesta työstä (erityisesti valtion medioissa), ja vastavalmistuneet vieraskielisistä ohjelmista. Erityisesti China Media Group (CRI:n ja CGTN:n emoyhtiö) näyttää rekrytoivan valmistuneita suoraan kiinalaisista vieraskielisistä huippukouluista, kuten Beijing Foreign Studies University ja Communication University of China. Ne, joita ei rekrytoida suoraan yliopistoista, ovat usein entisiä toimittajia ja kääntäjiä, jotka poistavat profiileistaan kaikki merkinnät, jotka viittaavat valtion medioihin sen jälkeen, kun heidät on "brändätty uudelleen" vaikuttajiksi.

Laoa puhuva vaikuttaja Song Siao julkaisi lifestyle-vlogin, jossa käsiteltiin Kiinan talouden elpymistä COVID-19-pandemian keskellä.
Kuva 5: Laoa puhuva vaikuttaja Song Siao julkaisi lifestyle-vlogin, jossa käsiteltiin Kiinan talouden elpymistä COVID-19-pandemian keskellä. Itse kuvatulla videolla hän vierailee autokaupassa Pekingissä ja keskustelee paikallisten kanssa. Lue lisää tästä kuvasta täyden raportin sivulla 8
Englanninkielisen vaikuttajan Techy Rachelin sosiaalisen median julkaisu.
Kuva 6: Techy Rachel, englanninkielinen vaikuttaja, joka tyypillisesti julkaisee kiinalaisista innovaatioista ja teknologiasta, poikkeaa sisältöteemoistaan ja ottaa kantaa väittelyyn Kiinan vakoiluhavaintopallosta. Muiden Kiinan valtiollisten medioiden tavoin hän kiistää, että havaintopalloa olisi käytetty vakoiluun. Lue lisää tästä kuvasta täyden raportin sivulla 8

Vaikuttajat tavoittavat maailmanlaajuisen yleisön vähintään 40 kielellä

Näiden valtioon sidoksissa olevien vaikuttajien puhumien kielten maantieteellinen jakautuminen kuvastaa Kiinan kasvavaa maailmanlaajuista vaikutusvaltaa ja alueellista priorisointia. Eniten on vaikuttajia, jotka puhuvat muita aasialaisia kieliä kuin kiinaa, kuten hindiä, sinhalaa, pastua, laota, koreaa, malaijia ja vietnamia. Englanninkielisten vaikuttajien määrä on toiseksi suurin.
Viisi piirakkakaaviota, jotka kuvaavat Kiinan valtion mediavaikuttajien jakautumista kielen mukaan.
Kuva 7: Kiinan valtion mediavaikuttajien jaottelu kielen mukaan. Lue lisää tästä kuvasta täyden raportin sivulla 9

Kiina tavoittelee yleisöjä kaikkialla maailmassa

Vaikuttajien kohteena on seitsemän yleisöä (kieliryhmää), jotka on jaettu maantieteellisiin alueisiin. Englannin- tai kiinankielisiä yleisöjä koskevia kaavioita ei ole esitetty.

Kiinalainen IO laajentaa maailmanlaajuista tavoittavuuttaan useilla kampanjoilla

Kiina laajensi vuonna 2023 verkko-IO:n laajuutta entisestään tavoittamalla yleisöjä uusilla kielillä ja uusilla alustoilla. Näissä operaatioissa yhdistyvät erittäin hyvin valvottu julkinen valtion mediakoneisto ja salaiset tai hämärät sosiaalisen median resurssit, mukaan lukien botit, jotka pesevät ja vahvistavat CCP:n suosimia kertomuksia.17

Microsoft havaitsi yhden tällaisen CCP:n alaisen kampanjan, joka alkoi tammikuussa 2022 ja jatkuu edelleen tätä kirjoitettaessa. Kampanjan kohteena oli espanjalainen kansalaisjärjestö Safeguard Defenders sen jälkeen, kun se oli paljastanut yli 50 ulkomailla sijaitsevan kiinalaisen poliisiaseman olemassaolon.18 Tässä kampanjassa käytettiin yli 1 800 tiliä useilla sosiaalisen median alustoilla ja kymmenillä sivustoilla levittämään CCP-myönteisiä meemejä, videoita ja viestejä, joissa kritisoitiin Yhdysvaltoja ja muita demokratioita.

