Trace Id is missing

Amenințările digitale din Asia de Est cresc în amploare și eficacitate

Descărcați
Distribuiți
O persoană așezată în fața unui computer

Introducere

Există o serie de tendințe emergente care ilustrează un peisaj al amenințărilor aflat în evoluție rapidă în Asia de Est, în condițiile în care China desfășoară atât operațiuni cibernetice, cât și operațiuni de influență (IO) pe scară largă, iar actorii de amenințare cibernetică nord-coreeni demonstrează o sofisticare sporită.

În primul rând, grupările de amenințare cibernetică afiliate statului chinez s-au concentrat în special asupra regiunii Mării Chinei de Sud, direcționând spionajul cibernetic către guverne și alte entități de importanță critică din această zonă maritimă. Între timp, faptul că China vizează sectorul de apărare al SUA și sondează infrastructura SUA semnalează tentative de a obține avantaje competitive privind relațiile externe și obiectivele militare strategice ale Chinei.

În al doilea rând, în ultimul an, China a devenit mai eficientă în ceea ce privește interacțiunea dintre utilizatorii rețelelor sociale și IO. Campaniile chineze de influență online mizează de multă vreme pe un volum ridicat pentru a ajunge la utilizatori prin intermediul unor rețele de conturi false de rețele sociale. Cu toate acestea, începând cu 2022, rețelele sociale aliate Chinei au intrat în contact direct cu utilizatori autentici pe rețelele sociale, au vizat anumiți candidați în cadrul conținutului despre alegerile din SUA și au pozat drept alegători americani. Pe de altă parte, inițiativa de influențare multilingvă a rețelelor sociale din China, afiliată statului chinez, a reușit să interacționeze cu publicul țintă în cel puțin 40 de limbi și și-a crescut audiența, ajungând la peste 103 milioane de persoane.

În al treilea rând, China a continuat să-și intensifice campaniile de informare în masă în ultimul an, diversificându-și acțiunile în alte limbi și pe noi platforme pentru a-și spori amprenta globală. Pe rețelele de socializare, campaniile implementează mii de conturi false pe zeci de site-uri web, răspândind meme-uri, videoclipuri și mesaje în mai multe limbi. În presa online, serviciile de presă ale statului chinez se poziționează cu tact și eficiență ca fiind o voce autoritară în discursul internațional despre China, utilizând o varietate de mijloace pentru a-și exercita influența asupra presei din întreaga lume. Una dintre aceste campanii a promovat propaganda Partidului Comunist Chinez prin intermediul unor site-uri de știri localizate, destinate diasporei chineze din peste 35 de țări.

Nu în ultimul rând, Coreea de Nord care, spre deosebire de China, nu are capacitatea de a exercita o influență sofisticată, rămâne o amenințare cibernetică formidabilă. Coreea de Nord și-a manifestat în mod constant interesul pentru colectarea de informații și pentru creșterea gradului de sofisticare tactică prin utilizarea atacurilor în cascadă asupra lanțului de aprovizionare și a furtului de criptomonede, printre alte tactici.

Operațiunile cibernetice ale Chinei își reiau activitatea în Marea Chinei de Sud și în industrii cheie din Statele Unite ale Americii

De la începutul anului 2023, Investigarea amenințărilor Microsoft a identificat trei zone de interes deosebit pentru actorii de amenințare cibernetică afiliați Chinei: Marea Chinei de Sud, baza industrială de apărare a SUA și infrastructura critică a SUA.

Acțiunile de țintire sponsorizate de statul chinez reflectă obiectivele strategice din Marea Chinei de Sud

Actorii de amenințare afiliați statului chinez manifestă un interes susținut față de Marea Chinei de Sud și Taiwan, ceea ce reflectă diversitatea intereselor Chinei – economice, de apărare și politice – în această zonă.1 Conflictele legate de revendicări teritoriale, escaladarea tensiunilor din strâmtoarea Taiwan și creșterea prezenței militare a SUA în regiune pot reprezenta factori motivanți pentru implicarea Chinei în activități cibernetice ofensive.2

Microsoft a identificat Raspberry Typhoon (RADIUM) ca fiind principala grupare de amenințări care vizează națiunile din Marea Chinei de Sud. Raspberry Typhoon vizează în mod constant ministerele de stat, entitățile militare și corporative care au legături cu infrastructura critică, în special telecomunicațiile. Începând cu ianuarie 2023, Raspberry Typhoon s-a manifestat deosebit de persistent. Atunci când vizează ministere sau infrastructuri guvernamentale, Raspberry Typhoon desfășoară de obicei activități de colectare de informații și de executare de malware. În multe țări, țintele pot varia, de la ministerele din domeniul apărării și al informațiilor până la ministerele economice și din domeniul comerțului.

Flax Typhoon (Storm-0919) este cea mai proeminentă grupare de amenințări care vizează Taiwanul. Acest grup vizează în principal telecomunicațiile, educația, tehnologia informației și infrastructura energetică, de obicei prin utilizarea unui aparat VPN personalizat pentru a-și stabili o prezență directă în rețeaua țintă. În mod similar, Charcoal Typhoon (CHROMIUM) vizează instituțiile de învățământ din Taiwan, infrastructura energetică și producția de înaltă tehnologie. În 2023, atât Charcoal Typhoon, cât și Flax Typhoon au vizat entități aerospațiale taiwaneze care colaborează cu armata taiwaneză.

