Trace Id is missing

Változatlan célok, új forgatókönyvek: A kelet-ázsiai fenyegető szereplők egyedi módszereket használnak

Letöltés
Megosztás
Absztrakt illusztráció egy tengeri hajóról, piros körökkel és fekete hálós elemekkel, rózsaszín alapon.

A Microsoft 2023 júniusa óta számos jelentős kiber- és befolyásolási tendenciát figyelt meg Kína és Észak-Korea részéről, amelyek nem csupán a már ismert célpontok megnövekedéséről tanúskodnak, hanem arról is, hogy céljaik elérése érdekében kifinomultabb befolyásolási technikákat próbálnak alkalmazni.

A kínai kiberszereplők az elmúlt hét hónapban alapvetően három célterületet jelöltek ki:

  • A kínai szereplők egyik csoportja jelentős mértékben vette célba a dél-csendes-óceáni szigetek entitásait.
  • A kínaiak egy másik tevékenysége tovább folytatta a regionális ellenfeleiket célzó kibertámadások sorozatát a Dél-kínai-tenger térségében.
  • Eközben a kínai szereplők egy harmadik csoportja az amerikai védelmi ipari bázist veszélyeztette.

Ahelyett, hogy célpontjaik földrajzi hatókörét bővítették volna, a kínai befolyásolási szereplők a technikáikat tökéletesítették, és új médiatartalmakkal kísérleteztek. A kínai befolyásolási kampányok az AI által generált vagy AI-val megerősített tartalmak finomítását folytatták. A kampányok hátterében álló befolyásolási szereplők bebizonyították, hogy egyrészt hajlandóak az olyan AI által generált médiát felerősíteni, amely előnyös a stratégiai narratívájuk számára, ugyanakkor saját videókat, mémeket és hanganyagokat is létrehozni. Ilyen taktikát alkalmaztak az Egyesült Államokban megosztottságot szító és az ázsiai és csendes-óceáni térségben – beleértve Tajvant, Japánt és Dél-Koreát is – a széthúzást megerősíteni hivatott kampányokban is. Ezek a kampányok különböző szintű eredményeket értek el anélkül, hogy lett volna egységes formula, amely a közönség következetes bevonzását eredményezte volna.

Az észak-koreai kiberszereplők az elmúlt évben a szoftverellátási láncot érő támadások egyre nagyobb számával és a kriptovaluta-rablásokkal kerültek a címlapokra. Míg a Koreai-félszigetet tanulmányozó kutatókat célzó stratégiai célzott adathalászati kampányok továbbra is állandó tendenciát mutattak, az észak-koreai fenyegető szereplők egyre nagyobb mértékben használtak legitim szoftvereket abból a célból, hogy még több áldozatot veszélyeztessenek.

A Gingham Typhoon kormányzati, informatikai és multinacionális szervezeteket támad a dél-csendes-óceáni szigeteken

2023 nyarán a Microsoft Veszélyforrás-intelligencia a kínai székhelyű Gingham Typhoon kémkedési csoport olyan kiterjedt tevékenységét figyelte meg, amely szinte minden dél-csendes-óceáni szigetországot célba vett. A Gingham Typhoon a régió legaktívabb szereplője, amely nemzetközi szervezeteket, kormányzati szerveket és az IT-szektort támadja komplex adathalászkampányokkal. Az áldozatok között voltak a kínai kormány hangos kritikusai is.

A Gingham Typhoon legutóbbi tevékenységének áldozatai közé tartoznak Kína diplomáciai szövetségesei, köztük a kormányzat vezető hivatalai, a kereskedelemmel kapcsolatos részlegek, az internetszolgáltatók, valamint egy közlekedési vállalat is.

Ezeknek a támadó kibertevékenységeknek a motivációja lehet a régióban tapasztalható fokozott geopolitikai és diplomáciai verseny. Kína stratégiai partnerségre törekszik a dél-csendes-óceáni szigetországokkal a gazdasági kapcsolatok bővítése, valamint diplomáciai és biztonsági egyezmények érdekében. A kínai kiberkémkedés ebben a régióban is figyelemmel kíséri a gazdasági partnereket.

A kínai szereplők például nagy mértékben célba vették a multinacionális szervezeteket Pápua Új-Guineában, amely régóta diplomáciai partner, és amely az Egy övezet, egy út program (Belt and Road Initiative, BRI) több projektjének haszonélvezője, beleértve egy jelentős autópálya építését, amely egy pápua új-guineai kormányzati épületet köt össze a főváros főútvonalával.1

A csendes-óceáni nemzetek körében észlelt kiberfenyegetéseket ábrázoló térkép, nagyobb körökkel
1. ábra: A Gingham Typhoon által 2023 júniusa és 2024 januárja között kiváltott, észlelt események. Ez a tevékenység folyamatosan a dél-csendes-óceáni szigetek nemzeteire fókuszál. A támadások nagy része folyamatosan zajlik egy ideje, ami a régióra vetülő évek óta tartó figyelmet jelzi. Az ábrán szereplő földrajzi helyek és átmérők ábrázolása reprezentatív.