Nämä tilit lähettivät viestejä uusilla kielillä (muun muassa hollanniksi, kreikaksi, indonesiaksi, ruotsiksi, turkiksi ja uiguuriksi) ja uusilla alustoilla (muun muassa Fandango, Rotten Tomatoes, Medium, Chess.com ja VK). Toiminnan laajuudesta ja jatkuvuudesta huolimatta sen julkaisut saavat harvoin aikaan merkittävää sitoutumista aidoilta käyttäjiltä, mikä korostaa näiden kiinalaisten verkostojen toiminnan alkeellisuutta.

Taulukko, jossa on 30 tuttua teknologiamerkin logoa, jotka on esitetty 16 kielen luettelon ohella
Kuva 8: CCP:hen liittyvää IO-sisältöä on havaittu monilla alustoilla ja monilla kielillä. Lue lisää tästä kuvasta täyden raportin sivulla 10
Rinnakkain näyttökuvina esimerkkejä taiwaninkielisestä videopropagandasta
Kuva 9: Taiwaninkielisen videon, jossa kehotetaan Taiwanin hallitusta "antautumaan" Pekingille, julkaisuja on jaettu runsaasti. Suuri ero näyttökertojen ja jakojen välillä on hyvä osoitus koordinoidusta IO-toiminnasta. Lue lisää tästä kuvasta täyden raportin sivulla 10

CCP:n uutissivustojen peitelty maailmanlaajuinen verkosto

Toinen digitaalisen median kampanja, joka kuvaa CCP:hen liittyvän IO:n laajentunutta levinneisyyttä, on yli 50 pääasiassa kiinankielisen uutissivuston verkosto, joka tukee CCP:n ilmoittamaa tavoitetta olla kaikkien kiinankielisten medioiden arvovaltainen ääni maailmanlaajuisesti.19 Vaikka sivustot esiintyvät suurelta osin itsenäisinä, sitoutumattomina sivustoina, jotka palvelevat erilaisia kiinalaisia diasporayhteisöjä eri puolilla maailmaa, arvioimme teknisten indikaattoreiden, sivustojen rekisteröintitietojen ja jaetun sisällön perusteella, että nämä sivustot ovat erittäin luotettavasti yhteydessä CCP:n United Front Work Department (UFWD) -osastoon, joka on vastuussa CCP:n vaikutusvallan vahvistamisesta Kiinan rajojen ulkopuolella, erityisesti pitämällä yhteyttä "ulkomaisiin kiinalaisiin".20
Maailmankartta, jossa on logot yli 20 kiinalaisesta sivustosta, jotka on suunnattu maailmanlaajuiselle kiinalaiselle diasporalle.
Kuva 10: Kartta maailmanlaajuiselle kiinalaiselle diasporalle suunnatuista sivustoista, joiden arvioidaan olevan osa tätä mediastrategiaa.  Lue lisää tästä kuvasta täyden raportin sivulla 11

Koska monet näistä sivustoista käyttävät samoja IP-osoitteita, Microsoft Defender Threat Intelligencen avulla tehtyjen verkkotunnuskyselyjen avulla löysimme lisää verkoston sivustoja. Monilla sivustoilla on yhteinen etusivun HTML-koodi, jossa jopa koodiin upotetut web-kehittäjän kommentit ovat usein identtisiä eri sivustoilla. Yli 30 sivustoa käyttää samaa ohjelmointirajapintaa (API) ja sisällönhallintajärjestelmää, joka on peräisin UFWD:n mediatoimiston China News Servicen (CNS) "kokonaan omistamalta tytäryhtiöltä".21 Kiinan teollisuus- ja tietotekniikkaministeriön tiedoista käy lisäksi ilmi, että tämä UFWD:hen yhteydessä oleva teknologiayritys ja eräs toinen yritys ovat rekisteröineet ainakin 14 uutissivustoa tähän verkostoon.22 Käyttämällä tytäryhtiöitä ja ulkopuolisia mediayhtiöitä tällä tavoin UFWD voi tavoittaa maailmanlaajuisen yleisön ja peittää samalla suoran osallistumisensa.