Harta regiunii Mării Chinei de Sud, cu evidențierea evenimentelor observate pentru fiecare țară
Figura 1: Evenimentele observate la nivelul fiecărei țări din Marea Chinei de Sud din ianuarie 2022 până în aprilie 2023. Aflați mai multe despre această imagine la pagina 4 din raportul complet

Actorii de amenințare chinezi își îndreaptă atenția spre Guam, în timp ce SUA construiește o bază a Infanteriei Marine

Mai multe grupări de amenințare din China continuă să vizeze baza industrială de apărare a SUA, și anume Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) și Mulberry Typhoon (MANGANESE). Deși țintele acestor trei grupări se suprapun ocazional, ele constituie actori distincți, cu infrastructuri și capacități diferite.3

Circle Typhoon desfășoară o mare varietate de activități cibernetice care vizează baza industrială de apărare a SUA, inclusiv dezvoltarea și colectarea de resurse, accesări inițiale și accesarea acreditărilor. Circle Typhoon utilizează frecvent aparate VPN pentru a viza sectorul IT și furnizorii de servicii de apărare cu sediul în SUA. De asemenea, Volt Typhoon a efectuat operațiuni de recunoaștere la adresa multor furnizori de servicii de apărare din SUA. Guam este una dintre cele mai frecvente ținte ale acestor campanii, în special entitățile de telecomunicații și comunicații prin satelit din această țară.4

O tactică frecventă utilizată de Volt Typhoon constă în compromiterea routerelor din birourile mici și din locuințe, de obicei în scopul creării unei infrastructuri. 5 De asemenea,5 Mulberry Typhoon a vizat baza industrială de apărare din SUA, îndeosebi printr-un exploit de tip „ziua zero” care a vizat dispozitive.6 Intensificarea atacurilor asupra Guamului este importantă, întrucât acest teritoriu american este situat cel mai aproape de Asia de Est și este esențial din punct de vedere strategic pentru SUA în această regiune.

Grupările de amenințare chineze vizează infrastructura critică a SUA

În ultimele șase luni, Microsoft a observat că anumite grupări de amenințare afiliate statului chinez au vizat infrastructura critică a SUA în mai multe sectoare și au înregistrat o dezvoltare semnificativă a resurselor. Volt Typhoon a constituit principala grupare responsabilă de această activitate cel puțin din vara lui 2021, iar amploarea acestei activități nu este încă pe deplin cunoscută.

Printre sectoarele vizate se numără domeniul transporturilor (cum ar fi porturile și căile ferate), utilitățile (cum ar fi serviciile de energie și de tratare a apei), infrastructura medicală (inclusiv spitalele) și infrastructura de telecomunicații (inclusiv comunicațiile prin satelit și sistemele de fibră optică). Microsoft estimează că această campanie i-ar putea oferi Chinei capacități de perturbare a infrastructurii critice și a comunicațiilor între Statele Unite și Asia.7

O grupare de amenințări din China vizează aproximativ 25 de organizații, inclusiv entități guvernamentale din SUA

Începând cu 15 mai, Storm-0558, un actor de amenințare din China, a utilizat tokenuri de autentificare falsificate pentru a accesa conturile de e-mail ale clienților Microsoft din aproximativ 25 de organizații, inclusiv ale unor entități guvernamentale americane și europene.8 Microsoft a blocat cu succes această campanie. Obiectivul atacului a fost de a obține accesul neautorizat la conturile de e-mail. Microsoft estimează că această activitate a fost în concordanță cu obiectivele de spionaj ale grupării Storm-0558. Storm-0558 a vizat în trecut entități diplomatice americane și europene.

China își vizează și partenerii strategici

Odată cu dezvoltarea relațiilor bilaterale și a parteneriatelor globale ale Chinei prin intermediul Inițiativei Belt and Road (BRI), actorii de amenințare afiliați statului chinez au efectuat operațiuni cibernetice coordonate împotriva entităților atât private, cât și de stat din întreaga lume. Grupările de amenințare din China vizează țări conforme cu strategia BRI a Partidului Comunist Chinez, inclusiv entități din Kazahstan, Namibia, Vietnam și altele.9 Totodată, activitatea de amenințare chineză de amploare vizează în mod constant ministerele străine de pe teritoriul Europei, al Americii Latine și al Asiei, probabil în vederea realizării unor obiective de spionaj economic sau de colectare de informații.10 Odată cu extinderea influenței globale a Chinei, activitățile grupărilor de amenințare afiliate vor continua. De curând, în aprilie 2023, Twill Typhoon (TANTALUM) a reușit să compromită echipamente guvernamentale din Africa și Europa, precum și diverse organizații umanitare din întreaga lume.

