Trace Id is missing

Iste mete, novi proceduralni priručnici: istočnoazijski zlonamjerni akteri koriste jedinstvene metode

Preuzmi
Zajedničko korištenje
Apstraktna ilustracija pomorskog broda s grafičkim prikazom crvenih krugova i mreže crnih elemenata na ružičastoj pozadini.

Microsoft je od lipnja 2023. uočio nekoliko izraženih kibernetičkih trendova i trendova utjecaja iz Kine i Sjeverne Koreje koji pokazuju ne samo dupliciranje napada na poznate mete, već i pokušaje korištenja složenijih tehnika utjecaja radi ostvarenja postavljenih ciljeva.

Kineskim kibernetičkim akterima su u posljednjih sedam mjeseci mete uglavnom bila tri područja:

  • Jedna grupa kineskih aktera u velikoj mjeri je napadala entitete na otocima Južnog Pacifika.
  • Druga grupa kineskih aktivnosti nastavila je s nizom računalnih napada na regionalne protivnike u regiji Južnog kineskog mora.
  • U međuvremenu je treća grupa kineskih aktera ugrožavala obrambenu industrijsku bazu Sjedinjenih Američkih Država.

Kineski akteri utjecaja – umjesto širenja zemljopisnog opsega ciljeva – opredijelili su se za usavršavanje tehnika i eksperimentiranje s novim medijskim sadržajima. Kineske kampanje utjecaja nastavljaju usavršavati sadržaj generiran ili poboljšan umjetnom inteligencijom. Akteri utjecaja koji stoje iza ovih kampanja spremni su poboljšavati medijski sadržaj generiran umjetnom inteligencijom koji koristi njihovim strateškim narativima kao i stvarati vlastite videozapise, memove i audio sadržaj. Takve vrste taktika korištene su u kampanjama koje su poticale podjele u Sjedinjenim Američkim Državama i uzrokovale povećanje razdora u Azijsko-pacifičkoj regiji – uključujući Tajvan, Japan i Južnu Koreju. Te su kampanje postizale različite razine odjeka bez jedinstvene formule koja bi dovela do ujednačenog angažiranja korisnika.

Sjevernokorejski kibernetički akteri dospjeli su na naslovne stranice medija zbog porasta broja napada na lance opskrbe softverom i pljački kriptovaluta tijekom prošle godine. Dok su strateške kampanje u kojima se koristi ciljana krađa identiteta usmjerene na istraživače koji se bave proučavanjem Korejskog poluotoka i dalje stalni trend, izgleda da zlonamjerni akteri iz Sjeverne Koreje više koriste zakonit softver kako bi ugrozili još više žrtava.

Gingham Typhoon usmjerava napade na državne institucije, IT sektor i višenacionalne subjekte na otocima Južnog Pacifika

Tijekom ljeta 2023. Microsoftovo obavještavanje o prijetnjama uočilo je aktivnost velikih razmjera špijunske grupe Gingham Typhoon sa sjedištem u Kini usmjerene na skoro svaku zemlju na otocima Južnog Pacifika. Gingham Typhoon je najaktivniji akter u ovoj regiji, koji složenim kampanjama krađe identiteta napada međunarodne organizacije, vladine subjekte i IT sektor. Među žrtvama su bili i glasni kritičari kineske vlade.

Među diplomatskim saveznicima Kine koji su bili žrtve nedavne aktivnosti grupe Gingham Typhoon nalaze se izvršni uredi u vladi, odjeli vezani uz trgovinu, pružatelji internetskih usluga, kao i jedan subjekt iz područja prijevoza.

Motivacija za ove ofenzivne kibernetičke aktivnosti može biti pojačana geopolitička i diplomatska konkurencija u ovoj regiji. Kina teži strateškom partnerstvu s otočnim zemljama Južnog Pacifika kako bi proširila gospodarske odnose i posredovala u diplomatskim i sigurnosnim sporazumima. Kineska kibernetička špijunaža u ovoj regiji prati i gospodarske partnere.

Na primjer, kineski akteri sudjelovali su u velikim napadima na multinacionalne organizacije u Papui Novoj Gvineji, dugogodišnjem diplomatskom partneru koji ima koristi od više projekata Inicijative Pojas i put (BRI), uključujući izgradnju velikog autoputa koji povezuje zgradu vlade Papue Nove Gvineje s glavnom cestom do glavnog grada.1

Karta s prikazom učestalosti ciljanih računalnih prijetnji u nacijama pacifičkih otoka, s većim krugovima
Slika 1: Uočeni događaji grupe Gingham Typhoon od lipnja 2023. do siječnja 2024. Ova aktivnost ističe njihov kontinuirani fokus na nacije južnopacifičkih otoka. Međutim, većina napada na ove mete traje, što je odraz višegodišnjeg fokusa na ovu regiju. Zemljopisne lokacije i promjer simbologije su reprezentativni.