Nämä sivustot väittävät olevansa riippumattomia uutistoimittajia, mutta julkaisevat usein samoja Kiinan valtion medioiden artikkeleita ja väittävät usein olevansa sisällön alkuperäinen lähde. Vaikka sivustot kattavat laajalti kansainvälisiä uutisia ja julkaisevat yleisiä Kiinan valtion medioiden artikkeleita, poliittisesti arkaluonteiset aiheet ovat valtaosin CCP:n suosimien tarinoiden mukaisia. Esimerkiksi useissa sadoissa tämän sivustoverkoston artikkeleissa levitetään vääriä väitteitä siitä, että COVID-19-virus on biologinen ase, joka on valmistettu Yhdysvaltojen armeijan biologisessa tutkimuslaboratoriossa Fort Detrickissä.23 Sivustoilla levitetään usein myös Kiinan hallituksen virkamiesten lausuntoja ja valtion medioiden artikkeleita, joissa väitetään COVID-19-viruksen olevan peräisin Yhdysvalloista eikä Kiinasta. Nämä sivustot ovat esimerkki siitä, missä määrin CCP:n valvonta on läpäissyt kiinankielisen mediaympäristön, minkä ansiosta puolue voi peittää alleen kriittisen raportoinnin arkaluonteisista aiheista.

Kaavio useista sivustojen julkaisemista päällekkäisistä artikkeleista.
Kuva 11: Sivustot esiintyvät paikkakuntakohtaisina, mutta niiden sisältö on identtinen. Tämä kaavio näyttää useiden sivustojen julkaisemat päällekkäiset artikkelit. Lue lisää tästä kuvasta täyden raportin sivulla 12
Kuvakaappauksia siitä, miten China News Servicen artikkeli julkaistiin uudelleen sivustoilla, joiden kohdeyleisöt olivat Italiassa, Unkarissa, Venäjällä ja Kreikassa
Kuva 12: China News Service ja muut Kiinan valtiolliset mediat julkaisivat artikkelin otsikolla "WHO:n lausunto paljastaa Yhdysvaltojen pimeät biolaboratoriot Ukrainassa". Artikkeli julkaistiin sitten sivustoilla, jotka oli kohdennettu yleisöille Unkarissa, Ruotsissa, Länsi-Afrikassa ja Kreikassa. Lue lisää tästä kuvasta täyden raportin sivulla 12

Kiinan valtion medioiden maailmanlaajuinen tavoittavuus

Vaikka edellä kuvattu kampanja on merkittävä hämäyksensä vuoksi, vilpittömässä mielessä toimivat Kiinan valtion medioiden sivustot muodostavat valtaosan CCP:n ohjaamien medioiden maailmanlaajuisesta yleisöstä. Laajentamalla toimintaansa vieraille kielille,24 avaamalla Kiinan valtion mediatoimistoja ulkomailla,25 ja toimittamalla ilmaista Peking-myönteistä sisältöä,26 CCP laajentaa "diskurssivoimansa" (话语权) tavoittavuutta syöttämällä propagandaa uutismedioihin eri puolilla maailmaa.27
Organisaatiokaavio, joka esittää tilannevedoksen CCP:n avoimesta propagandan ekosysteemistä.
Kuva 13: Organisaatiokaavio, joka esittää tilannevedoksen CCP:n avoimen propagandan ekosysteemiin kuuluvista toiminnoista ja yksiköistä. Lue lisää tästä kuvasta täyden raportin sivulla 13

Kiinan valtion mediasivustojen liikenteen mittaaminen

Microsoftin AI for Good Lab on kehittänyt indeksin, jolla mitataan Kiinan ulkopuolisilta käyttäjiltä Kiinan hallituksen enemmistöomistuksessa oleviin kohteisiin suuntautuvaa liikennettä. Indeksillä mitataan näillä sivustoilla käyvän liikenteen osuutta internetin kokonaisliikenteestä, kuten kesäkuussa 2022 käyttöön otetulla Venäjän propagandaindeksillä (RPI).28

Viisi toimialuetta hallitsevat Kiinan valtion medioiden kulutusta, ja niiden osuus kaikista Kiinan valtion mediasivujen katseluista on noin 60 prosenttia.

