Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Rosyjskie źródła zagrożeń okopują się i przygotowują do wykorzystania zmęczenia wojną

Pobierz
Udostępnij
Operacje wywierania cyberwpływu
Wprowadzenie
Prowadzący rosyjskie cyberdziałania i operacje wywierania wpływu w trakcie całej wojny z Ukrainą wykazują się zdolnościami adaptacji, próbując nowych sposobów zdobycia przewagi na polu bitwy i osłabienia źródeł wsparcia wewnętrznego i zewnętrznego Kijowa. W tym raporcie przedstawiono szczegóły cyberzagrożeń i szkodliwych działań, które firma Microsoft zaobserwowała w okresie od marca do października 2023 r. W tym okresie ukraińscy żołnierze i ludność cywilna ponownie znaleźli się na celowniku, a jednocześnie wzrosło ryzyko wtargnięć i manipulacji dotyczące podmiotów na całym świecie pomagających Ukrainie i zmotywowanych do pociągnięcia sił rosyjskich do odpowiedzialności za zbrodnie wojenne.

Fazy rosyjskiej ​​wojny w Ukrainie od stycznia 2022 r. do czerwca 2023 r.

Diagram przedstawiający fazy rosyjskiej wojny w Ukrainie
Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 3

Działania generujące zagrożenia zaobserwowane przez firmę Microsoft w okresie od marca do października odzwierciedlały połączone operacje mające na celu zdemoralizowanie ukraińskiego społeczeństwa i zwiększony nacisk na cyberszpiegostwo. Rosyjskie źródła zagrożeń, wojskowe, cybernetyczne i propagandowe, kierowały skoordynowane ataki na ukraiński sektor rolnictwa — cel należący do infrastruktury cywilnej — w obliczu światowego kryzysu zbożowego. Źródła cyberzagrożeń powiązane z rosyjskim wywiadem wojskowym (GRU) angażowały się w operacje cyberszpiegowskie przeciwko armii ukraińskiej i jej zagranicznym liniom zaopatrzenia. Ponieważ społeczność międzynarodowa dążyła do nałożenia kar za zbrodnie wojenne, grupy powiązane z rosyjską Służbą Wywiadu Zagranicznego (SVR) i Federalną Służbą Bezpieczeństwa (FSB) atakowały śledczych badających zbrodnie wojenne na Ukrainie i poza jej granicami.

Jeśli chodzi o wywieranie wpływu, krótki bunt w czerwcu 2023 roku i późniejsza śmierć Jewgienija Prigożyna, właściciela Grupy Wagnera i niesławnej farmy trolli znanej jako Agencja Badań Internetowych, doprowadziły do pytań o przyszłość możliwości Rosji w zakresie wywierania wpływu. Przez całe lato firma Microsoft obserwowała szeroko zakrojone działania organizacji niezwiązanych z Prigożynem, ilustrujące przyszłość Rosji w zakresie prowadzenia kampanii wywierania szkodliwego wpływu bez jego udziału.

Zespoły Centrum analizy zagrożeń Microsoft i Reagowanie na Zdarzenia informują dotkniętych tymi problemami klientów i partnerów z sektora administracji publicznej oraz współpracują z nimi w celu ograniczenia skutków działań generujących zagrożenia opisane w tym raporcie.

W zakresie wyrządzania szkód na Ukrainie siły rosyjskie w większym stopniu polegają na broni konwencjonalnej, ale operacje cybernetyczne i wywierania wpływu pozostają naglącym zagrożeniem dla bezpieczeństwa sieci komputerowych i życia społecznego w krajach sojuszników Ukrainy w regionie, w NATO i na całym świecie. Oprócz aktualizowania naszych produktów zabezpieczających, aby proaktywnie chronić naszych klientów na całym świecie, udostępniamy te informacje, aby zachęcić do zachowania ciągłej czujności wobec zagrożeń dla integralności globalnej przestrzeni informacyjnej.

Tego lata rosyjskie siły wojskowe, cybernetyczne i propagandowe połączyły działania skierowane przeciwko ukraińskiemu sektorowi rolnictwa. Ataki wojskowe zniszczyły ilość zboża pozwalającą wykarmić ponad milion ludzi przez rok, podczas gdy prorosyjskie media forsowały narracje uzasadniające te ataki mimo ich kosztów humanitarnych.1