Kineski zlonamjerni akteri zadržavaju fokus na Južnom kineskom moru tijekom vojnih vježbi zapadnih država

Zlonamjerni akteri koji se nalaze u Kini nastavili su s napadima na subjekte koji su povezani s gospodarskim i vojnim interesima Kine u Južnom kineskom moru i oko njega. Ti su akteri oportunistički ugrožavali žrtve iz državnih institucija i sektora telekomunikacija u državama članicama Saveza država Jugoistočne Azije (ASEAN). Činilo se da su kineski državni kibernetički akteri bili posebno zainteresirani za mete koje imaju veze s brojnim vojnim vježbama koje su Sjedinjene Američke Države provodile u regiji. Raspberry Typhoon, nacionalna grupa aktivnosti koja se nalazi u Kini, uspješno je u lipnju 2023. napadala vojne i izvršne subjekte u Indoneziji i malezijski pomorski sustav u tjednima prije rijetke multilateralne pomorske vježbe u kojoj su sudjelovale Indonezija, Kina i Sjedinjene Američke Države.

Slično tome, subjekti povezani sa zajedničkim vojnim vježbama Sjedinjenih Američkih Država i Filipina bili se mete drugog kineskog kibernetičkog aktera, Flax Typhoon. U međuvremenu je Granite Typhoon, još jedan zlonamjerni akter koji se nalazi u Kini, tijekom ovog razdoblja ugrožavao prvenstveno telekomunikacijske subjekte, a žrtve napada nalazile su se u Indoneziji, Maleziji, na Filipinima, u Kambodži i na Tajvanu.

Od objave na Microsoftovu blogu o grupi Flax Typhoon Microsoft je početkom jeseni i tijekom zime 2023. uočio nove mete grupe Flax Typhoon na Filipinima, u Hong Kongu, Indiji i Sjedinjenim Američkim Državama.2 Ovaj akter učestalo napada i sektor telekomunikacija, što često utječe na mnoge krajnje korisnike.

Karta s prikazom podataka Microsoftova obavještavanja o prijetnjama na regijama u Aziji gdje se odvija najviše napada.
Slika 2: Uočeni događaji u kojima su mete države u Južnom kineskom moru i oko njega, a napade vrše grupe Flax Typhoon, Granite Typhoon ili Raspberry Typhoon. Zemljopisne lokacije i promjer simbologije su reprezentativni.

Nylon Typhoon ugrožava subjekte vanjskih poslova diljem svijeta

Kineski zlonamjerni akter Nylon Typhoon nastavio je s dugogodišnjom praksom napada na subjekte vanjskih poslova u zemljama širom svijeta. Od lipnja do prosinca 2023. Microsoft je uočio aktivnosti grupe Nylon Typhoon u državnim tijelima u Južnoj Americi, uključujući Brazil, Gvatemalu, Kostariku i Peru. Ovaj zlonamjerni akter primijećen je i u Europi, gdje je ugrožavao državna tijela u Portugalu, Francuskoj, Španjolskoj, Italiji i Ujedinjenoj Kraljevini. Dok su većina europskih meta bili vladina tijela, neke IT tvrtke također su kompromitirane. Svrha ovog ciljanja je prikupljanje obavještajnih podataka.

Kineska zlonamjerna grupa napada vojne objekte i ključnu infrastrukturu u Sjedinjenim Američkim Državama

Konačno, grupa Storm-0062 pojačala je aktivnosti tijekom jeseni i zime 2023. godine. Veći dio ovih aktivnosti imao je za cilj ugrožavanje državnih tijela povezanih s obrambenim snagama Sjedinjenih Američkih Država, uključujući izvođače koji pružaju tehničke inženjerske usluge u području zrakoplovstva, obrane i prirodnih resursa od ključnog značaja za nacionalnu sigurnost Sjedinjenih Američkih Država. Osim toga, grupi Storm-0062 su u više navrata bili mete vojni objekti u Sjedinjenim Američkim Državama; međutim, nije sasvim jasno jesu li ti pokušaji ugrožavanja bili uspješni.

Obrambena industrijska baza Sjedinjenih Američkih Država također ostaje meta grupe Volt Typhoon. U svibnju 2023. Microsoft je napade na organizacije za ključnu infrastrukturu Sjedinjenih Američkih Država pripisao grupi Volt Typhoon, akteru koji se nalazi u Kini i kojeg sponzorira država. Grupa Volt Typhoon dobila je pristup mrežama organizacija primjenom raspoloživih tehnika i aktivnosti praktičnog napada s tipkovnice.3 Ove taktike omogućile su grupi Volt Typhoon da neprimjetno održava neovlašteni pristup ciljnim mrežama. Od lipnja 2023. do prosinca 2023. grupa Volt Typhoon je i dalje napadala ključnu infrastrukturu, ali je usmjerila aktivnosti i na razvoj resursa tako što je ugrožavala uređaje malih i kućnih ureda (SOHO) diljem Sjedinjenih Američkih Država.