Operațiunile de social media aliniate la PCC sporesc interacțiunea efectivă cu publicul

Operațiunile de influență sub acoperire afiliate la PCC încep acum să se angajeze cu succes în relația cu publicul-țintă pe rețelele de socializare într-o măsură mai mare decât în trecut, ceea ce reprezintă un nivel mai ridicat de sofisticare și de cultivare a activelor de IO online. Înaintea alegerilor parțiale din SUA din 2022, Microsoft și partenerii săi din domeniu au descoperit conturi de rețele sociale afiliate la PCC care se prezentau drept alegători americani, ceea ce constituie un teritoriu nou pentru IO afiliate la PCC.11 Aceste conturi au pozat în cetățeni americani de la nivelul întregului spectru politic și au răspuns la comentariile unor utilizatori autentici.

Prin comportament și conținut, aceste conturi prezintă multe tactici, tehnici și proceduri (TTP) chinezești bine documentate în materie de IO. Câteva exemple în acest sens: conturi care inițial postează în mandarină, pentru ca ulterior să schimbe limba, interacționarea cu conținut din surse aliniate intereselor Chinei imediat după publicare, precum și aplicarea unui model de „plantare și amplificare” în interacțiunile lor.12 Spre deosebire de campaniile de influență inițiate anterior de actori afiliați Partidului Comunist Chinez, care utilizau handle-uri, nume afișate și imagini de profil generate automat și ușor de recunoscut13, aceste conturi mai rafinate sunt gestionate de persoane reale care utilizează identități fictive sau sustrase pentru a-și masca legătura conturilor cu PCC.

Conturile de rețele de socializare din această rețea prezintă un comportament similar cu activitatea aparent desfășurată de o grupare de elită din cadrul Ministerului Securității Publice (MPS), numită Grupul Special de Lucru 912. Conform Departamentului de Justiție al SUA, acest grup a gestionat o fermă de troli pe rețelele de socializare care a creat mii de personaje online false și a promovat propaganda PCC care viza activiștii pro-democrație.

Începând cu martie 2023, aproximativ, anumite active chinezești IO suspecte din rețelele de socializare occidentale au început să utilizeze inteligența artificială generativă (AI) pentru a crea conținut vizual. Acest conținut vizual de calitate relativ înaltă a atras deja niveluri mai ridicate de implicare din partea utilizatorilor autentici ai rețelelor sociale. Aceste imagini prezintă caracteristicile generării de imagini prin difuzie și sunt mai atrăgătoare decât conținutul vizual ciudat din campaniile anterioare. Utilizatorii au repostat mai frecvent aceste imagini, în ciuda indicatorilor obișnuiți ai generării cu ajutorul inteligenței artificiale, de exemplu, faptul că o persoană are mai mult de cinci degete.14

Postări de pe rețelele de socializare în paralel care prezintă imagini identice Black Lives Matter.
Figura 2: Un grafic Black Lives Matter încărcat inițial de un cont automat afiliat la PCC a fost încărcat șapte ore mai târziu de un cont care se dădea drept alegător conservator din SUA.
O imagine de propagandă generată de inteligența artificială cu Statuia Libertății.
Figura 3: Exemplu de imagine generată de inteligența artificială postată de un presupus agent IO chinez. Mâna Statuii Libertății care ține torța are mai mult de cinci degete. Aflați mai multe despre această imagine la pagina 6 din raportul complet
Patru categorii de formatori de opinie: jurnaliști, formatori de opinie privind stilul de viață, persoane similare și minorități etnice, de-a lungul unui flux continuu, de la evident la discret
Figura 4: Această inițiativă cuprinde agenți de influență care se clasifică în patru mari categorii, în funcție de istoricul lor, de publicul țintă, de recrutare și de strategiile de gestionare. Toate persoanele incluse în analiza noastră au legături directe cu presa de stat chineză ( de exemplu, prin încadrare în muncă, prin acceptarea unor invitații de călătorie sau prin alte schimburi monetare). Aflați mai multe despre această imagine la pagina 7 din raportul complet.

Inițiativa de influențare a presei de stat din China

O altă strategie care generează o implicare semnificativă pe rețelele de socializare este conceptul PCC-ului de „studiouri de vedete online multilingve” (多语种网红工作室).15 Exploatând puterea vocilor autentice, peste 230 de angajați ai presei de stat și afiliații acesteia se deghizează în formatori de opinie independenți pe rețelele sociale occidentale majore.16 În 2022 și 2023, noi astfel de formatori de opinie și-au făcut debutul, în medie, la fiecare șapte săptămâni. Recrutați, instruiți, promovați și finanțați de China Radio International (CRI) și de alte instituții media de stat chineze, acești formatori de opinie răspândesc o propagandă a PCC-ului adaptată perfect, reușind astfel să interacționeze în mod semnificativ cu publicul țintă din întreaga lume, ajungând la un număr de cel puțin 103 milioane de urmăritori pe mai multe platforme, în cel puțin 40 de limbi.

Deși formatorii de opinie postează în mare parte conținut inofensiv despre stilul de viață, această tehnică disimulează o propagandă aliniată la PCC-ului care vizează îmbunătățirea imaginii Chinei în străinătate.