Od czerwca do września Centrum analizy zagrożeń Microsoft zaobserwowało penetrację sieci, eksfiltrację danych, a nawet wdrażanie niszczycielskiego złośliwego oprogramowania przeciwko organizacjom powiązanym z ukraińskim przemysłem rolnym i infrastrukturą obsługującą transport zboża. W czerwcu i lipcu grupa Aqua Blizzard (dawniej ACTINIUM) wykradła dane firmy zajmującej się wydajnością upraw. Grupa Seashell Blizzard (dawniej IRIDIUM) wykorzystywała warianty prymitywnego niszczycielskiego złośliwego oprogramowania wykrywanego przez firmę Microsoft jako WalnutWipe/SharpWipe przeciwko sieciom organizacji z sektora spożywczego/rolnego2

Zestawienie rosyjskich cyfrowych działań propagandowych skierowanych przeciwko ukraińskiemu rolnictwu

Przedstawienie rosyjskich cyfrowych działań propagandowych skierowanych przeciwko ukraińskiemu rolnictwu
Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 4

W lipcu Moskwa wycofała się z czarnomorskiej inicjatywy zbożowej, inicjatywy humanitarnej, która w pierwszym roku jej trwania pomogła zażegnać światowy kryzys żywnościowy i umożliwiła transport ponad 725 000 ton pszenicy do ludności w Afganistanie, Etiopii, Kenii, Somalii i Jemenie.3 Po tej akcji Moskwy prorosyjskie media i kanały na komunikatorze Telegram przystąpiły do oczerniania inicjatywy zbożowej i uzasadniania decyzji Moskwy. Źródła propagandy przedstawiały korytarz zbożowy jako przykrywkę dla handlu narkotykami lub jako kanał tajnego przekazywania broni, aby zbagatelizować humanitarne znaczenie tej umowy.

W kilku raportach w 2023 roku podkreślaliśmy, jak grupy autentycznych haktywistów lub pseudohaktywistów podejrzane o powiązania z GRU działały na rzecz nagłośnienia niezadowolenia Moskwy z postaw przeciwników i wyolbrzymienia liczebności prorosyjskich sił cybernetycznych.4 5 6 Tego lata zaobserwowaliśmy też rozpowszechnianie na komunikatorze Telegram przez sylwetki związane z haktywistami przekazów próbujących usprawiedliwiać ataki wojskowe na infrastrukturę cywilną w Ukrainie oraz skoncentrowane ataki typu „rozproszona odmowa usługi” (DDoS) przeciwko sojusznikom Ukrainy za granicą. Ciągłe monitorowanie przez firmę Microsoft powiązań grup haktywistów z państwowymi grupami hakerskimi zapewnia dodatkowe szczegółowe informacje na temat tempa operacyjnego obu typów grup i sposobu, w jaki ich działania się uzupełniają.

Do chwili obecnej zidentyfikowaliśmy trzy grupy — Solntsepek, InfoCentr i Cyber ​​Army of Russia — które wchodzą w interakcję z grupą Seashell Blizzard. Na podstawie tymczasowych skoków cybermożliwości zbiegających się z atakami grupy Seashell Blizzard można wnioskować, że relacje grupy Seashell Blizzard z grupami haktywistów mają raczej charakter krótkoterminowego wykorzystania niż kontroli. Co jakiś czas grupa Seashell Blizzard przeprowadza niszczycielski atak, do którego publicznie przyznają się grupy haktywistów na komunikatorze Telegram. Następnie haktywiści wracają do zwykle prowadzonych przez siebie działań o małej złożoności, w tym do ataków DDoS lub generowania wycieków ukraińskich danych osobowych. Ta sieć ma elastyczną infrastrukturę, którą to zaawansowane stałe zagrożenie może wykorzystywać do promowania swojej działalności.

Cyferblat ilustrujący prorosyjski haktywizm

Diagram z cyferblatem ilustrującym prorosyjski haktywizm
Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 5

Siły rosyjskie nie tylko prowadzą działania potencjalnie sprzeczne z prawem międzynarodowym, ale też biorą na cel śledczych kryminalnych i prokuratorów prowadzących przeciwko nim sprawy.

Z danych telemetrycznych firmy Microsoft wynika, że ​​wiosną i latem tego roku źródła zagrożeń powiązane z rosyjskimi agencjami wojskowymi i agencjami wywiadu zagranicznego atakowały i naruszały ukraińskie sieci organizacji prawnych i śledczych, a także sieci organizacji międzynarodowych zaangażowanych w dochodzenia dotyczące zbrodni wojennych.

Te operacje cybernetyczne prowadzono w obliczu rosnących napięć między Moskwą a grupami takimi jak Międzynarodowy Trybunał Karny (MTK), który w marcu wydał nakaz aresztowania prezydenta Rosji Putina pod zarzutem zbrodni wojennych.7

W kwietniu powiązana z GRU grupa Seashell Blizzard włamała się do sieci kancelarii prawnej zajmującej się sprawami zbrodni wojennych. W lipcu grupa Aqua Blizzard, uznawana za podmiot FSB, włamała się do sieci wewnętrznej ważnego organu śledczego w Ukrainie, a następnie we wrześniu wykorzystała przejęte w ramach tego ataku konta do wysyłania wiadomości e-mail mających wyłudzić informacje do kilku ukraińskich firm telekomunikacyjnych.