U izvješću iz rujna 2023. detaljno smo opisali kako su resursi kineskih operacija utjecaja (IO) počeli koristiti generativni AI za stvaranje elegantnog, zanimljivog vizualnog sadržaja. Tijekom ljeta Microsoftovo obavještavanje o prijetnjama nastavilo je identificirati memove generirane umjetnom inteligencijom usmjerene na korisnike u Sjedinjenim Američkim Državama koji su pojačavali već ionako kontroverzna nacionalna pitanja i kritizirali aktualnu vlast. Akteri operacija utjecaja povezani s Kinom nastavili su koristiti medijski sadržaj poboljšan i generiran umjetnom inteligencijom (u daljem tekstu „sadržaj umjetne inteligencije”) u kampanjama utjecaja sa sve većim obujmom i učestalosti tijekom cijele godine.

Nagli porast upotrebe umjetne inteligencije (ali i dalje teško uvjerava)

Akter koji najviše koristi sadržaj umjetne inteligencije je Storm-1376 – to je Microsoftova oznaka za aktera povezanog s Komunističkom partijom Kine (KPK), šire poznatog kao „Spamouflage” ili „Dragonbridge”. Do zime su i drugi akteri povezani s KPK-om počeli koristiti širi spektar sadržaja umjetne inteligencije kako bi pojačali operacije utjecaja na mreži. To je podrazumijevalo primjetan porast sadržaja s tajvanskim političkim osobama uoči predsjedničkih i parlamentarnih izbora 13. siječnja. Tada je Microsoftovo obavještavanje o prijetnjama prvi put opazilo da akter nacionalne države koristi sadržaj umjetne inteligencije u pokušaju utjecaja na izbore u drugoj državi.

Audio snimke generirane AI-jem: Na dan izbora na Tajvanu grupa Storm-1376 je objavila sumnjive audio isječke generirane umjetnom inteligencijom vlasnika poduzeća Foxconn, Terryja Goua, kandidata nezavisne stranke u predsjedničkoj utrci Tajvana koji je u studenome 2023. povukao kandidaturu. Na audio snimkama čuje se kako Gouov glas podržava drugog kandidata u predsjedničkoj utrci. Gouov glas na snimkama vjerojatno je generiran umjetnom inteligencijom jer Gou nije dao takvu izjavu. YouTube je brzo reagirao na ovaj sadržaj prije nego što je stigao do velikog broja korisnika. Ovi videozapisi pojavili su se u danima nakon što je lažno pismo kojim Terry Gou podržava istog kandidata kružilo na mreži. Vodeće tajvanske organizacije za provjeru činjenica osporile su pismo. I osoblje Gouove kampanje navelo je da pismo nije istinito i da će reagirati pokretanjem pravnog postupka.4 Gou nije službeno podržao nijednog predsjedničkog kandidata.
Muškarac u odijelu govori na podiju s kineskim tekstom i grafikom valnog oblika zvuka u prednjem planu.
Slika 3: u videozapisima koje je objavila grupa Storm-1376 koristile su se glasovne snimke Terryja Goua generirane umjetnom inteligencijom u kojima se činilo kao da podržava drugog kandidata.
Voditelji vijesti generirani umjetnom inteligencijom: Voditelji vijesti generirani umjetnom inteligencijom koju su generirala tehnološka poduzeća trećih strana, koristeći alat Capcut tehnološkog poduzeća ByteDance, pojavili su se u raznim kampanjama s tajvanskim službenicima,5 kao i u porukama o Mjanmaru. Grupa Storm-1376 još od veljače 2023. koristi takve voditelje vijesti generirane umjetnom inteligencijom,6 ali se količina sadržaja s tim voditeljima povećala u posljednjih nekoliko mjeseci.
Kolaž slike vojnog vozila
Slika 4: Grupa Storm-1376 objavila je videozapise na mandarinskom i engleskom s navodima da su Sjedinjene Američke Države i Indija bile odgovorne za nemire u Mjarnmaru. Isti voditelj generiran umjetnom inteligencijom koristi se u nekim od ovih videozapisa.
Videozapisi poboljšani umjetnom inteligencijom: Kanadska vlada i drugi istraživači objavili su da je u videozapisima poboljšanima umjetnom inteligencijom korišten lik jednog kineskog disidenta iz Kanade u kampanji napada na kanadske zastupnike.7 Ti videozapisi, koji su na više platformi bili samo dio kampanje u kojoj su kanadski političari uznemiravani na njihovim računima na društvenim mrežama, lažno su prikazivali tog disidenta kako daje žustre izjave o kanadskoj vladi. Protiv ovog disidenta i ranije su korištene slični videozapisi poboljšani umjetnom inteligencijom.
Osoba sjedi za stolom
Slika 5: deepfake videozapisi omogućeni umjetnom inteligencijom s disidentom koji na pogrdan način priča o religiji. Dok se koristi slična taktika kao u kanadskoj kampanji, ovi se videozapisi čine nepovezanima u smislu sadržaja.
Memovi generirani AI-jem: Grupa Storm-1376 je u prosincu promicala seriju memova generiranih umjetnom inteligencijom tadašnjeg tajvanskog predsjedničkog kandidata Demokratske progresivne partije (DPP) Williama Laija, s temom odbrojavanja na kojoj se navodi da je preostalo „X dana” do skidanja s vlasti stranke DPP.
Grafički prikaz s dvjema slikama jedna do druge, jedna s likom s crvenim slovom x, a druga s istim likom neoznačenim.
Slika 6: Memovi generirani umjetnom inteligencijom optužuju predsjedničkog kandidata DPP-a Williama Laija za pronevjeru sredstava tajvanskog programa Forward-looking Infrastrukture Development Program. Ti su memovi sadržavali jednostavne likove (korištene u NRK-u, ali ne na Tajvanu) i bili su dio serije koja je prikazivala dnevno „odbrojavanje do oduzimanja vlasti DPP-u”.
Vremenska crta infografike s prikazom utjecaja sadržaja generiranog AI-jem na tajvanskim izborima od prosinca 2023. do siječnja 2024.
Slika 7: Vremenska traka sadržaja generiranog umjetnom inteligencijom i pojačanog umjetnom inteligencijom koji se pojavio uoči tajvanskih predsjedničkih i parlamentarnih izbora u siječnju 2024. Grupa Storm-1376 pojačala je nekoliko ovih sadržaja i bila je odgovorna za stvaranje sadržaja u dvjema kampanjama.