Strategia de recrutare a formatorilor de opinie de către presa de stat chineză pare să recruteze două grupuri distincte de persoane: cei care au experiență de lucru în jurnalism (în special în cadrul presei de stat) și proaspeții absolvenți ai programelor de limbi străine. Concret, China Media Group (compania-mamă a CRI și CGTN) pare să recruteze direct absolvenți ai unor școli de limbi străine de top din China, precum Universitatea de Studii Străine din Beijing și Universitatea de Comunicare din China. Cei care nu sunt recrutați direct din universități sunt deseori foști jurnaliști și traducători, care elimină orice indicii explicite de afiliere la presa de stat de pe profilurile lor după ce se „rebranduiesc” ca formatori de opinie.

Song Siao, un formator de opinie vorbitor de limba lao, postează un vlog despre stilul de viață și discută despre redresarea economică a Chinei în contextul pandemiei COVID-19.
Figura 5: Song Siao, un formator de opinie vorbitor de limba lao, postează un vlog despre stilul de viață și discută despre redresarea economică a Chinei în contextul pandemiei COVID-19. În videoclipul filmat de el însuși, vizitează o reprezentanță auto din Beijing și vorbește cu localnicii. Aflați mai multe despre această imagine la pagina 8 din raportul complet
Postarea pe rețelele de socializare a lui Techy Rachel, un formator de opinie de limbă engleză.
Figura 6: Techy Rachel, un formator de opinie vorbitor de engleză care postează de obicei despre inovațiile și tehnologia chineză, se abate de la temele conținutului său pentru a interveni în dezbaterea despre balonul de spionaj chinezesc. La fel ca și alte instituții de presă de stat chineze, ea neagă faptul că balonul ar fi fost utilizat în scopuri de spionaj. Aflați mai multe despre această imagine la pagina 8 din raportul complet

Formatorii de opinie interacționează cu un public global, în cel puțin 40 de limbi

Distribuția geografică a limbilor vorbite de acești formatori de opinie afiliați statului reprezintă creșterea influenței globale a Chinei și prioritizarea regională. Formatorii de opinie care vorbesc limbi asiatice, cu excepția limbii chineze, cum ar fi hindi, sinhala, pashto, lao, coreeană, malay și vietnameză, constituie majoritatea formatorilor de opinie. Formatorii de opinie vorbitori de limbă engleză constituie al doilea cel mai mare număr de formatori de opinie.
Cinci diagrame radiale care descriu repartizarea formatorilor de opinie din presa de stat chineză în funcție de limbă.
Figura 7: Formatorii de opinie din presa de stat chineză, repartizați în funcție de limbă. Aflați mai multe despre această imagine la pagina 9 din raportul complet

China vizează publicul din întreaga lume

Formatorii de opinie vizează șapte spații de audiență (grupări lingvistice) împărțite în regiuni geografice. Nu sunt prezentate diagrame pentru spațiile de audiență în limbile engleză sau chineză.

IO chinez își extinde aria de acoperire globală prin mai multe campanii

În 2023, China și-a extins și mai mult amploarea IO online, vizând publicul în noi limbi și pe noi platforme. Aceste operațiuni combină un aparat mediatic de stat transparent și foarte bine controlat cu mijloace mediatice sociale discrete sau ascunse, inclusiv roboți, care disimulează și amplifică discursurile preferate de PCC.17

Microsoft a observat o astfel de campanie aliniată PCC-ului, începând cu ianuarie 2022 și care era în desfășurare la momentul redactării acestui text, vizând organizația non-guvernamentală (ONG) spaniolă Safeguard Defenders după ce aceasta a dezvăluit existența a peste 50 de secții de poliție chinezești în străinătate.18 Campania a utilizat peste 1.800 de conturi pe mai multe platforme de socializare și zeci de site-uri web pentru a răspândi meme-uri, videoclipuri și mesaje aliniate PCC-ului care criticau Statele Unite și alte democrații.

Aceste conturi au trimis mesaje în limbi noi (olandeză, greacă, indoneziană, suedeză, turcă, uigură și multe altele) și pe platforme noi (inclusiv Fandango, Rotten Tomatoes, Medium, Chess.com și VK, printre altele). În ciuda anvergurii și perseverenței acestei operațiuni, postările acesteia nu prea stârnesc un interes semnificativ din partea utilizatorilor autentici, ceea ce subliniază natura rudimentară a activității acestor rețele chinezești.

O serie de 30 de sigle cunoscute ale unor mărci tehnologice, prezentate alături de o listă de 16 limbi
Figura 8: A fost detectat conținut OI aliniat la PCC pe mai multe platforme și în mai multe limbi. Aflați mai multe despre această imagine la pagina 10 din raportul complet
Exemple de capturi de ecran în paralel cu exemple ale propagandei video în limba taiwaneză
Figura 9: Un volum mare de distribuiri de postări ale unui videoclip în limba taiwaneză care îndeamnă guvernul taiwanez să se „predea” Beijingului. Diferența majoră dintre impresii și distribuiri indică în mod clar o activitate coordonată de IO. Aflați mai multe despre această imagine la pagina 10 din raportul complet