W czerwcu i lipcu grupa Midnight Blizzard (dawniej NOBELIUM), źródło zagrożeń związane z SVR, naruszyła dokumenty organizacji prawnej o zasięgu globalnym i uzyskała do nich dostęp, zanim zespół Reagowanie na Zdarzenia Microsoft interweniował w celu zwalczenia włamania. Akcja ta była częścią szerszych agresywnych posunięć tego źródła zagrożeń mających na celu naruszanie zabezpieczeń organizacji dyplomatycznych, obronnych, porządku publicznego i informatycznych na całym świecie.

Z przeglądu powiadomień firmy Microsoft dotyczących zabezpieczeń przekazanych od marca klientom dotkniętym problemem wynika, że grupa Midnight Blizzard próbowała z różnym skutkiem uzyskać dostęp do ponad 240 organizacji, głównie w Stanach Zjednoczonych, Kanadzie i innych krajach europejskich.8

Prawie 40%  atakowanych organizacji stanowiły rządowe, międzyrządowe i zajmujące się polityką ośrodki analityczne.

Rosyjskie źródła zagrożeń stosowały różne techniki, aby uzyskać początkowy dostęp i ustanowić obecność w atakowanych sieciach. Grupa Midnight Blizzard stosowała podejście wielostronne, wykorzystując ataki rozproszone na hasła, poświadczenia uzyskane od stron trzecich, wyglądające na wiarygodne kampanie inżynierii społecznej prowadzone za pomocą usługi Teams oraz nadużywanie usług w chmurze w celu infiltracji środowisk chmurowych.9 Grupa Aqua Blizzard pomyślnie zintegrowała technikę przemytu przez HTML z kampaniami wyłudzania informacji służącymi do uzyskania początkowego dostępu, aby ograniczyć prawdopodobieństwo wykrycia na podstawie sygnatur antywirusowych i za pomocą mechanizmów zabezpieczeń poczty e-mail.

Grupa Seashell Blizzard wykorzystywała systemy serwerów obwodowych, takie jak serwery Exchange i Tomcat, a jednocześnie stosowała pirackie oprogramowanie pakietu Microsoft Office zawierające narzędzie tylnego wejścia DarkCrystalRAT, aby zapewnić sobie początkowy dostęp. To narzędzie typu backdoor umożliwiło grupie załadowanie ładunku do realizacji drugiego etapu ataku, nazywanego przez nas Shadowlink. Jest to pakiet oprogramowania udającego usługę Microsoft Defender, który instaluje na urządzeniu usługę TOR i zapewnia tej grupie ukryty dostęp przez sieć TOR.10

Diagram ilustrujący instalowanie przez pakiet Shadowlink usługi TOR na urządzeniu programowym
Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 6

Odkąd siły rosyjskie rozpoczęły ofensywę wiosną 2023 roku, cybergrupy powiązane z GRU i FSB skoncentrowały działania na zbieraniu informacji wywiadowczych z ukraińskiej infrastruktury komunikacyjnej i wojskowej w strefach działań bojowych.

W marcu Centrum analizy zagrożeń Microsoft powiązało grupę Seashell Blizzard z potencjalnymi pakietami i przynętami służącymi do wyłudzania informacji, które wyglądały na dostosowane do ataków na istotny komponent ukraińskiej infrastruktury komunikacji wojskowej. Nie mieliśmy wglądu w żadne dalsze działania. Według Ukraińskiej Służby Bezpieczeństwa (SBU) inne próby uzyskania przez grupę Seashell Blizzard dostępu do ukraińskich sieci wojskowych obejmowały wykorzystywanie złośliwego oprogramowania pozwalającego zbierać informacje o konfiguracji połączonych terminali satelitarnych Starlink i lokalizować ukraińskie jednostki wojskowe.11 12 13

Także grupa Secret Blizzard (dawniej KRYPTON) szukała punktów zaczepienia do zbierania danych wywiadowczych w ukraińskich sieciach związanych z obronnością. Centrum analizy zagrożeń Microsoft we współpracy z ukraińskim rządowym zespołem ds. reagowania na zdarzenia komputerowe, CERT-UA, zidentyfikowało obecność złośliwego oprogramowania typu backdoor DeliveryCheck i Kazuar grupy Secret Blizzard w systemach ukraińskich sił obronnych.14 Narzędzie Kazuar udostępnia ponad 40 funkcji, w tym kradzież poświadczeń z różnych aplikacji, danych uwierzytelniających, serwerów proxy i plików cookie oraz pobieranie danych z dzienników systemu operacyjnego.15 Grupa Secret Blizzard była szczególnie zainteresowana kradzieżą plików z wiadomościami z aplikacji do obsługi wiadomości Signal Desktop, co umożliwiłoby jej czytanie prywatnych czatów Signal.16