Storm-1376 nastavlja sa slanjem reaktivnih poruka, ponekad s narativima zavjere

Storm-1376 – akter čije se operacije utjecaja prostiru na 175 web-mjesta i 58 jezika – nastavio je učestalo organizirati kampanje reaktivnih poruka u vezi s visokoprofiliranim geopolitičkim događajima, posebno onim u kojima se Sjedinjene Američke Države prikazuju u nepovoljnom svjetlu ili produbljuju interesi KPK-a u regiji APAC. Od našeg posljednjeg izvješća u rujnu 2023. te kampanje su se razvijale na nekoliko značajnih načina, uključujući unošenje fotografija generiranih umjetnom inteligencijom s ciljem obmanjivanja korisnika, širenje sadržaja zavjere – posebno protiv vlade Sjedinjenih Američkih Država – i usmjeravanje na novo stanovništvo, kao što je Južna Koreja, s lokaliziranim sadržajem.

1. Tvrdnja da je „oružje za kontrolu vremenskih uvjeta” američke vlade uzrokovalo požare na Havajima

U kolovozu 2023., dok je sjeverozapadna obala otoka Maui na Havajima bila zahvaćena požarima, grupa Storm-1376 je to iskoristila kao priliku da na više platformi društvenih mreža širi narative zavjere. U tim se objavama navodi da je vlada Sjedinjenih Država namjerno podmetnula požar kako bi testirala korištenje „oružja za kontrolu vremenskih uvjeta” u vojne svrhe. Osim teksta koji je objavljen na najmanje 31 jeziku na više desetina web-mjesta i platformi, grupa Storm-1376 je koristila slike priobalnih puteva i stambenih objekata u plamenu, generirane umjetnom inteligencijom, kako bi sadržaj bio upečatljiviji.8

Kompozitna slika pečata „fake” nad scenama dramatičnih požara.
Slika 8: Grupa Storm-1376 objavljuje urotnički sadržaj u roku od nekoliko dana od izbijanja požara, s navodima da su požari rezultat testiranja „meteorološkog oružja” koje provodi američka vlada. Te su objave redovito bile popraćene umjetnom inteligencijom generiranih fotografija ogromnih požara.

2. Pojačavanje negodovanja zbog odlaganja nuklearne otpadne vode u Japanu

Grupa Storm-1376 pokrenula je veliku agresivnu kampanju porukama u kojima se kritizira japanska vlada nakon što je Japan 24. kolovoza 2023. počeo ispuštati u Tihi ocean obrađenu radioaktivnu otpadnu vodu.9 Sadržaj grupe Storm-1376 izazvao je sumnju u znanstvenu procjenu Međunarodne agencije za atomsku energiju (IAEA) da je odlaganje tog materijala bilo sigurno. Grupa Storm-1376 nasumično je slala poruke na platformama društvenih mreža na brojnim jezicima, uključujući japanski, korejski i engleski. U nekim su se sadržajima čak optuživale Sjedinjene Američke Države za namjerno trovanje drugih zemalja kako bi održale „vladavinu nad vodama”. Sadržaj korišten u ovoj kampanji nosi obilježja umjetne inteligencije.