Kiinalaisen median kulutusta kuvaava kaavio
Lue lisää tästä kuvasta täyden raportin sivulla 14

Indeksi voi valottaa Kiinan valtion median suhteellisen menestyksen suuntauksia maantieteellisesti eri aikoina. Esimerkiksi Kaakkois-Aasian maiden liiton (ASEAN) jäsenvaltioista Singapore ja Laos erottuvat joukosta, sillä niillä on yli kaksi kertaa enemmän suhteellista liikennettä Kiinan valtion medioiden sivustoille kuin kolmanneksi sijoittuneella Bruneilla. Filippiinit sijoittuu alhaisimmalle sijalle, sillä Kiinan valtion medioiden sivustoja käytetään 30 kertaa vähemmän kuin Singaporen ja Laosin sivustoja. Singaporessa, jossa mandariinikiina on virallinen kieli, kiinalaisten valtiollisten medioiden suuri kulutus kuvastaa Kiinan vaikutusta mandariininkielisiin uutisiin. Laosissa kiinankielisiä on paljon vähemmän, mikä kuvastaa Kiinan valtion medioiden suhteellista menestystä maan ympäristössä.

Näyttökuva suosituimman toimialueen, PhoenixTV:n, etusivulta.
Kuva 14: Eniten vieraillun toimialueen, PhoenixTV:n, etusivu, jolla on 32 % kaikista sivujen katseluista. Lue lisää tästä kuvasta täyden raportin sivulla 14

Pohjois-Korean yhä kehittyneemmät kyberoperaatiot keräävät tiedustelutietoja ja tuottavat valtiolle tuloja

Pohjois-Korean kyberuhkatoimijat harjoittavat kyberoperaatioita, joiden tarkoituksena on (1) kerätä tiedustelutietoja valtion oletettujen vastustajien toiminnasta: Etelä-Korea, Yhdysvallat ja Japani, (2) keräävät tiedustelutietoja muiden maiden sotilaallisista voimavaroista parantaakseen omia voimavarojaan ja (3) keräävät kryptovaluuttavaroja valtiolle. Kuluneen vuoden aikana Microsoft on havainnut Pohjois-Korean uhkaavien toimijoiden kohteiden päällekkäisyyksien lisääntyneen ja pohjoiskorealaisten toimintaryhmien kehittyneisyyden lisääntyneen.

Pohjois-Korean kybertoiminnan painopisteet korostavat meriteknologian tutkimusta vedenalaisten lennokkien ja ajoneuvojen testauksen keskellä

Viime vuoden aikana Microsoft Threat Intelligence on havainnut Pohjois-Korean uhkaavien toimijoiden kohteissa suurempia päällekkäisyyksiä. Esimerkiksi kolme pohjoiskorealaista uhkaavaa toimijaa – Ruby Sleet (CERIUM), Diamond Sleet (ZINC) ja Sapphire Sleet (COPERNICIUM) – ottivat kohteekseen marraskuusta 2022 tammikuuhun 2023 merenkulun ja laivanrakennuksen. Microsoft ei ollut aiemmin havainnut tämäntasoista päällekkäistä kohdentamista useissa Pohjois-Korean toimintaryhmissä, mikä viittaa siihen, että meriteknologian tutkimus oli tuolloin Pohjois-Korean hallitukselle ensisijaisen tärkeää. Maaliskuussa 2023 Pohjois-Korean kerrottiin ampuneen kaksi strategista risteilyohjusta sukellusveneestä kohti Japaninmerta (joka tunnetaan myös nimellä Itäinen meri) varoituksena ennen Etelä-Korean ja Yhdysvaltojen Freedom Shield -sotaharjoitusta. Myöhemmin samassa ja seuraavassa kuussa Pohjois-Korean väitetään testanneen kahta vedenalaista Haeil-hyökkäyslennokkia maan itärannikon edustalla Japaninmerellä. Nämä merisotilaallisten voimavarojen testit tapahtuivat pian sen jälkeen, kun kolme Pohjois-Korean kyberryhmää oli ottanut kohteekseen meripuolustusyksiköitä tiedustelua varten.