A kínai fenyegető szereplők továbbra is a Dél-kínai-tengerre összpontosítanak a nyugati hadgyakorlatok idején

A kínai központú fenyegetések továbbra is Kína gazdasági és katonai érdekeltségeihez kapcsolódó szervezeteket vesznek célba a Dél-kínai-tengeren és környékén. Ezek a szereplők opportunista módon fertőzték meg a Délkelet-ázsiai Nemzetek Szövetségének (ASEAN) kormányzati és távközlési áldozatait. A kínai államhoz kötődő kiberszereplők különösen a régióban tartott számos amerikai hadgyakorlathoz kapcsolódó célpontok iránt mutattak érdeklődést. 2023 júniusában a Raspberry Typhoon, egy Kínában található, nemzetállami tevékenységet folytató csoport sikeresen fertőzött meg katonai és közigazgatási szerveket Indonéziában, valamint egy malajziai tengerészeti rendszert azt megelőzően, hogy Indonézia, Kína és az Egyesült Államok részvételével egy ritkán előforduló, többoldalú haditengerészeti gyakorlatot tartottak volna.

Egy másik kínai kiberszereplő, a Flax Typhoon hasonlóképpen vett célba az amerikai–fülöp-szigeteki hadgyakorlatokhoz kapcsolódó szervezeteket. Eközben a Granite Typhoon, egy másik kínai székhelyű fenyegető szereplő, elsősorban a régió telekommunikációs egységeit támadta ugyanekkor, amelynek áldozatai Indonéziában, Malajziában, a Fülöp-szigeteken, Kambodzsában és Tajvanon voltak találhatók.

A Microsoft Flax Typhoonról szóló bejegyzésének közzététele óta a Microsoft új Flax Typhoon-célpontokat figyelt meg a Fülöp-szigeteken, Hongkongban, Indiában és az Egyesült Államokban 2023 kora őszén és telén.2 Ez a szereplő gyakran támadja a távközlési ágazatot is, ami gyakran számos következménnyel jár.

A Microsoft Veszélyforrás-intelligencia adatait Ázsia legtöbb támadásnak kitett régióiban megjelenítő térkép.
2. ábra: A Dél-kínai tenger területén vagy akörül található országokat célzó, a Flax Typhoon, a Granite Typhoon, illetve a Raspberry Typhoon által kezdeményezett, észlelt események. Az ábrán szereplő földrajzi helyek és átmérők ábrázolása reprezentatív.

A Nylon Typhoon világszerte külügyi szervezeteket fertőz meg

A kínai székhelyű Nylon Typhoon fenyegető szereplő is folytatta régóta tartó gyakorlatát, amelynek során a világ különböző országainak külügyi szervezeteit vette célba. 2023 júniusa és decembere között a Microsoft megfigyelte, hogy a Nylon Typhoon Dél-Amerika kormányzati szerveit veszi célba többek között Brazíliában, Guatemalában, Costa Ricában és Peruban. A fenyegető szereplő Európában is megfigyelhető volt – Portugáliában, Franciaországban, Spanyolországban, Olaszországban és az Egyesült Királyságban támadott meg kormányzati szerveket. Noha az európai célpontok többsége kormányzati szervezet volt, néhány informatikai vállalatot is megfertőztek. Ezeknek a célpontoknak a kiválasztása a hírszerzés érdekében történik.

A kínai fenyegető csoport katonai egységeket és kritikus infrastruktúrát vesz célba az Egyesült Államokban

Végül a Storm-0062 aktivitása is megnőtt 2023 őszén és telén. Ennek a tevékenységnek nagy része az USA védelmi vonatkozású kormányzati szerveit fertőzte meg, beleértve azokat a vállalkozókat, amelyek műszaki mérnöki szolgáltatásokat nyújtanak az űrkutatás, a védelem és az USA nemzetbiztonsága szempontjából kritikus természeti erőforrások területén. A Storm-0062 emellett többször is célba vett katonai egységeket az Egyesült Államokban; nem világos azonban, hogy a csoport sikerrel járt-e a feltörési kísérleteiben.

Az amerikai védelmi ipari bázis továbbra is a Volt Typhoon célpontja. 2023 májusában a Microsoft az amerikai kritikus infrastruktúrát üzemeltető szervezetek elleni támadásokat a Volt Typhoon nevű, Kínában működő, államilag támogatott szereplőnek tulajdonította. A Volt Typhoon a legitim szoftverösszetevőket kihasználó (LOTL-) és kézi vezérléses helyszíni támadásokkal szerzett hozzáférést a szervezetek hálózataihoz.3 Ezek a taktikák lehetővé tették a Volt Typhoon számára, hogy észrevétlenül, tartsa fenn a célhálózatokhoz megszerzett jogosulatlan hozzáférését. 2023 júniusától 2023 decemberéig a Volt Typhoon folytatta a kritikus infrastruktúrát célzó támadásait, de az erőforrások fejlesztését is célul tűzte ki a kis irodai és otthoni irodai (SOHO) eszközök feltörésével az Egyesült Államok számos területén.