Grupa Forest Blizzard (dawniej STRONTIUM) ponownie skoncentrowała się na swoich tradycyjnych celach szpiegowskich, czyli organizacjach związanych z obronnością w Stanach Zjednoczonych, Kanadzie i Europie, których wsparcie wojskowe i szkoleniowe umożliwia siłom ukraińskim kontynuowanie walki.

Od marca grupa Forest Blizzard próbuje uzyskać początkowy dostęp do organizacji zajmujących się obronnością za pośrednictwem wiadomości wyłudzających informacje z wykorzystaniem nowatorskich i nieuchwytnych metod. Na przykład w sierpniu grupa Forest Blizzard wysłała służącą do wyłudzania informacji wiadomość e-mail zawierającą narzędzie wykorzystujące lukę CVE-2023-38831 do posiadaczy kont w europejskiej organizacji obronnej. CVE-2023-38831 to luka w zabezpieczeniach oprogramowania WinRAR, która umożliwia atakującym wykonanie dowolnego kodu w przypadku, gdy użytkownik spróbuje wyświetlić niegroźny plik w archiwum ZIP.

To źródło zagrożenia wykorzystuje też wiarygodne narzędzia programistyczne, takie jak Mockbin i Mocky, do przejmowania kontroli. Pod koniec września to źródło zagrożenia przeprowadziło kampanię wyłudzania informacji z wykorzystaniem usług GitHub i Mockbin. We wrześniu zespół CERT-UA i inne firmy zajmujące się cyberbezpieczeństwem nagłośniły te działania, zwracając uwagę na to, że to źródło zagrożenia wykorzystywało strony rozrywkowe dla dorosłych, aby nakłonić ofiary do kliknięcia linku lub otwarcia pliku, który powodował przekierowanie do złośliwej infrastruktury Mockbin.17 18Pod koniec września firma Microsoft zaobserwowała zwrot w kierunku wykorzystywania stron o tematyce technologicznej. W każdym przypadku atakujący wysyłali wiadomość e-mail służącą do wyłudzania informacji ze złośliwym linkiem, który przekierowywał ofiarę do adresu URL usługi Mockbin i powodował pobranie pliku ZIP w pakiecie ze złośliwym plikiem LNK (plikiem skrótu) udającym aktualizację systemu Windows. Plik LNK powodował następnie pobranie i uruchomienie innego skryptu programu PowerShell, którego zadaniem było ustanowienie obecności w systemie i umożliwienie prowadzenia dalszych działań, takich jak kradzież danych.

Zrzut ekranu z przykładowym plikiem PDF z przynętą powiązanym z działaniami grupy Forest Blizzard mającymi na celu wyłudzanie informacji od organizacji zajmujących się obronnością.

Źródło zagrożenia podszywające się pod pracowników Parlamentu Europejskiego
Załącznik do wiadomości e-mail: „Agenda 28 Aug - 03 Sep 2023” — plan na 28 sierpnia–3 września 2023 r. dotyczący posiedzeń Parlamentu Europejskiego. Komunikat serwisu prasowego. 160 KB bulletin.rar
Ilustracja 5. Zrzut ekranu z przykładowym plikiem PDF z przynętą powiązanym z działaniami grupy Forest Blizzard mającymi na celu wyłudzanie informacji od organizacji zajmujących się obronnością.  Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 8

Przez cały 2023 rok Centrum analizy zagrożeń Microsoft kontynuowało obserwację grupy Storm-1099, powiązanego z Rosją źródła wywierania wpływu odpowiedzialnego za wyrafinowane prorosyjskie działania w zakresie wywierania wpływu informacyjnego wymierzone w międzynarodowych zwolenników Ukrainy od wiosny 2022 roku.