Uhkaavat toimijat vaarantavat puolustusalan yrityksiä, kun Pohjois-Korean hallinto asettaa ensisijaisia keräysvaatimuksia

Marraskuun 2022 ja tammikuun 2023 välisenä aikana Microsoft havaitsi toisen kerran päällekkäistä kohdentamista, kun Ruby Sleet ja Diamond Sleet vaaransivat puolustusalan yrityksiä. Nämä kaksi uhkaavaa toimijaa vaaransivat kaksi aseita valmistavaa yritystä, jotka sijaitsevat Saksassa ja Israelissa. Tämä viittaa siihen, että Pohjois-Korean hallitus käyttää useita uhkatoimijaryhmiä samanaikaisesti täyttääkseen maan sotilaallisten voimavarojen parantamiseen tähtäävät ensisijaiset keräysvaatimukset. Tammikuusta 2023 lähtien Diamond Sleet on vaarantanut myös puolustusalan yrityksiä Brasiliassa, Tšekissä, Suomessa, Italiassa, Norjassa ja Puolassa.
Piirakkakaavio, jossa esitetään eniten Pohjois-Korean kohteena olevat puolustusteollisuuden alat maittain
Kuva 15: Pohjois-Korean puolustusteollisuuden kohteet maittain maaliskuusta 2022 maaliskuuhun 2023

Venäjän hallitus ja puolustusteollisuus ovat edelleen Pohjois-Korean tiedustelukohteita

Useat pohjoiskorealaiset uhkaavat toimijat ovat viime aikoina kohdistaneet hyökkäyksiä Venäjän hallitusta ja puolustusteollisuutta vastaan ja samalla tukeneet Venäjää sen sodassa Ukrainassa.32 Maaliskuussa 2023 Ruby Sleet vaaransi ilmailu- ja avaruustutkimuslaitoksen Venäjällä. Lisäksi Onyx Sleet (PLUTONIUM) murtautui maaliskuun alussa venäläisen yliopiston laitteeseen. Erikseen Opal Sleetin (OSMIUM) hyökkääjätili lähetti saman kuukauden aikana tietojenkalastelusähköposteja Venäjän diplomaattisten hallintoyksiköiden tileille. Pohjois-Korean uhkaavat toimijat saattavat hyödyntää tilaisuutta kerätä tiedustelutietoja venäläisistä yksiköistä, koska maa keskittyy sotaan Ukrainassa.

Pohjois-Korean ryhmät osoittavat kehittyneempää toimintaa kryptovaluuttavarkauksilla ja toimitusketjuihin kohdistuvilla hyökkäyksillä

Microsoft arvioi, että Pohjois-Korean toimintaryhmät toteuttavat yhä kehittyneempiä operaatioita kryptovaluuttojen varastamisen ja toimitusketjuihin kohdistuvien hyökkäysten avulla. Tammikuussa 2023 FBI totesi julkisesti, että kesäkuussa 2022 Harmony's Horizon Bridgeltä varastettiin 100 miljoonan Yhdysvaltain dollarin arvosta kryptovaluuttaa Jade Sleetille (DEV-0954), joka tunnetaan myös nimellä Lazarus Group/APT38.33 Lisäksi Microsoft katsoi, että maaliskuussa 2023 tehty 3CX:n toimitusketjuhyökkäys, jossa hyödynnettiin yhdysvaltalaisen finanssiteknologiayrityksen aiempaa toimitusketjun vaarantamista vuonna 2022, johtui Citrine Sleetistä (DEV-0139). Tämä oli ensimmäinen kerta, kun Microsoft on havainnut toimintaryhmän käyttävän olemassa olevaa toimitusketjun vaarantamista toisen toimitusketjuhyökkäyksen toteuttamiseen, mikä osoittaa Pohjois-Korean verkko-operaatioiden kehittyneisyyden lisääntyvän.

Emerald Sleet käyttää hyväksi havaittua kohdennettua tietojenkalastelutaktiikkaa houkuttelemalla asiantuntijoita vastaamaan ulkopoliittisilla näkemyksillä

Emerald Sleet (THALLIUM) on edelleen aktiivisin pohjoiskorealainen uhkaava toimija, jota Microsoft on seurannut viime vuoden aikana. Emerald Sleet lähettää edelleen usein kohdennettuja tietojenkalastelusähköpostiviestejä Korean niemimaan asiantuntijoille ympäri maailmaa tiedonkeruutarkoituksessa. Joulukuussa 2022 Microsoft Threat Intelligence kertoi yksityiskohtaisesti Emerald Sleetin tietojenkalastelukampanjoista, jotka kohdistuivat vaikutusvaltaisiin Pohjois-Korea-asiantuntijoihin Yhdysvalloissa ja Yhdysvaltojen liittolaismaissa. Microsoft havaitsi, että sen sijaan, että se levittäisi haitallisia tiedostoja tai linkkejä haitallisille sivustoille, Emerald Sleet käyttää ainutlaatuista taktiikkaa: se esiintyy hyvämaineisina akateemisina laitoksina ja kansalaisjärjestöinä houkutellakseen uhreja vastaamaan Pohjois-Korean ulkopolitiikkaa koskeviin asiantuntijalausuntoihin ja -kommentteihin.