A 2023. szeptemberi jelentésünkben részletesen bemutattuk, hogy a kínai befolyásolási műveleteknél alkalmazott eszközök hogyan kezdték el használni a generatív AI-t elegáns, vonzó vizuális tartalmak létrehozására. A Microsoft Veszélyforrás-intelligencia a nyár folyamán mindvégig azonosított olyan AI által létrehozott mémeket, amelyek az Egyesült Államokat célozták meg, és amelyek ellentmondásos belpolitikai kérdéseket erősítettek fel, illetve kritizálták a jelenlegi kormányzatot. A Kínához kötődő befolyásolási szereplők az év során egyre nagyobb mértékben és gyakorisággal használták az AI-val feljavított és az AI által generált médiát (a továbbiakban: AI-tartalom) a befolyásolási kampányaikban.

Az AI fellendül (de a befolyásolásban sikertelen)

Az AI-tartalmat használó szereplők közül a legaktívabb a Storm-1376 – ahogy a Microsoft a Kínai Kommunista Párthoz (KKP) kapcsolódó, általában „Spamouflage” vagy „Dragonbridge” néven ismert szereplőt nevezi. Télen más, a KKP-hez kötődő szereplők is elkezdték az AI-tartalmakat szélesebb körben használni az online befolyásolási műveletek kiegészítésére. Ennek részeként jelentősen megnőtt a tajvani politikai személyiségeket bemutató tartalmak száma a január 13-i elnök- és parlamenti választások előtt. Ez volt az első alkalom, hogy a Microsoft Veszélyforrás-intelligencia azt tapasztalta, hogy egy nemzetállami szereplő mesterséges AI-tartalmat használ külföldi választások befolyásolására.

Mesterséges intelligenciával létrehozott hanganyag: A tajvani választások napján a Storm-1376 a Foxconn-tulajdonos Terry Gou, a tajvani elnökválasztás független párti jelöltjének gyaníthatóan mesterséges intelligencia által generált hangfelvételeit tette közzé, aki 2023 novemberében visszalépett a megmérettetéstől. A hangfelvételeken Gou hangja egy másik jelöltet támogatott az elnökválasztási versenyben. Gou hangját a felvételeken valószínűleg mesterséges intelligencia generálta, mivel Gou nem tett ilyen nyilatkozatot. A YouTube gyorsan intézkedett, mielőtt még a tartalom jelentős számú felhasználóhoz jutott volna el. Ezek a videók napokkal azután jelentek meg, hogy az interneten egy hamis levél keringett, amelyben Terry Gou ugyanezt a jelöltet támogatta. Tajvan vezető tényellenőrző szervezetei megcáfolták a levél valódiságát. Gou kampánystábja szintén úgy nyilatkozott, hogy a levél nem valódi, és hogy válaszul jogi lépéseket tesznek.4 Gou hivatalosan nem támogatta egyik elnökjelöltet sem a versenyben.
Egy pódiumon beszédet mondó öltönyös férfi, kínai szöveggel és egy hanghullámot ábrázoló grafikával az előtérben.
3. ábra: A Storm-1376 által közzétett videók Terry Gou mesterséges intelligenciával létrehozott hangfelvételeit használta fel arra, hogy úgy tüntesse fel, mintha Gou egy másik jelöltet támogatna.
Mesterséges intelligenciával létrehozott híradós műsorvezetők: A ByteDance kínai technológiai vállalat Capcut eszközének felhasználásával külső technológiai cégek által létrehozott, AI által generált híradós műsorvezetők jelentek meg a tajvani tisztviselőket bemutató különböző kampányokban,5 valamint a Mianmarral kapcsolatos üzenetekben. A Storm-1376 legalább 2023 februárja óta használ ilyen mesterséges intelligenciával létrehozott híradós műsorvezetőket,6 de az utóbbi hónapokban megnőtt az ilyen műsorvezetőket tartalmazó tartalmak mennyisége.
Kollázs egy katonai járműről
4. ábra: A Storm-1376 olyan videókat tett közzé mandarin és angol nyelven, amelyek azt állítják, hogy az Egyesült Államok és Indai felelős a mianmari békétlenségért. E videók egy részében ugyanazt a mesterséges intelligenciával létrehozott horgonyt használják.
Mesterséges intelligenciával feljavított videók: Amint azt a kanadai kormány és más kutatók nyilvánosságra hozták, a mesterséges intelligenciával feljavított videók egy Kanadában élő kínai ellenzéki képmását használták fel egy kanadai parlamenti képviselőket célzó kampányban.7 Ezek a videók, amelyek csupán egy részét tették ki annak a több platformon zajló kampánynak, amely kanadai politikusok zaklatását is magában foglalta a közösségi médiás fiókjaikon, hamisan úgy ábrázolták az ellenzékit, mint aki lázító megjegyzéseket tesz a kanadai kormányra vonatkozóan. Hasonló, mesterséges intelligenciával feljavított videókat használtak már korábban is az ellenzéki ellen.
Íróasztalnál ülő személy
5. ábra: AI-alapú, deepfake technológiával készült videók a vallásról méltatlan módon megnyilatkozó ellenzékiről. Habár a kanadai kampányban használtakhoz hasonló módszereket alkalmaznak, a videók a tartalmuk alapján nem hozhatók egymással összefüggésbe.
Mesterséges intelligenciával létrehozott mémek: A Storm-1376 decemberben AI által generált mémek egész sorát népszerűsítette a tajvani Demokratikus Progresszív Párt (DPP) akkori elnökjelöltjéről, William Lairól egy visszaszámlálás jellegű üzenettel, amely szerint „X nap” van még hátra a DPP hatalomból való eltávolításáig.
Két, egymás melletti kép grafikus ábrázolása, amelyek egyikén egy piros színű x-szel megjelölt alak, a másikon pedig ugyanannak az alaknak a jelöletlen változata látható.
6. ábra: Mesterséges intelligenciával létrehozott mémek azzal vádolják a DPP elnökjelöltjét, William Lai-t, hogy pénzt sikkasztott Tajvan progresszív infrastruktúra-fejlesztési programjából. Ezek a mémek egyszerűsített (a Kínai Népköztársaságban használt, de Tajvanon nem alkalmazott) karaktereket tartalmaztak, és egy olyan sorozat részét képezték, amely napi visszaszámlálással igyekezett elmozdítani a DPP-t a hatalomból.
Idővonalat ábrázoló infografika, amely azt mutatja, milyen hatása volt a mesterséges intelligencia által generált tartalmaknak a tajvani választásokra 2023 decembere és 2024 januárja között.
7. ábra: A 2024. januári tajvani parlamenti és elnökválasztás előtti időszakban megjelent, mesterséges intelligencia által generált és mesterséges intelligencia által feljavított tartalmak idővonalon ábrázolva. A Storm-1376 számos ilyen tartalmat felerősítve jelenített meg, és felelős volt tartalmak létrehozásáért két kampányban.

A Storm-1376 továbbra is reaktív üzeneteket küld, esetenként konspirációs narratívákkal

A Storm-1376 olyan szereplő, amelynek befolyásolási műveletei több mint 175 weboldalra és 58 nyelvre terjednek ki, és továbbra is gyakran szervez reaktív üzenetküldő kampányokat a jelentős geopolitikai események kapcsán, különösen olyanokat, amelyek kedvezőtlen színben tüntetik fel az Egyesült Államokat, vagy előmozdítják a KKP érdekeit az Ázsia és a Csendes-óceáni térségben. A legutóbbi, 2023. szeptemberi jelentésünk óta ezek a kampányok több szempontból is fejlődtek, többek között mesterséges intelligencia által generált fotókat használnak a célközönség megtévesztésére, konspirációs tartalmakat terjesztenek – különösen az amerikai kormány ellen –, és új célcsoportokat, például Dél-Korea lakosságát célozzák meg lokalizált tartalmakkal.

1. Állításuk szerint az amerikai kormány „időjárási fegyvere” okozta a hawaii erdőtüzeket

2023 augusztusában, amikor a hawaii Maui északnyugati partvidékén pusztító erdőtüzek voltak, a Storm-1376 megragadta az alkalmat, hogy konspirációs narratívákat terjesszen több közösségi médiás platformon. Ezek a bejegyzések azt állították, hogy az amerikai kormány szándékosan gyújtotta a tüzeket, hogy egy katonai „időjárási fegyvert” teszteljen. Amellett, hogy a Storm-1376 legalább 31 nyelven tette közzé a szöveget több tucat weboldalon és platformon, mesterséges intelligencia által generált képeket használt égő tengerparti utakról és lakóházakról, hogy a tartalom még inkább felkeltse az érdeklődést.8

Kompozit kép drámai tüzeket ábrázoló jelenetekről, „hamis” bélyegzővel jelölve.
8. ábra: A Storm-1376 már néhány nappal az erdőtüzek kitörése után konspirációs tartalmakat tett közzé, amelyekben azt állította, hogy a tüzeket az USA kormányzata okozta egy „meteorológiai fegyver” tesztelésével. Ezeket a bejegyzéseket gyakran mesterséges intelligencia által generált, masszív tüzeket ábrázoló fényképek kísérték.

2. A Japán nukleárisszennyvíz-ártalmatlanítása miatti felháborodás felerősítése

A Storm-1376 nagyszabású, agresszív üzenetküldő kampányt indított a japán kormányt kritizálva, miután Japán 2023. augusztus 24-én elkezdte a Csendes-óceánba engedni a kezelt radioaktív szennyvizet.9 A Storm-1376 tartalma kétségbe vonta a Nemzetközi Atomenergia-ügynökség (NAÜ) tudományos értékelését, amely szerint az ártalmatlanítás biztonságos volt. A Storm-1376 a közösségi médiás platformokon számos nyelven, többek között japánul, koreaiul és angolul küldött üzeneteket. Egyes tartalmak még azzal is megvádolták az Egyesült Államokat, hogy szándékosan mérgez más országokat, hogy fenntartsa a „vízhegemóniáját”. A kampányban használt tartalom az AI által létrehozott tartalomra jellemző jegyeket mutatott.

Egyes esetekben a Storm-1376 újrahasznosította a kínai propaganda-ökoszisztéma más szereplői, köztük a kínai állami médiához kapcsolódó közösségi médiás véleményvezérek által használt tartalmakat.10 A Storm-1376-hoz tartozó véleményvezérek és források három azonos videót töltöttek fel, amelyekben a fukusimai szennyvízkibocsátást bírálták. Az ilyen esetek, amikor különböző szereplők azonos tartalmat használó, láthatóan egymás után érkező bejegyzések jelennek meg – ami az üzenetküldés koordinációjára vagy irányítására utalhat –, 2023-ban egyre gyakoribbak voltak.

Kompozit kép, amelyen emberek szatirikus illusztrációja, egy Godzilláról szóló videó képernyőképe és egy közösségimédia-bejegyzés látható
9. ábra: A szennyezett fukusimai víz tengerbe engedését bíráló, mesterséges intelligencia által generált mémek és képek leplezett kínai befolyásolási szereplőktől (balra) és kínai kormányzati tisztviselőktől (középen). Az állami tulajdonban lévő kínai médiához kötődő influenszerek is felerősítették a kormányzati állásponthoz igazodó üzeneteket, amelyek bírálták a víz tengerbe engedését (jobbra).

3. Viszály szítása Dél-Koreában

A fukusimai szennyvízelhelyezéssel összefüggésben a Storm-1376 összehangoltan igyekezett Dél-Koreát megcélozni olyan lokalizált tartalmakkal, amelyek az országban zajló, a szennyvíz elhelyezése elleni tiltakozásokat, valamint a japán kormányt kritizáló tartalmakat erősítették fel. A kampány több száz koreai nyelvű bejegyzést foglalt magában több platformon és weboldalon, köztük olyan dél-koreai közösségi oldalakon, mint a Kakao Story, a Tistory és a Velog.io.11

E célzott kampány részeként a Storm-1376 intenzíven erősítette a Minjoo vezetőjének és 2022-es sikertelen elnökjelöltjének, Lee Jaemyungnak (이재명, 李在明) a hozzászólásait és fellépéseit. Lee kritizálta Japán lépését, amelyet „szennyezettvíz-terrornak” és „második csendes-óceáni háborúnak” nevezett. Azzal is vádolta Dél-Korea jelenlegi kormányát, hogy "cinkosként támogatja" Japán döntését, és tiltakozásul éhségsztrájkot kezdeményezett, amely 24 napig tartott.12

Négy panelből álló képregény, amely a környezetszennyezéssel és annak a tengeri élővilágra gyakorolt hatásával foglalkozik.
10. ábra: A dél-koreai Tistory blogplatformról származó, koreai nyelvű mémek felerősítik a szennyezett fukusimai víz tengerbe engedésével kapcsolatos elégedetlen hangokat.

4. Kisiklás Kentuckyban

2023 novemberében, a hálaadás ünnepén a Kentucky állambeli Rockcastle megyében kisiklott egy folyékony ként szállító vonat. Körülbelül egy héttel a vonat kisiklása után a Storm-1376 közösségi médiás kampányt indított, amely felerősítette a kisiklást, összeesküvés-elméleteket terjesztett az amerikai kormány ellen, és az amerikai szavazók politikai megosztottságát erősítette, végül pedig bizalmatlanságot és kiábrándultságot keltett az amerikai kormány iránt. A Storm-1376 arra buzdította a célközönséget, hogy gondolkodjanak el azon, vajon az amerikai kormány okozhatta-e a kisiklást, és „szándékosan eltitkol-e valamit”.13 Egyes üzenetek egyenesen a 9/11 és Pearl Harbor eltussolására vonatkozó elméletekhez hasonlították a kisiklást.14

A kínai befolyásolási műveletekhez használt zoknibábok az amerikai politikai témákra helyezik a hangsúlyt

A 2023. szeptemberi jelentésünkben rámutattunk arra, hogy a KKP-hez kapcsolódó közösségi médiás fiókok hogyan kezdték el magukat amerikai szavazóknak beállítani, és amerikaiaknak adva ki magukat a politikai spektrum minden szegmensét képviselve reagáltak a valódi felhasználók hozzászólásaira.15 A 2022-es amerikai félidős választások befolyásolására tett erőfeszítések jelentették a megfigyelt kínai befolyásolási műveletek első szakaszát.

A Microsoft Fenyegetéselemzési Központ (MTAC) megfigyelte, hogy kis mértékben, de folyamatosan növekszik a zoknibábfiókok száma, amelyekről közepes bizonyossággal állítjuk, hogy a KKP működteti őket. Az X-en (korábban Twitter) ezeket a fiókokat már 2012-ben vagy 2013-ban létrehozták, de csak 2023 elején kezdtek el bejegyzéseket közzétenni a jelenlegi személyiségük alatt – ami arra utal, hogy a fiókokat nemrégiben vásárolták meg, vagy újrahasznosították őket. Ezek a zoknibábok mind önállóan készített videókat, mémeket és infografikákat, mind pedig más, kiemelt jelentőségű politikai fiókok újrahasznosított tartalmait közzéteszik. Ezek a fiókok szinte kizárólag amerikai belpolitikai témákról tesznek közzé bejegyzéseket – az amerikai droghasználattól kezdve a bevándorlási politikán át a faji feszültségekig –, de időnként a Kínát érdeklő témákról – például a fukusimai szennyvízelhelyezésről vagy a kínai ellenzékiekről – is írnak hozzászólásokat.

Képernyőkép egy számítógépről, amelyen háborúra és konfliktusokra, kábítószerrel kapcsolatos problémákra, faji viszonyokra és egyebekre utaló szövegek láthatók.
11. ábra: A nyár és az ősz folyamán kínai bábfelhasználók és személyek gyakran használtak megnyerő – néha generatív AI használatával feljavított – vizuális elemeket a bejegyzéseikben, amikor USA-beli politikai kérdésekről és aktuális eseményekről írtak.
A politikailag motivált infografikák vagy videók közzététele mellett ezek a fiókok gyakran meg is kérdezik követőiket, hogy egyetértenek-e az adott témával. Néhány ilyen fiók különböző elnökjelöltekről írt, majd arra kérte követőit, hogy írják meg hozzászólásban, hogy támogatják-e őket vagy sem. Ennek a taktikának célja lehet a további elköteleződés elősegítése, vagy esetleg betekintést nyerni abba, hogy az amerikaiak hogyan vélekednek az amerikai politikáról. Több ilyen fiók is működhet azzal a céllal, hogy fokozza a hírszerzést az Egyesült Államok kulcsfontosságú szavazói demográfiai csoportjairól.
Képek összehasonlítása osztott képernyőn: a bal oldali képen egy katonai repülőgép száll fel egy repülőgép-hordozóról, a jobb oldalin pedig egy sorompó mögött ülő embercsoport látható
12. ábra: Kínai zoknibábok véleményt kérnek politikai témákkal kapcsolatban más felhasználóktól az X-en

Az észak-koreai kiberfenyegető szereplők több százmillió dollárnyi kriptovalutát loptak el, szoftverellátási láncok elleni támadásokat hajtottak végre, és a vélt nemzetbiztonsági ellenfeleiket vették célba 2023-ban. Műveleteik bevételt termelnek az észak-koreai kormány számára – különösen annak fegyverprogramja számára –, és hírszerzési információkat gyűjtenek az Egyesült Államokról, Dél-Koreáról és Japánról.16

Infografika a kiberfenyegetések által leginkább célba vett szektorokról és országokról.
13. ábra: Az Észak-Korea által 2023 júniusa és 2024 januárja között leginkább célba vett szektorok és országok a Microsoft Veszélyforrás-intelligencia nemzetállamokra vonatkozó értesítési adatai alapján.

Észak-koreai kiberszereplők rekordmennyiségű kriptovalutát zsákmányolnak, hogy bevételt termeljenek az államnak.

Az ENSZ becslése szerint az észak-koreai kiberszereplők 2017 óta több mint 3 milliárd dollárnyi kriptovalutát loptak el.17 Csak 2023-ban 600 millió USD és 1 milliárd USD közötti összegű rablások történtek. A jelentések szerint ezekből az ellopott pénzeszközökből finanszírozzák az ország nukleáris és rakétaprogramjának több mint felét, lehetővé téve Észak-Korea számára a fegyverek nagy mennyiségének birtoklását és tesztelését a szankciók ellenére is.18 Észak-Korea az elmúlt évben számos rakétakísérletet és hadgyakorlatot hajtott végre, sőt 2023. november 21-én egy katonai felderítő műholdat is sikeresen felbocsátott az űrbe.19

2023 júniusa óta a Microsoft által nyomon követett három fenyegető szereplő – a Jade Sleet, a Sapphire Sleet és a Citrine Sleet – a leginkább a kriptovalutával kapcsolatos célpontokra összpontosított. A Jade Sleet jelentős kriptovaluta-rablásokat hajtott végre, míg a Sapphire Sleet kisebb, de annál gyakoribb kriptovaluta-lopási műveleteket. A Microsoft a Jade Sleetet tette felelőssé azért, hogy 2023. június elején legalább 35 millió dollárt lopott el egy észtországi székhelyű, kriptovalutával foglalkozó cégtől. A Microsoft ugyancsak a Jade Sleetnek tulajdonította azt is, hogy egy hónappal később egy szingapúri kriptovaluta-platformról több mint 125 millió USD-t raboltak el. A Jade Sleet 2023 augusztusában kezdte meg az online kriptovaluta-kaszinók feltörését.

A Sapphire Sleet folyamatosan számos alkalmazottat támadott meg, köztük kriptovaluta-, kockázatitőke- és más pénzügyi szervezetek vezetőit és fejlesztőit. A Sapphire Sleet új technikákat is kifejlesztett, például virtuális találkozókra szóló hamis meghívókat küldött, amelyek egy támadó tartományra mutató linkeket tartalmaztak, és hamis álláskereső weboldalakat regisztrált. A Citrine Sleet a 2023. márciusi 3CX ellátási lánc elleni támadást követően egy törökországi székhelyű, kriptovalutával és digitális eszközökkel foglalkozó céget támadott meg. Az áldozat a 3CX alkalmazás sebezhető verzióját üzemeltette, amely az ellátási lánc feltöréséhez kapcsolódott.

Az észak-koreai kiberszereplők célzott adathalászattal és a szoftverellátási láncot célzó támadásokkal fenyegetik az IT-szektort

Az észak-koreai fenyegető szereplők szoftverellátási láncot érintő támadásokat is folytattak informatikai cégek ellen, amelynek eredményeképpen hozzáférhettek a kapcsolódó ügyfelek adataihoz. A Jade Sleet GitHub-adattárakat használt fel és fegyverként alkalmazott npm-csomagokat egy olyan pszichológiai manipulációs célzott adathalászati kampányban, amely kriptovalutával foglalkozó és technológiai szervezetek alkalmazottait célozta meg.20 A támadók fejlesztőknek vagy toborzóknak adták ki magukat, és a célszemélyeket egy GitHub-adattárban való együttműködésre hívták meg, majd meggyőzték őket, hogy klónozzák és futtassák le annak tartalmát, amely rosszindulatú npm-csomagokat tartalmazott. A Diamond Sleet 2023 augusztusában egy németországi székhelyű informatikai vállalat ellátási láncát fertőzte meg, 2023 novemberében pedig egy tajvani székhelyű informatikai cég alkalmazását használta fel egy ellátási láncot érintő támadás végrehajtásához. 2023 októberében mind a Diamond Sleet, mind az Onyx Sleet a TeamCity CVE-2023- 42793 sebezhetőségét használta ki, amely lehetővé teszi a támadó számára, hogy távoli kódfuttatási támadást hajtson végre, és rendszergazdai irányítást szerezzen a kiszolgáló felett. A Diamond Sleet ezzel a technikával több száz áldozatot fertőzött meg különböző iparágakban az Egyesült Államokban és európai országokban, köztük az Egyesült Királyságban, Dániában, Írországban és Németországban. Az Onyx Sleet ugyanezt a sebezhetőséget kihasználva legalább 10 áldozatot – köztük egy ausztráliai szoftverszolgáltatót és egy norvég kormányhivatalt – fertőzött meg, és az incidens utáni eszközökkel további kártékony kódokat futtatott.

Észak-koreai kiberszereplők az Egyesült Államokat, Dél-Koreát és szövetségeseiket vették célba

Az észak-koreai fenyegető szereplők továbbra is a nemzetbiztonsági ellenfeleiket vették célba. Ez a kibertevékenység rámutatott Észak-Korea geopolitikai céljára, azaz az Egyesült Államok, Dél-Korea és Japán háromoldalú szövetségének aláásására. A három ország vezetői ezt a partnerkapcsolatot a 2023. augusztusi Camp David-i csúcstalálkozón szilárdították meg.21 A Ruby Sleet és az Onyx Sleet folytatta az Egyesült Államok és Dél-Korea légi- és űrkutatási és védelmi szervezeteit célzó tevékenységét. Az Emerald Sleet folytatta felderítő és célzott adathalászati kampányát, amelynek célpontjai diplomaták és a Koreai-félsziget szakértői voltak a kormányzatban, a szellemi műhelyekben és a civil szervezetekben, a médiában és az oktatásban. A Pearl Sleet 2023 júniusában folytatta az észak-koreai disszidensekkel és észak-koreai emberi jogi kérdésekre összpontosító aktivistákkal kapcsolatban álló dél-koreai szervezeteket célzó tevékenységeit. A Microsoft úgy véli, hogy e tevékenységek célja a hírszerzés.

Az észak-koreai szereplők backdoor programokat építenek be a legitim szoftverekbe

Az észak-koreai fenyegető szereplők a legitim szoftverekbe épített backdoor programokat is használtak, kihasználva a meglévő szoftverek sebezhetőségeit. 2023 első felében a Diamond Sleet gyakran használta fegyverként a VNC kártevőt az áldozatok megfertőzésére. A Diamond Sleet 2023 júliusában újra bevetette fegyverként a PDF-olvasó kártevőit is. Ezt a technikát a Microsoft Veszélyforrás-intelligencia 2022 szeptemberében egy blogbejegyzésben elemezte.22 A Ruby Sleet 2023 decemberében valószínűleg egy elektronikus dokumentumokat kezelő dél-koreai program backdoor-telepítőjét is felhasználta.

Észak-Korea AI-eszközöket használt rosszindulatú kibertevékenységekhez

Az észak-koreai fenyegető szereplők alkalmazkodnak a mesterséges intelligencia korához. Megtanulják használni az AI nagy nyelvi modelljei (LLM) által működtetett eszközöket, hogy hatékonyabbá és eredményesebbé tegyék műveleteiket. A Microsoft és az OpenAI például megfigyelte, hogy az Emerald Sleet nagy nyelvi modelleket használ a Koreai-félsziget szakértőit célzó célzott adathalászati kampányainak fokozására.23 Az Emerald Sleet nagy nyelvi modelleket használt a sebezhetőségek kutatására és az Észak-Koreával foglalkozó szervezetek és szakértők felderítésére. Az Emerald Sleet a nagy nyelvi modelleket arra is alkalmazta, hogy műszaki problémákat oldjanak meg, alapvető szkriptelési feladatokat végezzenek, és tartalmakat fogalmazzanak meg a célzott adathalászati üzeneteikhez. A Microsoft az OpenAI-val együttműködve letiltotta az Emerald Sleethez kapcsolódó fiókokat és eszközöket.

Kína októberben ünnepli a Kínai Népköztársaság megalapításának 75. évfordulóját, Észak-Korea pedig továbbra is folytatja kulcsfontosságú, modern fegyverekre vonatkozó programjait. Mindeközben amint Indiában, Dél-Koreában és az Egyesült Államokban a lakosság az urnákhoz járul, valószínűleg azt fogjuk tapasztalni, hogy a kínai kiber- és befolyásolási szereplők, és bizonyos mértékig az észak-koreai kiberszereplők is arra törekednek majd, hogy célba vegyék ezeket a választásokat.

Kína a legenyhébb esetben is olyan mesterséges intelligenciával létrehozott tartalmakat fog létrehozni és felerősíteni, amelyek előnyösek a saját álláspontjuk szempontjából ezeken a nagy horderejű választásokon. Bár az ilyen tartalmak hatása a célközönség befolyásolását tekintve továbbra is csekély, Kína egyre több kísérletet tesz a mémek, videók és hanganyagok kibővítésére, és ez a jövőben is folytatódni fog – és a későbbiekben akár eredményesnek is bizonyulhat. Bár a kínai kiberszereplők már régóta végeznek felderítést az amerikai politikai intézményekről, arra számítunk, hogy a befolyásolási szereplők interakcióba lépnek majd az amerikaiakkal, hogy megerősítsék a befolyásukat, és esetleg az amerikai politikával kapcsolatos perspektívákat kutassák.

Végezetül, ahogy Észak-Korea új kormányzati politikát alakít ki és ambiciózus fegyverkísérleti tervei vannak, egyre kifinomultabb kriptovaluta-rablásokra és a védelmi ágazatot érintő, az ellátási láncot célzó támadásokra számíthatunk, amelyek egyrészt a rezsim számára biztosítanak pénzügyi forrásokat, másrészt elősegítik az új katonai képességeik kifejlesztését.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 2024. január 1., mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 2024. január 11. tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    „A valószínűsíthetően a KNK-hoz kapcsolódó Spamouflage kampány több tucat kanadai parlamenti képviselőt vesz célba dezinformációs kampányban”, 2023. október,

  8. [8]
  9. [9]

    Több forrás is dokumentálta a kínai kormány folyamatos propagandakampányát, melynek célja, hogy nemzetközi felháborodást keltsen Japán azon döntése miatt, hogy ártalmatlanítja a 2011-es fukusimai daiicsi nukleáris balesetből származó nukleáris szennyvizet, lásd: Kína dezinformációs kampánya indulatokat szít a fukusimai vízkibocsátás miatt”, 2023. augusztus 31.„Japán a kínai propaganda és a titkos online kampány célpontja”, 2023. június 8.

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Kiberbefolyásolási műveletek Nemzetállam Nemzetállamokkal kapcsolatos jelentések Pszichológiai manipuláció Fenyegető szereplők

Kapcsolódó cikkek

A kelet-ázsiai digitális fenyegetettség még kiterjedtebbé és hatékonyabbá vált

Ismerje meg a kelet-ázsiai veszélyforrások újonnan kialakuló trendjeit. Kína széles körben indít kiber- és befolyásolási műveleteket (IO), miközben Észak-Korea kiberbűnözői egyre összetettebb módszerekkel támadnak.
További információ

A bizalmi gazdaság kihasználása: pszichológiai manipulációs csalás

Megismerheti azt a változó digitális környezetet, ahol a bizalom egyszerre számít értéknek és sebezhetőségnek. Ismerje meg a kibertámadók által leggyakrabban alkalmazott pszichológiai manipulációs csalási taktikákat, és tekintse át azokat a stratégiákat, amelyek segítségével felismerheti és kicselezheti az emberi természet manipulálását célzó pszichológiai manipulációs fenyegetéseket.
További információ

Irán fokozza a kiberalapú befolyásolási műveleteket a Hamász támogatására

Ismerje meg Irán kiberalapú befolyásolási műveleteit, amelyekkel a Hamászt támogatja Izraelben. Megtudhatja, hogyan alakultak a műveletek a háború különböző fázisaiban, és részletesen megismerheti az Irán által leginkább kedvelt négy kulcsfontosságú befolyásolási taktikát, technikát és eljárást (az úgynevezett TTP-ket – az angol „tactics, techniques, procedures” kifejezés betűszava).
További információ

A Microsoft Biztonság követése