U nekim je slučajevima grupa Storm-1376 ponovo stavljala u upotrebu sadržaj koji su u kineskom propagandnom ekosustavu prethodno već koristili drugi akteri, uključujući utjecatelje na društvenim mrežama povezane s kineskim državnim medijima.10 Utjecatelji i drugi resursi koji pripadaju grupi Storm-1376 prenijeli su tri identična videozapisa u kojima se kritizira ispuštanje otpadnih voda iz Fukushime. Broj primjera takvih objava koje dolaze od različitih aktera i gotovo istovremeno koriste identičan sadržaj – što može ukazivati na koordinaciju ili pravac razmjene poruka – povećao se tijekom 2023.

Kompozitna slika sa satiričnom ilustracijom ljudi, snimka zaslona videozapisa s godzillom i objava na društvenim mrežama
Slika 9: Memovi i slike generirani umjetnom inteligencijom u kojima se kritizira odlaganje otpadnih voda u Fukushimi od prikrivenih kineskih IO resursa (lijevo) i kineskih vladinih službenika (sredina). Utjecatelji povezani s medijima u vlasništvu kineskih medija također su povećali slanje poruka u skladu s vladom u smislu kritiziranja odlaganja (desno).

3. Poticanje neslaganja u Južnoj Koreji

Vezano uz odlaganje otpadnih voda iz Fukushime, grupa Storm-1376 uložila je usklađene napore s ciljem usmjeravanja napada na Južnu Koreju lokaliziranim sadržajem radi pojačavanja intenziteta protesta u toj zemlji zbog odlaganja otpada, kao i sadržajem kojim se kritizira japanska vlada. Kampanja je uključivala stotine objava na korejskom jeziku na više platformi i web-mjesta, uključujući južnokorejska web-mjesta društvenih mreža kao što su Kakao Story, Tistory i Velog.io.11

U sklopu te ciljane kampanje grupa Storm-1376 aktivno je poticala komentare i radnje Leeja Jaemyunga (이재명, 李在明), vođe stranke Minjoo i neuspješnog predsjedničkog kandidata 2022 godine. Lee je kritizirao potez Japana i nazvao ga „terorom zaraženom vodom” koji je ravan „Drugom ratu na Pacifiku”. On je optužio i vladu Južne Koreje kao „sudionika koji je podržao” odluku Japana i u znak protesta je započeo štrajk glađu u trajanju od 24 dana.12

Strip s četiri panela na kojem se govori o ekološkom zagađenju i njegovom učinku na morski život.
Slika 10: Memovi na korejskom jeziku s južnokorejske platforme za blog Tistory pojačavaju neslaganje u vezi odlaganja otpadnih voda u Fukushimi.

4. Iskakanje vlaka iz tračnica u Kentuckyju

Tijekom Dana zahvalnosti u studenome 2023. vlak koji je prevozio rastopljeni sumpor iskočio je iz tračnica u okrugu Rockcastle, Kentucky. Otprilike tjedan dana nakon iskakanja vlaka iz tračnica grupa Storm-1376 pokrenula je kampanju na društvenim mrežama kojom je pojačavala značaj tog iskakanja iz tračnica, širila teorije zavjere protiv američke vlade i isticala političke podjele među američkim glasačima, što je u konačnici poticalo nepovjerenje i razočaranje usmjerene na američku vladu. Grupa Storm-1376 pozivala je korisnike da razmisle o tome da je američka vlada izazvala iskakanje iz tračnica i da možda „namjerno nešto prikriva”.13 Neke poruke čak su upoređivale iskakanje iz tračnica sa teorijama zataškavanja u vezi s događajima 11. rujna i napadom na Pearl Harbor.14

Kineske lutke od čarapa za operacije utjecaja traže perspektive o američkim političkim temama

U izvješću iz rujna 2023. istaknuli smo kako su računi na društvenim mrežama povezani s KPK-om počeli oponašati američke glasače, lažno se predstavljajući kao Amerikanci u čitavom spektru političkih aktivnosti i odgovarati na komentare autentičnih korisnika.15 Ti pokušaji da se izvrši utjecaj na izbore sredinom mandata 2022. godine bile su prve uočene kineske operacije utjecaja.