Toiminnot: Vaikuttaminen

Pohjois-Korea on viime vuoden aikana toteuttanut rajoitettuja vaikuttamistoimia videonjakoalustoilla, kuten YouTubessa ja TikTokissa.34 YouTubessa olevat pohjoiskorealaiset vaikuttajat ovat enimmäkseen tyttöjä ja naisia, joista yksi on vain 11-vuotias. He julkaisevat vlogeja jokapäiväisestä elämästään ja edistävät myönteisiä kertomuksia hallinnosta. Osa vaikuttajista puhuu videoissaan englantia, ja heidän tarkoituksenaan on tavoittaa laajempi maailmanlaajuinen yleisö. Pohjois-Korean vaikuttajat ovat paljon tehottomampia kuin Kiinan valtamedian tukema vaikuttaja-aloite.

Geopoliittiset jännitteet kiihdyttävät kybertoimintaa ja vaikuttavat operaatioihin

Kiina on jatkanut kybervalmiuksiensa laajentamista viime vuosina ja osoittanut paljon enemmän kunnianhimoa IO-kampanjoissaan. Lähitulevaisuudessa Pohjois-Korea keskittyy edelleen kohteisiin, jotka liittyvät sen poliittisiin, taloudellisiin ja puolustuksellisiin etuihin alueella. Voimme odottaa laajempaa kybervakoilua sekä CCP:n geopoliittisten tavoitteiden vastustajia että kannattajia vastaan kaikilla mantereilla. Vaikka Kiinassa toimivat uhkaryhmät kehittävät ja hyödyntävät edelleen vaikuttavia kybertoimia, emme ole havainneet Kiinan yhdistävän kyber- ja vaikuttamisoperaatioita – toisin kuin Iran ja Venäjä, jotka harjoittavat hakkerointi- ja vuotokampanjoita.

Kiinaan liittyvät vaikuttajatoimijat, jotka toimivat mittakaavassa, johon muut pahansuovat vaikuttajatoimijat eivät pysty, aikovat hyödyntää useita keskeisiä suuntauksia ja tapahtumia seuraavien kuuden kuukauden aikana.

Ensinnäkin videota ja visuaalista mediaa hyödyntävistä operaatioista on tulossa normi. CCP:hen liittyvät verkostot ovat jo pitkään käyttäneet tekoälyn luomia profiilikuvia, ja tänä vuonna ne ovat ottaneet käyttöön tekoälyn luomaa taidetta visuaalisia meemejä varten. Valtion tukemat toimijat käyttävät jatkossakin yksityisiä sisältöstudioita ja PR-yrityksiä ulkoistamaan propagandaa tilauksesta.35

Toiseksi Kiina jatkaa aidon yleisön sitouttamisen tavoittelua investoimalla aikaa ja resursseja sosiaalisen median resurssien kehittämiseen. Vaikuttajat, joilla on syvää kulttuuri- ja kielituntemusta ja laadukasta videosisältöä, ovat olleet edelläkävijöitä menestyksekkäässä sitouttamisessa sosiaalisessa mediassa. CCP soveltaa joitakin näistä taktiikoista, kuten vuorovaikutusta sosiaalisen median käyttäjien kanssa ja kulttuurisen osaamisen osoittamista, tukeakseen salaisia sosiaalisen median kampanjoita.