Grupa Storm-1099 jest prawdopodobnie najbardziej znana z operacji masowego fałszowania stron internetowych, której grupa badawcza EU DisinfoLab nadała nazwę „Doppelganger”.19 Prowadzi ona też osobne działania pod różnymi nazwami, jak na przykład Reliable Recent News (RRN), projekty multimedialne, takie jak antyukraiński serial animowany „Ukraine Inc.”, oraz tradycyjne demonstracje łączące aspekty świata cyfrowego i fizycznego. Chociaż nie jest możliwe przypisanie pełnej odpowiedzialności za te działania, kilka kampanii grupy Storm-1099 przeprowadzili i wspierali dobrze finansowani rosyjscy technolodzy polityczni, propagandyści i specjaliści ds. wizerunku mający widoczne powiązania z państwem rosyjskim.20

W chwili przygotowywania niniejszego raportu nadal w pełnym zakresie działa operacja Doppelganger grupy Storm-1099 — mimo prób zgłaszania i ograniczania jej zasięgu nieustannie podejmowanych przez firmy technologiczne i jednostki badawcze.21 Chociaż w przeszłości działania tego źródła zagrożenia były ukierunkowane na Europę Zachodnią, w przeważającej mierze na Niemcy, grupa ta atakowała też Francję, Włochy i Ukrainę. W ostatnich miesiącach obszar zainteresowań grupy Storm-1099 przesunął się w kierunku Stanów Zjednoczonych i Izraela. To przesunięcie rozpoczęło się już w styczniu 2023 roku podczas masowych protestów w Izraelu przeciwko proponowanym zmianom w sądownictwie i nasiliło się po rozpoczęciu wojny między Izraelem a Hamasem na początku października. Nowo tworzone markowe źródła informacji odzwierciedlają wzrost priorytetowego traktowania polityki Stanów Zjednoczonych i zbliżających się wyborów prezydenckich w tym kraju w 2024 roku. Natomiast istniejące zasoby grupy Storm-1099 intensywnie forsują fałszywe twierdzenie, że ​​Hamas wykorzystał w atakach z 7 października w Izraelu ukraińską broń nabytą na czarnym rynku.

W ostatnim czasie, pod koniec października, Centrum analizy zagrożeń Microsoft zaobserwowało konta, które według firmy Microsoft są zasobami grupy Storm-1099, promujące oprócz fałszywych artykułów i witryn internetowych w mediach społecznościowych nowy rodzaj fałszerstwa. Jest to seria krótkich fałszywych klipów informacyjnych, wyglądających na pochodzące od renomowanych mediów, które szerzą prorosyjską propagandę mającą podważać wsparcie zarówno dla Ukrainy, jak i dla Izraela. Mimo że ta taktyka — wykorzystywanie fałszerstw do rozpowszechniania propagandy — jest metodą, której stosowanie zaobserwowano u prorosyjskich źródeł zagrożeń na szerszą skalę, promowanie takich treści wideo przez grupę Storm-1099 stanowi dodatkowy przykład różnorodnych metod wywierania wpływu i celów komunikacyjnych tego źródła zagrożenia.

Artykuły opublikowane w fałszywych witrynach w ramach operacji Doppelganger

Firma Microsoft obserwowała i śledziła tę kampanię prowadzoną przez rosyjskie źródło zagrożenia Storm 1099.
Zaobserwowane i śledzone przez firmę Microsoft 31 października 2023 r. Artykuły opublikowane w fałszywych witrynach w ramach operacji Doppelganger, kampanii prowadzonej przez rosyjskie źródło zagrożenia Storm 1099.
Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 9

Od ataków Hamasu na Izrael 7 października rosyjskie media państwowe i związane z tym państwem źródła wywierania wpływu starają się wykorzystać wojnę Izraela i Hamasu do promowania narracji antyukraińskiej, nastrojów antyamerykańskich oraz zaostrzania napięć między wszystkimi stronami. Te działania, choć ograniczone do reakcji na tę wojnę i mające ogólnie niewielki zakres, prowadzą zarówno media jawnie sponsorowane przez państwo, jak i nieujawniające powiązań z Rosją sieci społecznościowe obejmujące wiele platform mediów społecznościowych.

 

Promowane przez rosyjskich propagandystów i prorosyjskie sieci mediów społecznościowych narracje mają na celu nastawienie Izraela przeciwko Ukrainie i zmniejszenie wsparcia Zachodu dla Kijowa przez forsowanie nieprawdziwego twierdzenia, że ​​Ukraina uzbroiła bojowników Hamasu, za pomocą fałszywych materiałów wyglądających na pochodzące od renomowanych mediów i zmanipulowanych filmów. Przykładem jednego z wielu takich materiałów jest fałszywy film mający przedstawiać zagranicznych rekrutów, w tym Amerykanów, przeniesionych z Ukrainy w celu dołączenia do działań Sił Obronnych Izraela (IDF) w Strefie Gazy, który wygenerował setki tysięcy wyświetleń na platformach mediów społecznościowych. Ta strategia zarówno stymuluje narracje antyukraińskie wśród szerokiego grona odbiorców, jak i zwiększa zaangażowanie przez kształtowanie fałszywych wątków związanych z szeroko omawianymi doniesieniami prasowymi.