Microsoftov centar za analizu prijetnji (MTAC) uočio je mali, ali stabilan porast dodatnih računa lutki od čarapa i s umjerenim stupnjem pouzdanosti procjenjuje da njima upravlja KPK. Na platformi X (bivši Twitter) ti su računi izrađeni još 2012. ili 2013., ali su tek početkom 2023. počeli objavljivati kao stvarne osobnosti – što ukazuje na to da su računi nedavno pribavljeni ili su prenamijenjeni. Te lutke od čarapa objavljuju originalno osmišljene videozapise, memove i grafikone s informacijama i već korišten sadržaj s drugih visokoprofiliranih političkih računa. To su računi koji skoro isključivo objavljuju sadržaje o unutrašnjim problemima Sjedinjenih Američkih Država – od upotrebe droga u Americi, preko imigracijske politike do rasnih napetosti – ali povremeno komentiraju teme od interesa za Kinu – kao što su odlaganje otpadnih voda u Japanu ili kineski disidenti.

Snimka zaslona računala s tekstom War te sukobi, problemi s drogom, odnosi među rasama itd.
Slika 11: Tijekom ljeta i jesen kineske lutke od čarapa i modeli korisnika često su koristili poticajne vizuale – ponekad pojačane preko generativnog AI-ja – u svojim objavama tijekom rasprava o američkim političkim pitanjima i aktualnim događajima.
Osim toga što objavljuju politički motivirane grafikone s informacijama ili videozapise, ovi računi često pitaju pratitelje slažu li se s navedenom temom. Neki od tih računa objavljivali su o raznim predsjedničkim kandidatima, a zatim tražili od pratitelja da ostave komentar o tome podržavaju li ih ili ne. Svrha ove taktike može biti želja za daljim angažmanom ili možda dobivanje uvida u stavove Amerikanaca o američkoj politici. Više takvih računa moglo bi se koristiti za prikupljanje još više ključnih demografskih podataka o glasanju u Sjedinjenim Američkim Državama.
Usporedba na slici s podijeljenim zaslonom: na lijevoj slici vojnički zrakoplov uzlijeće s nosača zrakoplova, a s desne strane skupina ljudi sjedi iza prepreke
Slika 12: Kineske lutke od čarapa potiču mišljenja o političkim temama od drugih korisnika na platformi X

Sjevernokorejski zlonamjerni akteri su tijekom 2023. ukrali stotine milijuna dolara u kriptovalutama, provodili napade na lance opskrbe softverom i napadali subjekte koje su smatrali neprijateljima nacionalne sigurnosti. Njihove operacije donose prihod vladi Sjeverne Koreje – posebno za program naoružanja – i prikupljaju obavještajne informacije o Sjedinjenim Američkim Državama, Južnoj Koreji i Japanu.16

Infografika s prikazom sektora i država koji su najčešća meta za računalne napade.
Slika 13: sektori i države koji su najčešća meta Sjeverne Koreje od lipnja 2023. do siječnja 2024. na temelju državnih podataka o obavijestima Microsoftova obavještavanje o prijetnjama.

Sjevernokorejski kibernetički akteri pljačkaju rekordno velike svote kriptovaluta kako bi državi ostvarili prihod.

Ujedinjeni narodi procjenjuju da su sjevernokorejski kibernetički akteri od 2017. godine ukrali više od 3 milijarde USD u kriptovalutama.17 Samo tijekom 2023. ukupno je opljačkano između 600 milijuna USD i 1 milijarde USD. Od ukradenih sredstava navodno se financira više od polovine nuklearnog i raketnog programa te zemlje, što Sjevernoj Koreji omogućava da usprkos sankcijama poveća zalihe oružja i obavlja testiranja.18 Tijekom prošle godine Sjeverna Koreja izvela je veliki broj testiranja raketa i vojnih vježbi i čak je 21. studenoga 2023. uspješno lansirala u svemir satelit za izvidnicu.19

Tri zlonamjerna aktera koje prati Microsoft – Jade Sleet, Sapphire Sleet i Citrine Sleet – od lipnja 2023. najviše se fokusiraju na mete povezane s kriptovalutama. Grupa Jade Sleet provodila je velike krađe kriptovaluta, dok je grupa Sapphire Sleet provodila manje, ali češće operacije krađe kriptovaluta. Microsoft je pripisao grupi Jade Sleet krađu kriptovaluta u iznosu od najmanje 35 milijuna USD od poduzeća sa sjedištem u Estoniji koja se dogodila početkom lipnja 2023. Microsoft je također pripisao grupi Jade Sleet pljačku u iznosu od preko 125 milijuna USD s platforme za kriptovalute sa sjedištem u Singapuru koja se dogodila mjesec dana kasnije. Jade Sleet je počeo kompromitirati kockarnice kriptovaluta na mreži u kolovozu 2023.

Sapphire Sleet neprekidno je kompromitirao brojne zaposlenike, uključujući rukovoditelje i projektante u poduzećima koja posluju s kriptovalutama, rizičnim ulagačkim kapitalom, kao i drugim financijskim organizacijama. Sapphire Sleet je također razvio nove tehnike, poput slanja pozivnica na lažne virtualne sastanke s vezama na domenu napadača te registriranje web-mjesta za lažno zapošljavanje. Citrine Sleet je nastavio s 3CX napadom na lanac opskrbe u ožujku 2023. kompromitiranjem poduzeća za kriptovalute i digitalna sredstva koje se nalazi u Turskoj. Žrtva je pružala uslugu hostinga ranjivoj verziji 3CX aplikacije povezane s ugrožavanjem lanca opskrbe.