O rețea globală voalată de site-uri de știri ale PCC

O altă campanie media digitală care ilustrează amploarea extinsă a IO afiliate PCC-ului este o rețea de peste 50 de site-uri de știri, predominant în limba chineză, care susțin obiectivul declarat al PCC de a constitui vocea autoritară a tuturor mijloacelor de informare în limba chineză la nivel mondial.19 Deși se prezintă ca fiind în mare parte independente și neafiliate, adresându-se diferitelor comunități ale diasporei chineze din întreaga lume, putem estima cu un grad ridicat de încredere că aceste site-uri sunt afiliate cu Departamentul de lucru al Frontului Unit al PCC (UFWD) — un organ responsabil de întărirea influenței PCC-ului dincolo de frontierele Chinei, în special prin intermediul legăturilor cu „chinezii de peste ocean”, pe baza indicatorilor tehnici, a informațiilor de înregistrare a site-urilor și a conținutului comun.20
Hartă mondială cu peste 20 de sigle de site-uri web chinezești ale unor site-uri web care se adresează diasporei chineze globale.
Figura 10: Harta site-urilor web care vizează diaspora chineză globală și care sunt considerate ca făcând parte din această strategie media.  Aflați mai multe despre această imagine la pagina 11 din raportul complet

Deoarece multe dintre aceste site-uri au adrese IP comune, interogarea rezoluțiilor de domeniu cu Inteligența contra amenințărilor Microsoft Defender ne-a permis să descoperim mai multe site-uri din rețea. Multe dintre site-uri împărtășesc un cod HTML web front-end, în care până și comentariile dezvoltatorului web încorporate în cod sunt adesea identice pe diferite site-uri web. Peste 30 dintre acele site-uri utilizează aceeași interfață de programare a aplicațiilor (API) și același sistem de gestionare a conținutului de la o „filială integral deținută” de Agenția de presă chineză (CNS), agenția de presă a UFWD.21 Înregistrările de la Ministerul Industriei și Tehnologiei Informației din China arată că această companie tehnologică afiliată UFWD și o altă companie au înregistrat cel puțin 14 site-uri de știri în această rețea.22 Prin utilizarea filialelor și a companiilor media terțe în acest mod, UFWD poate atinge un public global, ascunzându-și simultan implicarea directă.

Aceste site-uri web se pretind a fi furnizori independenți de știri, dar republică frecvent aceleași articole ale presei de stat chineze, pretinzând adesea că ar fi sursa originală a conținutului. Deși site-urile abordează în general știrile internaționale și publică articole generice ale presei de stat chineze, subiectele sensibile din punct de vedere politic se aliniază în mod covârșitor cu opiniile preferate de PCC. De exemplu, sute de articole din cadrul acestei rețele de site-uri promovează afirmații false conform cărora virusul COVID-19 ar fi o armă biologică fabricată în laboratorul de cercetare biologică militară al SUA de la Fort Detrick.23 De asemenea, site-urile difuzează frecvent declarații ale oficialilor guvernamentali chinezi și articole ale presei de stat care susțin că virusul COVID-19 provine din Statele Unite și nu din China. Aceste site-uri web exemplifică măsura în care controlul PCC a pătruns în mediul presei de limbă chineză, permițându-i partidului să blocheze reportajele esențiale privind subiectele sensibile.

Diagramă tip coardă cu articole suprapuse publicate de mai multe site-uri.
Figura 11: Site-urile web se prezintă ca fiind unice la nivel local, dar au un conținut identic. Această diagramă tip coardă prezintă articole suprapuse publicate de mai multe site-uri. Aflați mai multe despre această imagine la pagina 12 din raportul complet
Capturi de ecran cu modul în care un articol al agenției de presă chineză a fost republicat pe site-uri web care vizează publicul din Italia, Ungaria, Rusia și Grecia
Figura 12: Agenția de presă chineză și alte instituții de presă de stat chineze au publicat un articol intitulat „O declarație a OMS denunță laboratoarele biologice secrete ale SUA din Ucraina”. Ulterior, acest articol a fost publicat pe site-uri web destinate publicului din Ungaria, Suedia, Africa de Vest și Grecia. Aflați mai multe despre această imagine la pagina 12 din raportul complet

Acoperirea globală a presei de stat chineze

Deși campania descrisă mai sus este remarcabilă datorită disimulării de care dă dovadă, site-urile web veritabile ale presei de stat chineze constituie marea majoritate a audienței globale a presei controlate de PCC. Extinzându-se în limbi străine,24 inaugurând birouri ale presei de stat chineze în afara țării25 și furnizând conținut gratuit care susține Beijingul,26 PCC își crește amploarea „puterii discursive” (话语权), infuzând propagandă în instituțiile de presă din diverse țări ale lumii.27
O organigramă care reprezintă un instantaneu al ecosistemului de propagandă transparentă al PCC.
Figura 13: Organigramă care reprezintă un instantaneu al funcțiilor și entităților care fac parte din ecosistemul de propagandă transparentă al PCC. Aflați mai multe despre această imagine la pagina 13 din raportul complet

Măsurarea traficului către site-urile presei de stat chineze

Laboratorul de Inteligență artificială pentru binele lumii al Microsoft a dezvoltat un indice pentru a măsura fluxul de trafic de la utilizatorii din afara Chinei către instituțiile deținute în majoritate de guvernul chinez. Indicele măsoară proporția de trafic care accesează aceste site-uri în raport cu traficul total de pe internet, asemenea indicelui de propagandă rusă (RPI) introdus în iunie 2022.28

Consumul de presă de stat chineză este dominat de cinci domenii, care reprezintă aproximativ 60% din toate vizualizările de pagină ale presei de stat chineze.