Kolmanneksi Taiwan ja Yhdysvallat ovat todennäköisesti edelleen Kiinan ulkoasiainministeriön kaksi tärkeintä painopistealuetta, etenkin kun molemmissa maissa järjestetään vaalit vuonna 2024. Kun otetaan huomioon, että CCP:n liittolaisten vaikuttajatoimijat ovat lähimenneisyydessä pyrkineet vaikuttamaan Yhdysvaltojen vaaleihin, on lähes varmaa, että he tekevät niin jälleen. Yhdysvaltalaisiksi äänestäjiksi tekeytyvät sosiaalisen median toimijat ovat todennäköisesti entistä kehittyneempiä ja kylvävät aktiivisesti eripuraa rotuun, sosioekonomiseen asemaan ja ideologiaan perustuvalla sisällöllä, joka on todella kriittistä Yhdysvaltoja kohtaan.

  1. [1]
  2. [2]

    Uudet tukikohdat Filippiineillä lisäävät Yhdysvaltojen sotilaallista läsnäoloa alueella, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    Tällä hetkellä ei ole riittävästi näyttöä ryhmien yhdistämiseksi toisiinsa.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Tällaiset vaikuttajatoimijat tunnetaan joskus nimellä "Spamouflage Dragon" tai "DRAGONBRIDGE".
  18. [18]
  19. [19]
  20. [20]

    Katso: Microsoft Threat Analysis Centerin kehys vaikutusmahdollisuuksien määrittämiseksi. https://go.microsoft.com/fwlink/?linkid=2262095; Kiinan hallitus käyttää kiinalaisesta diasporasta yleisesti nimitystä "ulkomaiset kiinalaiset" tai 华侨 (huaqiao), jolla viitataan niihin, joilla on Kiinan kansalaisuus tai juuret Kiinassa, mutta jotka asuvat Kiinan kansantasavallan ulkopuolella. Yksityiskohtaisempaa tietoa Pekingin tulkinnasta kiinalaisesta diasporasta on artikkelissa: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Kiinan hallitus levitti tätä kertomusta COVID-19-pandemian alussa, katso: https://go.microsoft.com/fwlink/?linkid=2262170; Tämän verkoston sivustot, jotka edistävät tätä väitettä, ovat: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Defending Ukraine: Early Lessons from the Cyber War, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Toinen tulkinta xuexi qiangguosta on "Study Xi, Strengthen the Country". Nimi on sanaleikki Xi Jinpingin sukunimestä. Kiinan viranomaiset, yliopistot ja yritykset edistävät voimakkaasti sovelluksen käyttöä ja toisinaan häpäisevät tai rankaisevat alaisiaan harvoin tapahtuvasta käytöstä, katso: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    Lehden omistaa Shanghai United Media Group, jonka puolestaan omistaa Shanghain kommunistinen puoluekomitea: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    CCP on aiemmin sijoittanut yksityisen sektorin yrityksiin, jotka auttavat IO-kampanjoita SEO-manipulointitekniikoilla, väärennetyillä tykkääjillä ja seuraajilla ja muilla palveluilla. Hankinta-asiakirjoista käy ilmi tällaisia tarjouksia, katso: https://go.microsoft.com/fwlink/?linkid=2262522

Kybervaikuttamisoperaatiot Tyynenmeren Aasian valtioiden raportit Valtioiden raportit Tietojen kalastelu Uhkaavat toimijat

Aiheeseen liittyviä artikkeleita

Volt Typhoon kohdistaa LOTL-tekniikoita Yhdysvaltojen kriittiseen infrastruktuuriin

Kiinan valtion sponsoroiman uhkaavan toimijan Volt Typhoonin on havaittu käyttävän salaisia tekniikoita Yhdysvaltojen kriittiseen infrastruktuuriin hyökkäämiseen, vakoilun suorittamiseen sekä vaarantuneissa ympäristöissä toimimiseen.
Lue lisää

Propaganda in the digital age: How cyber influence operations erode trust

Tutustu kybervaikuttamisoperaatioiden maailmaan, jossa valtiot välittävät propagandaa, jonka tarkoituksena on uhata demokratian menestymiseen tarvittavaa luotettavaa tietoa.
Lue lisää

Iran pyrkii toteuttamaan entistä tehokkaampia vaikutusoperaatioita kybertoimien avulla

Microsoft Threat Intelligence paljasti Iranista käsin tapahtuvan lisääntyneen kyberpohjaisen vaikuttamistoiminnan. Tutustu uhkiin ja lue yksityiskohtaisia tietoja uusista tekniikoista ja tulevista uhkista.
Lue lisää

Seuraa Microsoft Securitya