Sjevernokorejski akteri prijete IT sektoru s individualiziranom krađom identiteta i napadima na softverski lanac opskrbe

Sjevernokorejski zlonamjerni akteri također su napadali softverske lance opskrbe na IT tvrtke, što je rezultiralo pristupom korisnicima niže u lancu. Jade Sleet je koristio GitHub repozitorije i npm pakete pretvorene u zlonamjerne u ciljanoj kampanji krađe identiteta društvenog inženjeringa koja je bila usmjerena na zaposlenike u organizacijama za kriptovalute i tehnologiju.20 Napadači su se lažno predstavljali kao projektanti ili osobe zadužene za zapošljavanje, pozivali mete na suradnju na GitHub repozitoriju i uvjeravali ih da kloniraju i izvršavaju sadržaj u kojem su se nalazili zlonamjerni npm paketi. Diamond Sleet je u kolovozu 2023. kompromitirao lanac opskrbe jednog IT poduzeća koje se nalazi u Njemačkoj i pretvorio u zlonamjernu aplikaciju IT poduzeća koje se nalazi na Tajvanu kako bi u studenome 2023. izvršio napad na lanac opskrbe. U listopadu 2023. Diamond Sleet i Onyx Sleet iskoristili su TeamCity CVE-2023- 42793 ranjivost, koja napadaču omogućava da provodi udaljeni napad izvršavanja koda i dobivanje administrativne kontrole nad poslužiteljem. Diamond Sleet je koristio ovu tehniku radi ugrožavanja stotina žrtava u raznim industrijama u Sjedinjenim Američkim Državama i europskim zemljama uključujući Ujedinjenu Kraljevinu, Dansku, Irsku i Njemačku. Onyx Sleet iskoristio je tu istu ranjivost kako bi ugrozio najmanje 10 žrtava – uključujući davatelja usluga softvera u Australiji i vladinu agenciju u Norveškoj – i iskoristio alate nakon ugrožavana radi izvršavanja dodatnih korisnih podataka.

Meta sjevernokorejskih kibernetičkih aktera bile su Sjedinjene Američke Države, Južna Koreja i njihovi saveznici

Sjevernokorejski zlonamjerni akteri i dalje za mete imaju države koje smatraju protivnicima nacionalne sigurnosti. Ova je kibernetička aktivnost pružila primjer sjevernokorejskog geopolitičkog cilja borbe protiv trilateralnog saveza između Ujedinjenih naroda, Južne Koreje i Japana. Vođe iz ovih triju zemalja učvrstili su ovo partnerstvo tijekom sastanka na vrhu u Camp Davidu u kolovozu 2023.21 Ruby Sleet i Onyx Sleet nastavili su svoje trendove u ciljanju organizacija za zrakoplovstvo i obranu u Sjedinjenim Američkim Državama i Južnoj Koreji. Emerald Sleet zadržao je svoju kampanju izvidnice i individualizirane krađe identiteta u kojima su mete diplomati i stručnjaci za korejski poluotok u vladama, istraživačkim centrima/nevladinim organizacijama, medijskom sektoru i obrazovanju. Pearl Sleet nastavio je svoje operacije u kojima su meta južnokorejski subjekti koji se angažiraju sa sjevernokorejskim dezerterima i aktivistima fokusirani na probleme sjevernokorejskih ljudskih prava u lipnju 2023. Microsoft procjenjuje da je motiv iza ovih aktivnosti prikupljanje obavještajnih podataka.

Sjevernokorejski akteri implementiraju programe za neovlašten ulazak u sustav u zakonit softver

Sjevernokorejski zlonamjerni akteri također su koristili programe za neovlašten ulazak u sustav u zakonitom softveru i tako iskorištavali ranjivosti u postojećem softveru. U prvoj polovici 2023. Diamond Sleet je redovito koristio VNC zlonamjerni softver kako bi kompromitirao žrtve. Diamond Sleet također je nastavio koristiti PDF čitač pretvoren u zlonamjerni u srpnju 2023., tehnike koje je Microsoftovo obavještavanje o prijetnjama analiziralo u rujnu 2022.22 Ruby Sleet je također vjerojatno iskoristio instalacijski program za neovlašten ulazak u sustav južnokorejskog programa za elektroničke dokumente u prosincu 2023.