 

Rosja uzupełnia też działania wywierania wpływu cyfrowego, promując rzeczywiste wydarzenia. Rosyjskie media agresywnie promowały prowokacyjne treści nagłaśniające protesty związane z wojną między Izraelem a Hamasem na Bliskim Wschodzie i w Europie, w tym za pośrednictwem lokalnych korespondentów rosyjskich państwowych agencji informacyjnych. Pod koniec października 2023 roku władze francuskie powiązały czterech obywateli Mołdawii z graffiti przedstawiającym gwiazdę Dawida malowanym za pomocą szablonu w miejscach publicznych w Paryżu. Dwóch z nich twierdziło, że kierowała nimi osoba rosyjskojęzyczna, co może wskazywać na odpowiedzialność Rosji za incydenty związane z graffiti. Obrazy przedstawiające to graffiti zostały później nagłośnione przez kanały związane z grupą Storm-109922

 

Trwający między Izraelem a Hamasem konflikt jest prawdopodobnie korzystny w ocenie Rosji geopolitycznie, ponieważ odwraca uwagę Zachodu od wojny w Ukrainie. Na podstawie często stosowanej przez Rosję taktyki wywierania wpływu Centrum analizy zagrożeń Microsoft ocenia, że takie źródła zagrożeń będą w dalszym ciągu rozsiewać propagandę w Internecie oraz wykorzystywać inne ważne wydarzenia międzynarodowe do prowokowania napięć i prób osłabiania zdolności Zachodu do przeciwdziałania rosyjskiej inwazji na Ukrainę.

Propaganda antyukraińska szeroko przenikała rosyjskie działania służące wywieraniu wpływu jeszcze przed pełnowymiarową inwazją w 2022 roku. Jednak w ostatnich miesiącach prorosyjskie i powiązane z Rosją sieci wywierania wpływu skupiają się na wykorzystywaniu wideo jako dynamiczniejszego medium do rozpowszechniania tych przekazów w połączeniu z fałszowaniem materiałów zaufanych kanałów informacyjnych w celu wykorzystania ich wiarygodności. Centrum analizy zagrożeń Microsoft zaobserwowało dwie trwające kampanie prowadzone przez nieznane prorosyjskie źródła zagrożeń, które polegają na podszywaniu się pod media informacyjne i rozrywkowe głównego nurtu w celu rozpowszechniania zmanipulowanych treści wideo. Podobnie jak w przypadku poprzednich rosyjskich kampanii propagandowych, te działania koncentrują się na przedstawianiu prezydenta Ukrainy Wołodymyra Zełenskiego jako skorumpowanego narkomana, a wsparcia dla Kijowa ze strony krajów zachodnich — jako szkodliwego dla ludności tych krajów. Treści obu kampanii spójnie dążą do zmniejszenia poparcia dla Ukrainy, ale ich narracja jest dostosowywana do wydarzeń poruszanych na bieżąco w mediach informacyjnych, takich jak podwodna implozja Tytana w czerwcu 2023 roku czy wojna między Izraelem a Hamasem, aby dotrzeć do szerszej grupy odbiorców.

Diagram z przeglądem fałszywych klipów informacyjnych

przegląd fałszywych klipów informacyjnych
Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 11

Jedna z tych kampanii opartych na materiałach wideo obejmuje serię sfabrykowanych filmów, które pod przykrywką krótkich relacji z mediów głównego nurtu szerzą fałszywe, antyukraińskie i powiązane z Kremlem tematy i narracje. Centrum analizy zagrożeń Microsoft po raz pierwszy zaobserwowało te działania w kwietniu 2022 roku, kiedy to prorosyjskie kanały na komunikatorze Telegram opublikowały fałszywy film BBC News, w którym twierdzono, że wojsko ukraińskie odpowiadało za atak rakietowy, w wyniku którego zginęły dziesiątki cywilów. W filmie wykorzystano logo, kolorystykę i estetykę BBC oraz napisy w języku angielskim zawierające błędy często popełniane przy tłumaczeniu z języków słowiańskich na angielski.

Ta kampania trwała przez cały 2022 rok i nabrała tempa latem 2023 roku. W chwili przygotowywania tego raportu Centrum analizy zagrożeń Microsoft zaobserwowało kilkanaście sfałszowanych filmów informacyjnych w ramach tej kampanii, przy czym najczęściej fałszowano materiały kanałów BBC News, Al Jazeera i EuroNews. Zanim te filmy rozprzestrzeniły się na głównych platformach mediów społecznościowych, nagłaśniały je rosyjskojęzyczne kanały na komunikatorze Telegram.