Diagramă care prezintă consumul de presă chineză
Aflați mai multe despre această imagine la pagina 14 din raportul complet

Indicele poate evidenția tendințele în ceea ce privește succesul relativ al presei de stat chineze pe criterii geografice de-a lungul timpului. De exemplu, printre statele membre ale Asociației Națiunilor din Asia de Sud-Est (ASEAN), Singapore și Laos se remarcă prin faptul că au un trafic relativ de peste două ori mai mare către site-urile presei chineze de stat decât Brunei, care ocupă locul al treilea. Filipine se situează pe ultimul loc, cu un trafic de 30 de ori mai mic către site-urile presei chineze de stat decât Singapore și Laos. În Singapore, unde mandarina este o limbă oficială, consumul ridicat de presă de stat chineză reflectă influența Chinei asupra știrilor în limba mandarină. În Laos există mult mai puțini vorbitori de chineză, ceea ce reflectă succesul relativ al presei de stat chineze în mediul acestei țări.

Captură de ecran cu pagina de start a celui mai vizitat domeniu, PhoenixTV.
Figura 14: Pagina de pornire a celui mai vizitat domeniu, PhoenixTV, care a înregistrat 32% din totalul vizualizărilor de pagină. Aflați mai multe despre această imagine la pagina 14 din raportul complet

Operațiunile cibernetice tot mai sofisticate ale Coreei de Nord colectează informații și generează venituri pentru stat

Actorii de amenințare cibernetică nord-coreeni desfășoară operațiuni cibernetice cu scopul (1) de a colecta informații despre activitățile celor percepuți ca fiind adversari de către stat: Coreea de Sud, Statele Unite și Japonia, (2) de a colecta informații despre capacitățile militare ale altor țări pentru a le îmbunătăți pe ale lor și (3) de a colecta fonduri sub formă de criptomonede pentru stat. În ultimul an, Microsoft a observat o suprapunere mai mare a țintelor între diferiți actori de amenințare nord-coreeni și o creștere a gradului de sofisticare a grupărilor nord-coreene de activitate.

Prioritățile cibernetice ale Coreei de Nord pun accentul pe cercetarea în domeniul tehnologiei maritime, pe fondul testării de drone și vehicule subacvatice

În ultimul an, Investigarea amenințărilor Microsoft a observat o suprapunere sporită a țintelor actorilor de amenințare nord-coreeni. De exemplu, trei actori de amenințare nord-coreeni – Ruby Sleet (CERIUM), Diamond Sleet (ZINC) și Sapphire Sleet (COPERNICIUM) – au vizat sectorul maritim și al construcțiilor navale în perioada noiembrie 2022 - ianuarie 2023. Microsoft nu mai observase până acum un astfel de nivel de suprapunere a țintelor în mai multe grupuri de activitate nord-coreene, ceea ce sugerează că cercetările în domeniul tehnologiei maritime constituiau o prioritate majoră pentru guvernul nord-coreean la acea vreme. În martie 2023, Coreea de Nord ar fi testat două rachete de croazieră strategice de la bordul unui submarin în direcția Mării Japoniei (cunoscută și sub numele de Marea de Est) cu titlu de avertisment înainte de exercițiul militar Freedom Shield dintre Coreea de Sud și SUA. Ulterior, în aceeași lună și în luna care a urmat, Coreea de Nord ar fi efectuat teste cu două drone subacvatice de atac Haeil în apropierea coastei sale estice, orientându-le spre Marea Japoniei. Aceste teste ale capacităților militare maritime s-au desfășurat la scurtă vreme după ce trei grupări cibernetice din Coreea de Nord au țintit structuri de apărare maritimă în scopul colectării de informații.

Actorii de amenințare compromit firmele din domeniul apărării ca urmare a faptului că regimul nord-coreean stabilește cerințe de colectare de înaltă prioritate

În perioada noiembrie 2022 - ianuarie 2023, Microsoft a observat un al doilea caz de suprapunere a țintelor, Ruby Sleet și Diamond Sleet compromițând firme din domeniul apărării. Cei doi actori de amenințare au reușit să compromită două companii producătoare de armament, localizate în Germania și Israel. Acest lucru sugerează că guvernul nord-coreean desemnează mai multe grupări de actori de amenințare simultan pentru a îndeplini cerințele de colectare de înaltă prioritate în vederea îmbunătățirii capacităților militare ale țării. Începând cu ianuarie 2023, Diamond Sleet a compromis și companii din domeniul apărării din Brazilia, Cehia, Finlanda, Italia, Norvegia și Polonia.
Diagrama radială care arată industriile de apărare cele mai vizate de Coreea de Nord în funcție de țară
Figura 15: Coreea de Nord a vizat industriile de apărare per țară, din martie 2022 până în martie 2023

Guvernul rus și industriile de apărare continuă să constituie ținte pentru Coreea de Nord în vederea colectării de informații

Mai mulți actori de amenințare nord-coreeni au vizat recent guvernul rus și industria de apărare, asigurând în același timp sprijin material pentru Rusia în războiul său din Ucraina.32 În martie 2023, Ruby Sleet a compromis un institut de cercetare aerospațială din Rusia. În plus, Onyx Sleet (PLUTONIUM) a compromis un dispozitiv aparținând unei universități din Rusia la începutul lunii martie. Separat, un cont de atacator atribuit lui Opal Sleet (OSMIUM) a trimis e-mailuri de phishing către conturi aparținând unor entități guvernamentale diplomatice rusești în cursul aceleiași luni. Este posibil ca actorii de amenințare nord-coreeni să profite de oportunitatea de a colecta informații despre entitățile rusești ca urmare a preocupării țării pentru războiul din Ucraina.

Grupările nord-coreene dau dovadă de operațiuni mai sofisticate prin furturi de criptomonede și atacuri asupra lanțului de aprovizionare

Microsoft estimează că grupările de activitate nord-coreene desfășoară operațiuni din ce în ce mai sofisticate prin furtul de criptomonede și atacuri asupra lanțului de aprovizionare. În ianuarie 2023, Biroul Federal de Investigații (FBI) a atribuit în mod public furtul din iunie 2022 a 100 de milioane de USD în criptomonede de la Harmony’s Horizon Bridge lui Jade Sleet (DEV-0954), alias Lazarus Group/APT38.33 În plus, Microsoft a atribuit atacul lanțului de aprovizionare 3CX din martie 2023 care a profitat de un compromis anterior al lanțului de aprovizionare al unei companii de tehnologie financiară din SUA din 2022 lui Citrine Sleet (DEV-0139). Aceasta a fost prima dată când Microsoft a observat o grupare de activitate care a utilizat compromiterea unui lanț de aprovizionare existent pentru a efectua un alt atac asupra lanțului de aprovizionare, ceea ce demonstrează sofisticarea tot mai accentuată a operațiunilor cibernetice nord-coreene.

Emerald Sleet desfășoară o tactică dovedită de spearphishing prin atragerea experților pentru a primi răspunsuri cu detalii privind politica externă

Emerald Sleet (THALLIUM) rămâne cel mai activ actor de amenințare nord-coreean monitorizat de Microsoft în ultimul an. Emerald Sleet continuă să trimită frecvent e-mailuri de spearphishing experților în Peninsula Coreeană din întreaga lume în scopul colectării de informații. În decembrie 2022, Investigarea amenințărilor Microsoft a detaliat campaniile de phishing ale Emerald Sleet, care au vizat experți influenți pe tema Coreei de Nord din Statele Unite și din țările aliate SUA. În loc să distribuie fișiere rău intenționate sau linkuri către site-uri web rău intenționate, Microsoft a descoperit că Emerald Sleet utilizează o tactică unică: preluarea identității unor instituții universitare și ONG-uri de renume pentru a atrage victimele și a le determina să furnizeze răspunsuri cu informații și comentarii de specialitate cu privire la politicile externe legate de Coreea de Nord.

Capacități: Influențare

În ultimul an, Coreea de Nord a inițiat operațiuni de influență restrânse pe platformele de socializare dedicate distribuirii de videoclipuri, cum ar fi YouTube și TikTok.34 Formatorii de opinie nord-coreeni activi pe YouTube sunt predominant fete și femei, dintre care cea mai tânără are doar unsprezece ani. Acestea postează vloguri despre viața de zi cu zi și promovează discursuri favorabile regimului. Unii dintre formatorii de opinie vorbesc în engleză în videoclipuri, cu scopul de a atinge un public global mai larg. Formatorii de opinie din Coreea de Nord sunt mult mai puțin eficienți decât inițiativa de influențare susținută de presa de stat chineză.

Anticipând cum tensiunile geopolitice vor intensifica activitățile cibernetice și operațiunile de influență

În ultimii ani, China a continuat să-și extindă capacitățile cibernetice și a dat dovadă de mult mai multă ambiție în campaniile sale de IO. Pe termen scurt, Coreea de Nord se va concentra în continuare asupra țintelor care au legătură cu interesele sale politice, economice și de apărare din regiune. Ne putem aștepta la o intensificare a spionajului cibernetic atât împotriva oponenților, cât și a susținătorilor obiectivelor geopolitice ale PCC pe fiecare continent. Deși grupările de amenințare din China continuă să dezvolte și să utilizeze capacități cibernetice impresionante, nu am observat cazuri în care China să combine operațiunile cibernetice cu cele de influență, spre deosebire de Iran și Rusia, care se angajează în campanii de hacking și scurgere de date.

Acționând la o scară neegalată de alți actori de influență malignă, actorii de influență aliniați cu China sunt pregătiți să profite de o serie de tendințe și evenimente cheie în următoarele șase luni.

În primul rând, operațiunile care utilizează mijloace video și vizuale devin o regulă. Rețelele afiliate PCC utilizează de mult timp imagini de profil generate de inteligența artificială, iar anul acesta au adoptat arta generată de inteligența artificială pentru meme-uri vizuale. Actorii susținuți de stat vor continua, de asemenea, să apeleze la studiouri de conținut private și firme de relații publice pentru a externaliza propaganda la cerere.35

În al doilea rând, China va continua să vizeze o interacțiune autentică cu publicul, investind timp și resurse în active cultivate pentru rețelele de socializare. Formatorii de opinie cu cunoștințe culturale și lingvistice aprofundate și conținut video de înaltă calitate sunt pionierii unei interacțiuni cu publicul de succes pe rețelele de socializare. PCC va pune în aplicare câteva dintre aceste tactici, inclusiv interacțiunea cu utilizatorii rețelelor de socializare și demonstrarea cunoștințelor culturale, pentru a-și consolida campaniile discrete pe rețelele de socializare.

În al treilea rând, este probabil ca Taiwanul și Statele Unite să rămână primele două priorități pentru IO al Chinei, în special în contextul alegerilor care vor avea loc în ambele țări în 2024. Având în vedere că actorii de influență aliniați cu PCC au vizat alegerile din SUA în trecutul recent, este aproape sigur că o vor face din nou. Activele de pe rețelele de socializare care se prefac că sunt alegători americani vor da dovadă probabil de un grad mai ridicat de sofisticare, provocând în mod activ disensiuni pe criterii rasiale, socio-economice și ideologice, cu un conținut extrem de critic la adresa Statelor Unite ale Americii.

  1. [1]
  2. [2]

    Noile baze din Filipine sporesc prezența militară americană în regiune, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    În prezent, nu există suficiente dovezi pentru a lega între ele aceste grupări.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; Aceste statistici reflectă datele valabile în aprilie 2023.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Acești actori de influență sunt uneori cunoscuți sub numele de „Spamouflage Dragon” sau „DRAGONBRIDGE”.
  18. [18]
  19. [19]
  20. [20]

    Consultați: Cadrul Centrului de analiză a amenințărilor Microsoft pentru determinarea atribuțiilor de influență. https://go.microsoft.com/fwlink/?linkid=2262095; Diaspora chineză poartă în mod obișnuit denumirea de „chinezi de peste ocean” sau 华侨 (huaqiao) conform guvernului chinez, referindu-se la cei cu cetățenie sau origini chinezești care locuiesc în afara RPC. Pentru mai multe detalii despre interpretarea pe care Beijingul o dă diasporei chineze, consultați: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Guvernul chinez a lansat această ipoteză la începutul pandemiei COVID-19, consultați: https://go.microsoft.com/fwlink/?linkid=2262170; Printre site-urile din cadrul acestei rețele care promovează această afirmație se numără: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Apărarea Ucrainei: Primele lecții din războiul cibernetic, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    O altă interpretare a „xuexi qiangguo” este „Studiază-l pe Xi pentru a-ți întări țara”. Numele este un joc de cuvinte pe seama numelui de familie al lui Xi Jinping. Autoritățile, universitățile și firmele din China promovează puternic utilizarea aplicației, uneori mustrând sau pedepsindu-și subalternii pentru utilizarea mai puțin frecventă a acesteia, consultați: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    Ziarul este deținut de Shanghai United Media Group, care, la rândul său, este deținut de Comitetul Partidului Comunist din Shanghai: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    În trecut, PCC a investit în companii din sectorul privat care ajută campaniile de IO prin intermediul tehnicilor de manipulare SEO, al unor aprecieri și urmăritori falși și al altor servicii. Documentele de achiziții publice dezvăluie astfel de oferte, consultați: https://go.microsoft.com/fwlink/?linkid=2262522

Operațiuni de influență cibernetică Rapoarte privind amenințări în numele unei țări din Asia de Est Rapoarte privind amenințări în numele unei țări Phishing Actori de amenințare

Articole asociate

Volt Typhoon vizează infrastructura critică din Statele Unite ale Americii prin tehnici cu instrumente native (LOTL)

S-a observat că Volt Typhoon, actorul de amenințare sponsorizat de China, folosește tehnici ascunse pentru a viza infrastructura critică din Statele Unite ale Americii, pentru a spiona și a se instala în medii compromise.
Aflați mai multe

Propaganda în epoca digitală: Cum erodează încrederea operațiunile de influență cibernetică

Survolați lumea operațiunilor de influență cibernetică, unde statele distribuie propagandă menită să amenințe informațiile de încredere de care democrația are nevoie pentru a înflori.
Aflați mai multe

Iranul recurge la operațiuni de influență cu suport cibernetic pentru un impact mai mare

Investigarea amenințărilor Microsoft a descoperit o intensificare a operațiunilor de influență cibernetică din Iran. Obțineți informații privind amenințările, cu detalii despre tehnicile noi și despre potențialul amenințărilor viitoare.
Aflați mai multe

Urmăriți Microsoft Security