Sjeverna Koreja koristila je AI alate za omogućivanje zlonamjernih kibernetičkih aktivnosti

Sjevernokorejski zlonamjerni akteri prilagođavaju se dobu AI-ja. Uče koristiti alate omogućene velikim jezičnim modelima (LLM) AI-ja kako bi njihove operacije bile učinkovitije i djelotvornije. Na primjer, Microsoft i OpenAI uočili su kako Emerald Sleet koristi LLM-ove radi povećanja kampanja individualizirane krađe identiteta u kojima su mete stručnjaci za korejski poluotok.23 Emerald Sleet je koristio LLM-ove radi istraživanja ranjivosti i provođenja izvidnica nad organizacijama i stručnjacima fokusiranim na Sjevernu Koreju. Emerald Sleet također je primijenio LLM-ove za pronalaženje i rješavanje tehničkih problema, provođenja osnovnih zadataka skriptiranja i izradu sadržaja za poruke u individualiziranoj krađi identiteta. Microsoft je sklopio partnerstvo s OpenAI-jem kako bi onemogućio račune i resurse povezane s grupom Emerald Sleet.

Kina će u listopadu obilježiti 75. godišnjicu od osnivanja Narodne republike Kine, a Sjeverna Koreja će nastaviti razvijati napredne programe naoružanja. U međuvremenu, kako stanovništvo u Indiji, Južnoj Koreji i Sjedinjenim Američkim Državama izlazi na izbore, vjerojatno ćemo vidjeti kineske kibernetičke aktere i aktere utjecaja, te u određenoj mjeri sjevernokorejske kibernetičke aktere, kako ove izbore postavljaju kao mete.

Kina će najmanje stvoriti i pojačati sadržaj generiran AI-jem, a koji će koristiti njihovim stajalištima u ovim visokoprofilnim izborima. Dok je utjecaj tog sadržaja u uvjeravanju korisnika i dalje nizak, Kina će i dalje povećavati eksperimentiranje u povećavanju memova, videozapisa i audio sadržaja – i kasnije se to može pokazati učinkovitim. Dok kineski kibernetički akteri već duže vremena provode izvidnicu nad američkim političkim institucijama, mi smo spremni vidjeti aktere utjecanja u interakciji s Amerikancima radi angažiranja te potencijalnog istraživanja perspektiva u vezi američke politike.

Konačno, kako Sjeverna Koreja donosi nove vladine politike i nastoji ostvariti ambiciozne planove za testiranje oružja, možemo očekivati sve sofisticiranije krađe kriptovaluta i napade na lance opskrbe usmjerene na sektor obrane, a koji služe za dovođenje novca režimu te omogućivanje razvoja novih vojnih sposobnosti.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 siječnja 2024., mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11 siječnja 2024., tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    „Vjerojatna PRC kampanja Spamouflage za metu ima desetke kanadskih zastupnika u parlamentu u kampanji dezinformiranja”, listopad 2023.

  8. [8]
  9. [9]

    Više izvora dokumentiralo je aktualnu kampanju propagande kineske vlade s ciljem izazivanja međunarodnog negodovanja u vezi odluke Japana o odlaganju nuklearnih otpadnih voda iz nuklearne nesreće 2011. iz Fukushime Daiichi, pogledajte: Kineske dezinformacije potiču ljutnju zbog otpuštanja voda iz Fukushime”, 31. kolovoza 2023.„Japan je meta kineske propagande i prikrivene kampanje na mreži”, 8. lipnja 2023.

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Operacije računalnog utjecaja Nacionalna država Državna izvješća Društveni inženjering Zlonamjerni akteri

Povezani članci

Digitalne prijetnje iz Istočne Azije rastu u širini i učinkovitošću

Detaljno istražite nove trendove u razvijajućem polju prijetnji u Istočnoj Aziji gdje Kina provodi širokorasprostranjene računalne operacije i operacije utjecaja (IO) dok sjevernokorejski zlonamjerni akteri pokazuju rastuću sofisticiranost.
Saznajte više

Profitiranje ekonomijom povjerenja: prijevare društvenim inženjeringom

Istražite razvijajući digitalni krajolik gdje je povjerenje i valuta i ranjivost. Otkrijte taktiku prijevare društvenim inženjeringom koju računalni napadači najviše primjenjuju i pregledajte strategije koje vam mogu pomoći u identifikaciji i nadmudrivanju prijetnji društvenim inženjeringom koje su dizajnirane za manipuliranje ljudskom prirodom.
Saznajte više

Iran intenzivira operacije utjecaja omogućene kibernetičkom tehnologijom kao podršku Hamasu

Otkrijte pojedinosti o iranskim operacijama utjecaja omogućenima kibernetičkom tehnologijom, kojima se podržava Hamas u Izraelu. Saznajte kako su operacije napredovale kroz različite faze rata i pogledajte četiri ključne taktike, tehnike i procedure utjecaja (TTP) koje Iran preferira.
Saznajte više

Pratite Microsoft Security