Zrzuty ekranu przedstawiający filmy imitujące logo i estetykę BBC News (po lewej stronie) i EuroNews (po prawej stornie)

Sfabrykowane klipy informacyjne z prorosyjską dezinformacją
Analiza zagrożeń Microsoft: Sfabrykowane wiadomości łączące porażkę militarną Ukrainy z atakiem HAMASU, fałszywe informacje o odpowiedzialności Izraela
Sfabrykowane klipy informacyjne z prorosyjską dezinformacją. Zrzuty ekranu przedstawiający filmy imitujące logo i estetykę BBC News (po lewej stronie) i EuroNews (po prawej stornie). Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 12

Mimo że te treści mają ograniczony zasięg, mogą stanowić faktyczne zagrożenie dla przyszłych celów ataków, jeśli zostaną udoskonalone lub ulepszone przy użyciu sztucznej inteligencji albo nagłośnione przez bardziej wiarygodne źródło przekazu. Prorosyjskie źródło zagrożeń odpowiedzialne za te sfałszowane klipy informacyjne jest wyczulone na aktualne wydarzenia na świecie i działa elastycznie. Na przykład w podrobionym filmie BBC News przedstawiono nieprawdziwe twierdzenie na temat organizacji dziennikarstwa śledczego Bellingcat, która rzekomo ujawniła, że ​​broń używana przez bojowników Hamasu została im sprzedana na czarnym rynku przez ukraińskich urzędników wojskowych. Treść tego materiału wideo była wysoce zgodna z publicznymi oświadczeniami byłego prezydenta Rosji Dmitrija Miedwiediewa z zaledwie dnia przed publikacją filmu, co świadczy o ścisłym dostosowaniu tej kampanii do jawnych przekazów rosyjskiego rządu.23

Od lipca 2023 roku prorosyjskie kanały w mediach społecznościowych zaczęły rozpowszechniać filmy z celebrytami zmontowane tak, aby szerzyć antyukraińską propagandę. Do tworzenia tych filmów, które są dziełem nieznanego powiązanego z Rosją źródła wywierania wpływu, najwyraźniej wykorzystywana jest popularna witryna internetowa Cameo, za pomocą której celebryci i inne osoby publiczne mogą nagrywać i wysyłać spersonalizowane przekazy filmowe użytkownikom uiszczającym opłatę. Te krótkie wiadomości wideo, w których często występują celebryci proszący „Vladimira”, aby poszukał pomocy w związku z nadużywaniem substancji psychoaktywnych, edytowała nieznana grupa, dodając emoji i linki. Te filmy krążą w prorosyjskich społecznościach w mediach społecznościowych i są nagłaśniane przez rosyjskie media państwowe oraz powiązane z państwem rosyjskim, gdzie są fałszywie przedstawiane jako skierowane do prezydenta Ukrainy Wołodymyra Zełenskiego. W niektórych przypadkach grupa odpowiedzialna za te filmy dodaje do nich logo mediów i nazwy użytkowników celebrytów w mediach społecznościowych, aby filmy wyglądały jak klipy z mediów informacyjnych z reportażami na temat rzekomych publicznych apeli celebrytów do Zełenskiego lub jak wpisy tych celebrytów w mediach społecznościowych. Urzędnicy Kremla i sponsorowana przez państwo rosyjskie propaganda od dawna promują fałszywe twierdzenie, że prezydent Zełenski zmaga się z uzależnieniami. Jednak w tej kampanii prorosyjscy działacze zastosowali nowatorskie podejście mające wspierać tę narrację w internetowej przestrzeni informacyjnej.

W pierwszym filmie z tej kampanii, dostrzeżonym pod koniec lipca, użyto emoji z flagą Ukrainy, znaków wodnych amerykańskiego medium TMZ oraz linków do ośrodka leczenia uzależnień i jednej z oficjalnych stron prezydenta Zełenskiego w mediach społecznościowych. Do końca października 2023 roku prorosyjskie kanały w mediach społecznościowych rozpowszechniły sześć kolejnych filmów. W szczególności 17 sierpnia rosyjski państwowy serwis informacyjny RIA Novosti opublikował artykuł dotyczący filmu z udziałem amerykańskiego aktora Johna McGinleya, traktując go jak autentyczny apel McGinleya do Zełenskiego.24 Oprócz nagrania z McGinleyem w kampanii wykorzystano też treści, w których pojawili się aktorzy Elijah Wood, Dean Norris, Kate Flannery i Priscilla Presley, muzyk Shavo Odadjian oraz bokser Mike Tyson. Inne powiązane z państwem rosyjskim media, w tym objęte sankcjami Stanów Zjednoczonych medium Tsargrad, również nagłaśniają treści z tej kampanii.25

Zdjęcia z filmów przedstawiających różnych celebrytów sprawiających wrażenie, że promują prorosyjską propagandę

zdjęcia z filmów przedstawiających różnych celebrytów sprawiających wrażenie, że promują prorosyjską propagandę
Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 12

Według dowódcy wojskowego Ukrainy rosyjscy bojownicy wkraczają w nowy etap statycznej wojny okopowej, co sugeruje jeszcze bardziej przedłużający się konflikt.26 Kijów będzie potrzebować stałych dostaw broni i szerokiego wsparcia społecznego, aby kontynuować opór, i prawdopodobnie będziemy świadkami zwiększonej aktywności rosyjskich grup zajmujących się cyberoperacjami i działaniami w zakresie wywierania wpływu informacyjnego mającej na celu demoralizowanie społeczeństwa ukraińskiego oraz zdegradowanie zewnętrznych źródeł pomocy wojskowej i finansowej dla Kijowa.

Wraz ze zbliżaniem się zimy możemy ponownie być świadkami ataków wojskowych wymierzonych w przedsiębiorstwa energetyczne i wodociągowe w Ukrainie połączonych z niszczycielskimi atakami typu wiper na te sieci27Ukraiński urząd ds. cyberbezpieczeństwa CERT-UA ogłosił we wrześniu, że ukraińskie sieci energetyczne są stale zagrożone, a Centrum analizy zagrożeń Microsoft znalazło pozostałości po stanowiących zagrożenie działaniach GRU w sieciach ukraińskiego sektora energetycznego między sierpniem a październikiem.28 Firma Microsoft zaobserwowała w sierpniu co najmniej jedno niszczycielskie użycie narzędzia Sdelete wobec sieci ukraińskiego przedsiębiorstwa energetycznego.29

Poza Ukrainą wybory prezydenckie w Stanach Zjednoczonych i inne ważne rozstrzygnięcia polityczne w 2024 roku mogą dać źródłom zagrożeń wywierającym złośliwy wpływ okazję do wykorzystania materiałów wideo i stale rozwijanych umiejętności związanych ze sztuczną inteligencją do zwalczania poparcia politycznego urzędników wyłanianych w wyborach, którzy wspierają pomoc dla Ukrainy.30

Firma Microsoft działa na wielu frontach, aby chronić klientów w Ukrainie i na całym świecie przed tymi wielowymiarowymi zagrożeniami. W ramach naszej inicjatywy Bezpieczna przyszłość (Secure Future Initiative) integrujemy postępy w zakresie obrony cyberprzestrzeni opartej na sztucznej inteligencji i inżynierii bezpiecznego oprogramowania z działaniami na rzecz wzmocnienia standardów międzynarodowych w celu zapewnienia ludności cywilnej ochrony przed cyberzagrożeniami. 31 Wdrażamy też zasoby wraz z podstawowym zestawem reguł, aby chronić wyborców, kandydatów, kampanie i władze wyborcze na całym świecie w obliczu przypadających w przyszłym roku procesów demokratycznych, w których udział wezmą ponad 2 miliardy osób.32

  1. [1]
  2. [2]

    Informacje techniczne na temat najnowszych metod niszczycielskich ataków w Ukrainie można znaleźć tutaj: https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    Na podstawie powiadomień wydanych w okresie od 15 marca 2023 r. do 23 października 2023 r. 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]

Powiązane artykuły

Zwiększony zasięg i efektywność cyberzagrożeń ze strony Azji Wschodniej

Zapoznaj się z wyłaniającymi się trendami w rozwijającym się krajobrazie cyberzagrożeń Azji Wschodniej, gdzie Chiny przeprowadzają zarówno szeroko zakrojone operacje cybernetyczne, jak i działania w zakresie wywierania wpływu informacyjnego, a północno-koreańskie źródła cyberzagrożeń wykazują się rosnącym wyrafinowaniem.
Dowiedz się więcej

Iran zwraca się w stronę cyberataków, aby przeprowadzać działania w zakresie wywierania wpływu informacyjnego o większym zasięgu

Analiza zagrożeń Microsoft ujawniła wzmożone działania w zakresie wywierania wpływu informacyjnego oparte na cyberatakach ze strony Iranu. Uzyskaj szczegółowe informacje o zagrożeniach, w tym o nowych technikach i potencjalnych źródłach przyszłych zagrożeń.
Dowiedz się więcej

Operacje cybernetyczne i działania w zakresie wywierania wpływu informacyjnego na cyfrowym polu bitwy wojny w Ukrainie

Centrum analizy zagrożeń Microsoft analizuje rok operacji cybernetycznych oraz działań w zakresie wywierania wpływu informacyjnego w Ukrainie, przedstawia nowe trendy w zakresie cyberzagrożeń i ujawnia, czego można spodziewać się w obliczu wkroczenia w drugi rok wojny.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft