Trace Id is missing

Digitalne pretnje iz Istočne Azije povećavaju širinu i efikasnost delovanja

Preuzmi
Deljenje
Osoba sedi ispred računara

Uvod

Nekoliko novih trendova ilustruje izrazito promenljivo okruženje pretnji širom Istočne Azije, pri čemu Kina sprovodi široko rasprostranjene kako kibernetičke tako i operacije uticaja (IO), a severnokorejski akteri kibernetičkih pretnji pokazuju povećanu složenost.

Prvo, kineske grupe za kibernetičke pretnje povezane sa državom pokazale su posebno interesovanje za region Južnog kineskog mora, usmeravajući kibernetičku špijunažu na vlade i druge značajne entitete koji okružuju ovu primorsku oblast. U međuvremenu, kinesko usmeravanje na sektor odbrane Sjedinjenih Država i ispitivanje infrastrukture Sjedinjenih Država pokazuju pokušaje sticanja konkurentske prednosti u kineskim međunarodnim odnosima i postizanja strateških vojnih ciljeva.

Drugo, Kina je uz IO u protekloj godini postala efikasnija u angažovanju korisnika društvenih mreža . Kineske kampanje uticaja na mreži dugo su se oslanjale na ogroman obim radnji za dopiranje do korisnika putem čitavih mreža neautentičnih naloga na društvenim medijima. Međutim, od 2022. godine, mreže društvenih medija usklađenih sa Kinom stupile su u direktan kontakt sa autentičnim korisnicima na društvenim mrežama, usmerile su svoje aktivnosti na određene kandidate u sadržaju u vezi sa izborima u SAD i predstavljale se kao američki glasači. Nezavisno od toga, višejezična inicijativa za influensere na društvenim mrežama povezanih sa kineskom vladom uspešno je angažovala ciljne grupe korisnika na najmanje 40 jezika i povećala broj korisnika na više od 103 miliona.

Treće, Kina je u protekloj godini nastavila da pojačava svoje IO kampanje, ulažući napore u osvajanje novih jezika i novih platformi kako bi ostvarila još veći uticaj na globalnom nivou. Na društvenim medijima, kampanje postavljaju hiljade neautentičnih naloga na desetinama veb sajtova sa kojih šire mimove, video snimke i poruke na više jezika. U novinskim medijima na mreži, kineski državni mediji se taktično i efikasno postavljaju kao autoritativno mnjenje o međunarodnom diskursu Kine, pri čemu koriste razna sredstva za vršenje uticaja na medijske kuće širom sveta. Jedna kampanja je nametala propagandu Komunističke partije Kine (KPK) preko lokalnih novinskih veb sajtova namenjenih kineskoj dijaspori u više od 35 zemalja.

Konačno, Severna Koreja – koja, za razliku od Kine, nema sposobnost složenog aktera uticaja – i dalje predstavlja veliku kibernetičku pretnju. Severna Koreja ne prestaje da pokazuje interesovanje za prikupljanje obaveštajnih podataka i povećanje taktičke složenosti koristeći, među ostalim taktikama, kaskadne napade na lance snabdevanja i krađu kriptovaluta.

Kineske kibernetičke operacije ponovo se fokusiraju na Južno kinesko more i ključne industrije u Sjedinjenim Državama

Od početka 2023. godine, služba za Microsoft informacije o pretnjama identifikovala je tri oblasti na koje su se fokusirali akteri kibernetičkih pretnji povezani sa Kinom: Južno kinesko more, odbrambena industrijska baza Sjedinjenih Država i ključna infrastruktura Sjedinjenih Država.

Usmeravanje napada pod pokroviteljstvom kineske države pokazuje strateške ciljeve u Južnom kineskom moru

Zlonamerni akteri povezani sa kineskom državom ne prestaju da pokazuju interesovanje za Južno kinesko more i Tajvan, što ukazuje na širok spektar kineskih ekonomskih, odbrambenih i političkih interesa u ovom regionu.1 Neslaganja oko teritorijalnog suvereniteta, sve veće tenzije u odnosima Kine i Tajvana i povećano vojno prisustvo Sjedinjenih Država mogu motivisati ofanzivne kibernetičke aktivnosti.2

Korporacija Microsoft pratila je Raspberry Typhoon (RADIUM) kao primarnu grupu za pretnje koja usmerava napade na zemlje oko Južnog kineskog mora. Grupa Raspberry Typhoon ne prestaje sa napadima na ministarstva vlade, vojne entitete, kao i korporativne entitete povezane sa ključnom infrastrukturom, posebno sa telekomunikacijama. Od januara 2023. godine, grupa Raspberry Typhoon je posebno uporna. Kada cilja ministarstva vlade ili infrastrukturu, grupa Raspberry Typhoon obično prikuplja obaveštajne podatke i sprovodi napade malverom. U mnogim zemljama, izbor meta varira i kreće se od ministarstava za odbranu i obaveštavanje do ministarstava privrede i trgovine.

Flax Typhoon (Storm-0919) predstavlja najistaknutiju grupu za pretnje usmerenu na ostrvo Tajvan. Ova grupa prvenstveno je usmerena na telekomunikacije, obrazovanje, informacione tehnologije i energetsku infrastrukturu, obično korišćenjem prilagođenog VPN uređaja za uspostavljanje direktnog prisustva na ciljnoj mreži. Slično tome, Charcoal Typhoon (CHROMIUM) usmerava napade na tajvanske obrazovne ustanove, energetsku infrastrukturu i visokotehnološku proizvodnju. 2023. godine obe grupe, i Charcoal Typhoon i Flax Typhoon, usmeravale su napade na tajvanske vazduhoplovne entitete koji imaju ugovor sa tajvanskom vladom.

Mapa regiona Južnog kineskog mora na kojoj su obeleženi osmatrani događaji po zemljama
Slika 1: Osmatrani događaji po zemljama u Južnom kineskom moru od januara 2022. do aprila 2023. Saznajte više o ovoj slici na stranici 4 u kompletnom izveštaju

Kineski akteri pretnji usmeravaju pažnju na Guam, jer SAD tamo grade mornaričku bazu

Više grupa za pretnje sa sedištem u Kini nastavlja da napada odbrambenu industrijsku bazu Sjedinjenih Država, konkretno grupe Circle Typhoon (DEV-0322),Volt Typhoon (DEV-0391) i Mulberry Typhoon (MANGANESE). Iako se mete ove tri grupe povremeno preklapaju, radi se o različitim akterima sa različitom infrastrukturom i mogućnostima.3

Circle Typhoon sprovodi širok spektar kibernetičkih aktivnosti protiv odbrambene industrijske baze SAD, uključujući razvoj resursa, prikupljanje, početni pristup, kao i pristup akreditivima. Circle Typhoon često koristi VPN uređaje za usmeravanje napada na izvođače u IT sektoru i sektoru odbrane sa sedištem u SAD. Grupa Volt Typhoon sprovodila i izviđanje brojnih američkih izvođača u sektoru odbrane. Guam je najčešća meta tih kampanja, posebno entiteti za satelitsku i telekomunikaciju koji se tamo nalaze.4

Taktika koju Volt Typhoon često koristi sastoji se od ugrožavanja malih kancelarijskih i kućnih rutera, obično za potrebe izgradnje infrastrukture.5 I grupa Mulberry Typhoon je gađala odbrambenu industrijsku bazu SAD, prvenstveno korišćenjem uređaja za ciljanje na nulti dan.6 Pojačani napadi na Guam su od velikog značaja budući da predstavlja teritoriju SAD najbližu istočnoj Aziji i od ključnog je značaja za strategiju SAD u regionu.

Kineske grupe za pretnje ciljaju ključnu infrastrukturu SAD

Korporacija Microsoft je zapazila da grupe za pretnje povezane sa kineskom državom u poslednjih šest meseci ciljaju ključnu infrastrukturu SAD u više sektora i razvoj značajnih resursa. Volt Typhoon je primarna grupa koja najmanje od leta 2021. godine stoji iza ovih aktivnosti, a obim tih aktivnosti još uvek nije sasvim poznat.

Sektori koji su mete napada obuhvataju prevoz (na primer, luke i železnice), postrojenja (recimo za preradu energije i vode), medicinsku infrastrukturu (uključujući bolnice) i infrastrukturu za telekomunikacije (uključujući satelitsku komunikaciju i sisteme sa optičkim vlaknima). Microsoft smatra da ova kampanja može Kini da omogući ometanje ključne infrastrukture i komunikacije između Sjedinjenih Država i Azije.7

Grupa za pretnje sa sedištem u Kini usmerava napade na oko 25 organizacija, uključujući entitete vlade Sjedinjenih Država

Počev od 15. maja, grupa Storm-0558, zlonamerni akter sa sedištem u Kini, koristila je lažne tokene za potvrdu identiteta kako bi pristupila nalozima e-pošte Microsoft klijenata u oko 25 organizacija, uključujući entitete vlada u SAD i Evropi.8 Korporacija Microsoft je uspešno blokirala ovu kampanju. Krajnji cilj napada bio je dobijanje neovlašćenog pristupa nalozima e-pošte. Microsoft smatra da je ova aktivnost bila u skladu sa ciljevima u vezi sa špijunažom grupe Storm-0558. Mete grupe Storm-0558 ranije su bili diplomatski subjekti u SAD i Evropi.

Kina napada i svoje strateške partnere

Kako je Kina razvijala bilateralne odnose i globalna partnerstva kroz Inicijativu Pojas i put (BRI), kineski zlonamerni akteri povezani sa državom uporedo su sprovodili kibernetičke operacije protiv privatnih i javnih subjekata širom sveta. Grupe za pretnje sa sedištem u Kini ciljaju i zemlje koje su u skladu sa BRI strategijom KPK, uključujući entitete u Kazahstanu, Namibiji, Vijetnamu, kao i mnoge druge.9 U međuvremenu, široko rasprostranjena aktivnost pretnji neprekidno cilja ministarstva spoljnih poslova sa sedištima u Evropi, Latinskoj Americi i Aziji – verovatno u potrazi za ciljem ekonomske špijunaže ili prikupljanja obaveštajnih podataka.10 Sa širenjem globalnog uticaja Kine, uslediće i aktivnosti povezanih grupa za pretnje. Aprila 2023. godine grupa Twill Typhoon (TANTALUM) uspešno je ugrozila vladine računare u Africi i Evropi, kao i humanitarne organizacije širom sveta.

Operacije na društvenim mrežama usklađene sa KPK povećavaju efikasan angažman korisnika

Operacije tajnog uticaja povezane sa KPK počele su sada u većoj meri nego ranije uspešno da sarađuju sa ciljnim grupama korisnika na društvenim mrežama, što predstavlja viši nivo složenosti i prefinjenosti sredstava za IO na mreži. Uoči preliminarnih izbora u Americi 2022. godine, korporacija Microsoft i industrijski partneri uočili su naloge na društvenim mrežama povezane sa KPK koji se lažno predstavljaju kao američki glasači – nova teritorija za IO povezane sa KPK.11 Ti nalozi su se predstavljali kao Amerikanci u čitavom političkom spektru i odgovarali na komentare autentičnih korisnika.

Kako po ponašanju tako i po sadržaju, ti nalozi su pokazali veliki broj dobro dokumentovanih kineskih IO taktika, tehnika i procedura (TTP). Primeri obuhvataju: naloge koji objavljuju na mandarinskom jeziku u ranoj fazi, pre nego što pređu na neki drugi jezik, uključivanje sadržaja iz drugih sa Kinom usklađenih sredstava odmah nakon objavljivanja, kao i korišćenje obrasca interakcije „početak i amplifikator“.12 Za razliku od ranijih IO kampanja aktera povezanih sa KPK kojima se rukovodilo generisanim putem sa računara, pa su imena za prikaz i slike profila bili lako uočljivi13, ovim složenijim nalozima upravljaju stvarni ljudi koji koriste fiktivne ili ukradene identitete kako bi prikrili povezanost naloga sa KPK.

Nalozi društvenih mreža na ovoj mreži pokazuju ponašanje slično aktivnostima koje je navodno sprovodila elitna grupa u okviru Ministarstva javne bezbednosti (MPS) pod nazivom Specijalna radna grupa 912. Prema podacima Ministarstva pravde SAD, grupa je upravljala farmom trolova na društvenim mrežama iz koje je kreirano na hiljade lažnih osoba na mreži i nametala je propagandu KPK usmerenu na prodemokratski opredeljene aktiviste.

Negde od marta 2023. godine, neki entiteti za koje se sumnja da predstavljaju kineska IO sredstva na zapadnim društvenim mrežama počeli su da koriste generativnu veštačku inteligenciju (AI) za kreiranje vizuelnog sadržaja. Taj relativno kvalitetan vizuelni sadržaj već je postigao veći nivo angažovanja autentičnih korisnika društvenih mreža. Te slike imaju obeležja generisanja slika difuzionim modelom i privlačnije su od nezgrapnog vizuelnog sadržaja korišćenog u prethodnim kampanjama. Korisnici su češće objavljivali te vizuelni elemente, uprkos uobičajenim pokazateljima generisanja veštačkom inteligencijom – na primer, više od pet prstiju na šaci osobe.14

Uporedni prikaz objava na društvenim mrežama koje prikazuju istovetne slike pokreta Black Lives Matter.
Slika 2: Grafički prikaz pokreta Black Lives Matter prvi put je otpremio automatizovani nalog povezan sa KPK, a zatim ga je sedam sati kasnije otpremio nalog koji se lažno predstavio kao američki konzervativni glasač.
Propagandna slika Kipa slobode generisana veštačkom inteligencijom.
Slika 3: Primer slike generisane veštačkom inteligencijom koju je objavilo sumnjivo kinesko IO sredstvo. Šaka Kipa slobode koja drži baklju ima više od pet prstiju. Saznajte više o ovoj slici na stranici 6 u kompletnom izveštaju.
Čitav niz influensera spada u ove četiri kategorije – novinari, influenseri koji se bave načinom života, vršnjaci i etničke manjine – u kontinuitetu koji se kreće od očitih do prikrivenih
Slika 4: Ova inicijativa obuhvata influensere koji spadaju u četiri kategorije na osnovu porekla, ciljnih grupa korisnika, metoda privlačenja, kao i strategije upravljanja. Sve osobe obuhvaćene našom analizom direktno su povezane sa kineskim državnim medijima (putem konkursa za zapošljavanje, prihvatanjem poziva za putovanja, kao i nekim drugim načinima novčane razmene). Saznajte više o ovoj slici na stranici 7 u kompletnom izveštaju.

Kineska državna inicijativa za angažovanje influensera

Još jedna strategija koja privlači pažnju značajnog broja korisnika na društvenim mrežama je koncept KPK „višejezičnih internet studija poznatih ličnosti“ (多语种网红工作室).15 Koristeći moć autentičnog glasa javnosti, više od 230 zaposlenih u državnim medijima i njihovim filijalama lažno se predstavlja kao influenseri nezavisnih društvenih medija na svim najvažnijim zapadnim platformama za društvene aktivnosti.16 Tokom 2022. i 2023. godine novi influenseri nastavljaju da se oglašavaju u proseku na svakih sedam nedelja. Ovi influenseri, koje je angažovala, obučila, promovisala i finansirala agencija China Radio International (CRI), kao i druge kineske državne medijske kuće, na stručan način šire lokalnu propagandu KPK koja kod ciljnih korisnika širom sveta postiže značajan uticaj i dostiže ukupan broj pratilaca od najmanje 103 miliona na više platformi na najmanje 40 govornih jezika.

Iako influenseri objavljuju uglavnom bezazlen sadržaj koji se odnosi na način života, ova tehnika prikriva propagandu usklađenu sa KPK koja nastoji da ublaži opštu sliku o Kini u inostranstvu.

Izgleda da su strategijom kojom kineski državni mediji angažuju influensere obuhvaćene dve različite grupe osoba: one koji imaju radno iskustvo u novinarstvu (posebno u državnim medijskim kućama) i osobe koje su nedavno diplomirale u programima za strane jezike. Konkretno, izgleda da China Media Group (matično preduzeće za CRI i CGTN) direktno angažuje diplomce vrhunskih kineskih škola za strane jezike kao što su Pekinški univerzitet za inostrane studije i Kineski univerzitet za komunikacije. Osobe koje nisu angažovane direktno sa univerziteta često su bivši novinari i prevodioci, koji nakon „rebrendiranja“ u influensere uklanjaju sa svojih profila sve eksplicitne pokazatelje pripadnosti državnim medijima.

Influenser koji govori laoskim jezikom, Song Siao, objavljuje vlog o načinu života u kojem se razmatra ekonomski oporavak Kine usred pandemije COVID-19.
Slika 5: Influenser koji govori laoskim jezikom, Song Siao, objavljuje vlog o načinu života u kojem se razmatra ekonomski oporavak Kine usred pandemije COVID-19. U video snimku koji je sam snimio, posećuje prodavnicu automobila u Pekingu i razgovara sa lokalnim stanovništvom. Saznajte više o ovoj slici na strani 8 u kompletnom izveštaju
Objava na društvenim mrežama influenserke na engleskom jeziku, Teri Rejčel.
Slika 6: Teči Rejčel, influenserka na engleskom jeziku koja obično objavljuje o kineskim inovacijama i tehnologiji, odstupa od tema svog sadržaja kako bi se uključila u raspravu o kineskom špijunskom balonu. Kao i drugi kineski državni mediji, ona odbija da prizna da je balon korišćen za špijunažu. Saznajte više o ovoj slici na strani 8 u kompletnom izveštaju

Influenseri se obraćaju korisnicima širom sveta na najmanje 40 jezika

Geografska distribucija jezika koje govore ovi influenseri povezani sa državom pokazuje sve veći kineski globalni uticaj i dobijanje na prioritetu u regionu. Influenseri koji govore azijskim jezicima izuzev kineskog – kao što su hindi, sinhaleški, paštunski, laoski, korejski, malajski i vijetnamski – čine najveći broj influensera. Influenseri koji govore engleski čine drugu najveću grupu influensera.
Pet kružnih grafikona koji prikazuju analizu influensera kineskih državnih medija po jezicima.
Slika 7: Analiza influensera kineskih državnih medija po jezicima. Saznajte više o ovoj slici na strani 9 u kompletnom izveštaju

Kina je usmerena na grupe korisnika širom sveta

Influenseri ciljaju sedam prostornih oblasti korisnika (jezičkih grupa) koje su razdvojene u geografske regione. Nema grafikona koji prikazuju oblasti korisnika za engleski ili kineski jezik.

Kineske IO šire globalni domet u nekoliko kampanja

Kina je 2023. godine dodatno proširila opseg svojih IO operacija tako što je uspela da dopre do korisnika na novim jezicima i novim platformama. Ove operacije kombinuju visoko kontrolisan otvoren državni medijski aparat sa prikrivenim ili nepoznatim sredstvima za društvene aktivnosti, uključujući botove koji peru i pojačavaju željene narative koje sprovodi KPK.17

Korporacija Microsoft je primetila jednu takvu kampanju usklađenu sa KPK, koja je počela u januaru 2022. godine i u vreme pisanja ovog teksta još uvek traje, usmerenu na špansku nevladinu organizaciju (NGO) Safeguard Defenders, nakon što je ova razotkrila postojanje više od 50 kineskih policijskih stanica u inostranstvu.18 Ova kampanja je postavila više od 1.800 naloga na nekoliko platformi za društvene aktivnosti i na desetinama veb sajtova, kako bi se širili mimovi, video snimci i poruke u kojima se kritikuju SAD i druge demokratske države.

Ti nalozi su slali poruke na novim jezicima (holandski, grčki, indonežanski, švedski, turski, ujgurski i mnogi drugi) i na novim platformama (uključujući među ostalim i Fandango, Rotten Tomatoes, Medium, Chess.com i VK). Uprkos obimu i upornosti ove operacije, objave u okviru nje retko privlače pažnju značajnog broja autentičnih korisnika, što ukazuje na rudimentarnu prirodu ovih kineskih aktivnosti na mrežama.

Niz od 30 logotipa poznatih tehnoloških brendova prikazan zajedno sa listom od 16 jezika
Slika 8: IO sadržaj usklađen sa KPK otkriven je na mnogim platformama i jezicima. Saznajte više o ovoj slici na strani 10 u kompletnom izveštaju
Uporedni prikaz primera snimaka ekrana video propagande na tajvanskom jeziku
Slika 9: Veliki broj deljenja objava na tajvanskom jeziku u kojima se tajvanska vlada poziva da se „preda“ Pekingu. Velika razlika između prikaza i deljenja veoma je indikativna za koordinisanu IO aktivnost. Saznajte više o ovoj slici na strani 10 u kompletnom izveštaju

Prikrivena globalna mreža novinskih veb sajtova KKP

Još jednu digitalnu medijsku kampanja koja ilustruje proširenu aktivnost IO povezanih sa KPK čini mreža od preko 50 novinskih veb sajtova pretežno na kineskom jeziku koji podržavaju navedeni cilj KPK da postane autoritativan glas svih medija na kineskom jeziku širom sveta.19 Iako se predstavljaju kao nezavisni, međusobno nepovezani veb sajtovi koji služe potrebama različitih zajednica kineske dijaspore širom sveta, sa velikom pouzdanošću smatramo da su ti veb sajtovi povezani sa Odeljenjem za rad Ujedinjenog fronta KPK (UFWD) – državnim organom koji je odgovoran za jačanje uticaja KPK van granica Kine: posebno za povezivanje sa „prekomorskim Kinezima“ – na osnovu tehničkih pokazatelja, informacija o registraciji veb sajtova, kao i deljenim sadržajima.20
Mapa sveta sa više od 20 logotipa kineskih veb sajtova usmerenih na globalnu kinesku dijasporu.
Slika 10: Mapa veb sajtova usmerenih na globalnu kinesku dijasporu za koje se procenjuje da predstavljaju deo ove medijske strategije.  Saznajte više o ovoj slici na strani 11 u kompletnom izveštaju

Pošto mnogi od ovih sajtova dele IP adrese, ispitivanje rezolucije domena uz Informacije o pretnjama za Microsoft Defender omogućilo nam je da otkrijemo više sajtova na mreži. Mnogi od ovih veb sajtova dele izloženi HTML kôd za veb, u kojem su čak i komentari veb programera ugrađeni u kôd i često identični na različitim veb sajtovima. Više od 30 ovih sajtova koristi isti programski interfejs aplikacije (API) i sistem za upravljanje sadržajem „podružnice u potpunom vlasništvu“ agencije China News Service (CNS), koje pripada medijskoj agenciji UFWD.21 Izveštaji Kineskog ministarstva industrije i informacionih tehnologija dodatno otkrivaju da su ovo i još jedno tehnološko preduzeće povezani sa UFWD registrovali najmanje 14 novinskih sajtova na ovoj mreži.22 Korišćenjem podružnica i nezavisnih medijskih preduzeća na ovaj način, UFWD može da dopre do korisnika širom sveta, pri čemu prikriva svoje direktno učešće.

Ovi veb sajtovi za sebe tvrde da predstavljaju nezavisne dobavljače vesti, iako učestalo ponovo objavljuju iste članke kineskih državnih medija, često tvrdeći da originalni sadržaj potiče iz njihovih izvora. Dok sajtovi naširoko pokrivaju teme sa međunarodnim vestima i objavljuju generičke članke kineskih državnih medija, politički osetljive teme uglavnom su u skladu sa željenim narativima KPK. Na primer, nekoliko stotina članaka u okviru ove mreže veb sajtova promoviše lažne tvrdnje o tome da je virus COVID-19 biološko oružje proizvedeno u američkoj vojnoj biološkoj istraživačkoj laboratoriji u Fort Detriku.23 Sajtovi često prenose i izjave zvaničnika kineske vlade u kojima se navodi da virus COVID-19 potiče iz SAD, a ne iz Kine. Ovi veb sajtovi pokazuju do koje mere kontrola KPK prožima medijsko okruženje na kineskom jeziku, dozvoljavajući Partiji da ućutka svako kritičko izveštavanje o osetljivim temama.

Dijagram akorda objavljenih članaka koji se preklapaju na više sajtova.
Slika 11: Veb sajtovi se lokalnom stanovništvu predstavljaju kao jedinstveni, ali objavljuju identičan sadržaj. Ovaj dijagram akorda prikazuje objavljene članke koji se preklapaju na više sajtova. Saznajte više o ovoj slici na stranici 12 u kompletnom izveštaju
Snimci ekrana sa člankom agencije China News Service koji je ponovo objavljen na veb sajtovima koji ciljaju korisnike u Italiji, Mađarskoj, Rusiji i Grčkoj
Slika 12: Agencija China News Service i drugi kineski državni mediji objavili su članak pod naslovom „Izjava SZO otkriva mračne američke biolaboratorije u Ukrajini“. Taj članak je potom objavljen na veb sajtovima koji ciljaju korisnike u Mađarskoj, Švedskoj, Zapadnoj Africi i Grčkoj. Saznajte više o ovoj slici na stranici 12 u kompletnom izveštaju

Globalni domet kineskih državnih medija

Iako gore opisanu kampanju karakteriše očigledno prikrivanje, veb sajtovi verodostojnih kineskih državnih medija čine ogromnu većinu gledanosti medija kojima rukovodi KPK. Širenjem na strane jezike,24 otvaranjem kineskih državnih medijskih kancelarija u inostranstvu25 i isporukom besplatnog sadržaja u skladu sa Pekingom,26 KPK proširuje domet svoje „moći diskursa“ (话语权) unošenjem propagande u novinske medije zemalja širom sveta.27
Organizacioni grafikon koji prikazuje snimak otvorenog propagandnog ekosistema KPK.
Slika 13: Organizacioni grafikon koji prikazuje snimak funkcija i entiteta koji čine deo otvorenog propagandnog ekosistema KPK. Saznajte više o ovoj slici na stranici 13 u kompletnom izveštaju

Merenje saobraćaja ka veb sajtovima kineskih državnih medija

Laboratorija „Veštačka inteligencija za opšte dobro“ korporacije Microsoft razvila je indeks za merenje toka saobraćaja od korisnika van Kine do prodajnih mesta u vlasništvu kineske vlade. Ovaj indeks meri udeo saobraćaja poseta ovim sajtovima u ukupnom saobraćaju na internetu, kao što je Indeks ruske propagande (RPI) uveden u upotrebu juna 2022. godine.28

U korišćenju kineskih državnih medija dominira pet domena, što čini približno 60% svih pregleda stranica kineskih državnih medija.

Grafički prikaz koji pokazuje korišćenje kineskih medija
Saznajte više o ovoj slici na stranici 14 u kompletnom izveštaju

Indeks može da rasvetli trendove relativnog uspeha kineskih državnih medijskih kuća po geografskim lokacijama tokom određenog vremenskog perioda. Na primer, među državama članicama Saveza zemalja Jugoistočne Azije (ASEAN), Singapur i Laos imaju više nego dvostruko veći saobraćaj ka veb sajtovima kineskih državnih medija od Bruneja koji zauzima treće mesto. Filipini su najniže rangirani, sa 30 puta manjim saobraćajem ka veb sajtovima kineskih državnih medija od Singapura i Laosa. U Singapuru, gde je mandarinski zvanični jezik, visok stepen korišćenja kineskih državnih medija pokazuje uticaj Kine na vesti na mandarinskom jeziku. U Laosu, gde mnogo manje ljudi govori kineski jezik, uočava se relativan uspeh kineskih državnih medija u okruženju te zemlje.

Snimak ekrana početne stranice najposećenijeg domena, PhoenixTV.
Slika 14: Početna stranica najposećenijeg domena, PhoenixTV, sa 32% svih pregleda stranice. Saznajte više o ovoj slici na stranici 14 u kompletnom izveštaju

Sve složenije severnokorejske kibernetičke operacije prikupljaju obaveštajne podatke i ostvaruju prihod državi

Severnokorejski akteri kibernetičkih pretnji sprovode kibernetičke operacije sa ciljem (1) prikupljanja obaveštajnih podataka o aktivnostima subjekata koji se smatraju državnim protivnicima: Južna Koreja, Sjedinjene Države i Japan (2) prikupljaju obaveštajne podatke o vojnim sposobnostima drugih zemalja kako bi poboljšali sopstvene i (3) prikupljaju sredstva u kriptovalutama za državu. Tokom prošle godine, korporacija Microsoft je uočila veća preklapanja u ciljanju među različitim zlonamernim akterima iz Severne Koreje i sve veću složenost u grupama aktivnosti Severne Koreje.

Kibernetički prioriteti Severne Koreje stavljaju naglasak na istraživanje pomorske tehnologije usred testiranja podvodnih bespilotnih letelica i vozila

Tokom prošle godine, služba za Microsoft informacije o pretnjama uočila je veća preklapanja u ciljanju među zlonamernim akterima Severne Koreje. Na primer, tri zlonamerna aktera iz Severne Koreje – Ruby Sleet (CERIUM), Diamond Sleet (ZINC) i Sapphire Sleet (COPERNICIUM) – usmeravali su napade na sektor pomorstva i brodogradnje od novembra 2022. do januara 2023. Korporacija Microsoft ranije nije primećivala ovaj stepen preklapanja u ciljanju kod više severnokorejskih grupa aktivnosti, što ukazuje na to da je u to vreme istraživanje pomorske tehnologije imalo visok prioritet za vladu Severne Koreje. Marta 2023. godine, Severna Koreja je navodno testirala dve strateške krstareće rakete sa podmornice prema Japanskom moru (poznato i kao Istočno more) kao upozorenje uoči vojne vežbe Freedom Shield. Kasnije tog i sledećeg meseca, Severna Koreja je navodno testirala dve podvodne jurišne bespilotne letelice blizu istočne obale zemlje prema Japanskom moru. Ova testiranja pomorskih vojnih sposobnosti dogodila su se ubrzo nakon što su tri severnokorejske kibernetičke grupe ciljale pomorske odbrambene objekte radi prikupljanja obaveštajnih podataka.

Zlonamerni akteri ugrožavaju odbrambena preduzeća jer režim Severne Koreje postavlja prikupljanje podataka kao zahtev visokog prioriteta

Od novembra 2022. do januara 2023. godine korporacija Microsoft je zapazila drugi slučaj preklapanja u ciljanju, kada su grupe Ruby Sleet i Diamond Sleet ugrozile odbrambena preduzeća. Dva zlonamerna aktera ugrozila su dva preduzeća za proizvodnju oružja sa sedištima u Nemačkoj i Izraelu. To ukazuje na činjenicu da vlada Severne Koreje istovremeno angažuje više grupa zlonamernih aktera kako bi ispunila zahteve visokog prioriteta za prikupljanje podataka radi poboljšanja vojnih sposobnosti zemlje. Od januara 2023. godine grupa Diamond Sleet ugrozila je i odbrambena preduzeća u Brazilu, Češkoj, Finskoj, Italiji, Norveškoj i Poljskoj.
Kružni grafikon koji prikazuje najčešće mete u odbrambenoj industriji po zemljama
Slika 15: Ciljanje Severne Koreje odbrambenog sektora po zemljama, od marta 2022. do marta 2023.

Ruska vlada i odbrambena industrija i dalje su mete Severne Koreje u cilju prikupljanja obaveštajnih podataka

Meta više severnokorejskih zlonamernih aktera nedavno je bila ruska vlada i odbrambena industrija, a njihova država istovremeno pruža materijalnu podršku Rusiji za rat u Ukrajini.32 Marta 2023. godine grupa Ruby Sleet ugrozila je institut za istraživanje vazdušno-kosmičkog prostora u Rusiji. Osim toga, grupa Onyx Sleet (PLUTONIUM) početkom marta je ugrozila uređaj koji pripada univerzitetu u Rusiji. Tokom istog meseca, nalog napadača koji se pripisuje grupi Opal Sleet (OSMIUM) zasebno je slao phishing e-poruke nalozima koji pripadaju ruskim diplomatskim vladinim subjektima. Severnokorejski zlonamerni akteri mogu, usled fokusiranja Rusije na rat u Ukrajini, da iskoriste priliku za sprovođenje aktivnosti prikupljanja ruskih obaveštajnih podataka.

Severnokorejske grupe pokazuju složenije operacije u krađi kriptovaluta i napadima na lance snabdevanja

Microsoft smatra da severnokorejske grupe aktivnosti sprovode sve složenije operacije krađom kriptovaluta i napadima na lance snabdevanja. Januara 2023. godine, Federalni istražni biro (FBI) javno je za krađu 100 miliona USD u kriptovalutama na platformi Harmony Horizon Bridge koja se dogodila juna 2022. godine optužio grupu Jade Sleet (DEV-0954), poznatu i kao Lazarus Group/APT38.33 Pored toga, korporacija Microsoft je grupi Citrine Sleet (DEV-0139) pripisala 3CX napad na lanac snabdevanja u martu 2023. godine kojim je iskorišćeno prethodno ugrožavanje lanca snabdevanja jednog preduzeća za finansijsku tehnologiju sa sedištem u SAD 2022. godine. Tada je korporacija Microsoft prvi put zapazila grupu aktivnosti koja koristi postojeće ugrožavanje lanca snabdevanja za sprovođenje još jednog napada na lanac snabdevanja, što pokazuje sve veću složenost severnokorejskih kibernetičkih aktivnosti.

Grupa Emerald Sleet primenjuje isprobanu i proverenu taktiku, ciljani phishing, kako bi navela stručnjake da odgovore uvidima o spoljnoj politici

Emerald Sleet (THALLIUM) je i dalje najaktivniji zlonamerni akter iz Severne Koreje kojeg je korporacija Microsoft pratila tokom prošle godine. Emerald Sleet nastavlja sa učestalim slanjem ciljanih phishing e-poruka stručnjacima za Korejsko poluostrvo širom sveta sa ciljem prikupljanja obaveštajnih podataka. Decembra 2022. godine služba za Microsoft informacije o pretnjama detaljno je objasnila phishing kampanje grupe Emerald Sleet usmerene na uticajne stručnjake za Severnu Koreju u SAD i zemljama saveznicama SAD. Korporacija Microsoft je otkrila da Emerald Sleet, umesto da postavlja zlonamerne datoteke ili veze ka zlonamernim veb sajtovima, koristi jedinstvenu taktiku: lažno predstavljanje uglednih akademskih ustanova i nevladinih organizacija sa ciljem navođenja žrtava da odgovore stručnim uvidima i komentarima o spoljnoj politici koja se odnosi na Severnu Koreju.

Mogućnosti: Uticaj

Severna Koreja je tokom prošle godine sprovodila ograničene operacije uticaja na platformama društvenih mreža za deljenje video sadržaja, kao što su YouTube i TikTok.34 Severnokorejski influenseri na platformi YouTube uglavnom su devojke i žene, od kojih jedna ima samo jedanaest godina, koje objavljuju vlogove o svom svakodnevnom životu i promovišu pozitivne narative u vezi sa režimom. Neki influenseri u svojim video snimcima govore engleskim jezikom, sa namerom da dopru do što većeg broja korisnika na globalnom nivou. Influenseri iz Severne Koreje mnogo su manje efikasni od inicijative za angažovanje influensera koju podržavaju kineski državni mediji.

Nastavićemo i ubuduće da pratimo kako geopolitičke tenzije kontrolišu kibernetičku aktivnost i operacije uticaja

Kina poslednjih godina nastavlja da širi svoje kibernetičke mogućnosti i pokazuje mnogo više ambicija u svojim IO kampanjama. U bliskoj budućnosti, Severna Koreja će ostati fokusirana na ciljeve koji se odnose na njene političke, ekonomske i odbrambene interese u regionu. Možemo očekivati veći obim kibernetičkog špijuniranja, kako protivnika tako i pristalica geopolitičkih ciljeva KPK na svim kontinentima. Iako grupe pretnji sa sedištem u Kini nastavljaju da razvijaju i koriste impresivne kibernetičke mogućnosti, nismo primetili da Kina kombinuje kibernetičke i operacije uticaja – za razliku od Irana i Rusije koji koriste kampanje hakovanja i curenja podataka.

Pošto su razmere njihovog delovanja nenadmašne u odnosu na druge aktere zlonamernog uticaja, akteri uticaja usklađeni sa Kinom spremni su da u narednih šest meseci iskoriste nekoliko ključnih trendova i događaja.

Prvo, operacije u kojima se koriste video i vizuelni mediji postaju norma. Mreže povezane sa KPK dugo su koristile slike profila generisane veštačkom inteligencijom, a ove godine su za vizuelne mimove usvojile veštinu generisanja veštačkom inteligencijom. Akteri pod okriljem države nastaviće da pristupaju privatnom sadržaju studija i službi za odnose sa javnošću kako bi na zahtev predali na dalje korišćenje propagandni materijal.35

Drugo, Kina ća nastaviti da traži načine za privlačenje autentičnih korisnika, tako što će ulagati vreme i resurse u razvijena sredstva za društvene aktivnosti. Influenseri sa temeljnim kulturološkim i lingvističkim znanjem, kao i poznavanjem izrazito kvalitetnog video sadržaja, bili su pioniri u uspešnom angažovanju na društvenim mrežama. KPK će primenjivati neke od ovih tehnika, uključujući ostvarivanje interakcije sa korisnicima društvenih medija i pokazivanje kulturološkog znanja, kako bi unapredili prikrivene kampanje na društvenim mrežama.

Treće, Tajvan i Sjedinjene Države verovatno će ostati dva glavna prioriteta za kineske IO, posebno zbog predstojećih izbora u obe zemlje 2024. godine. Budući da su aktivnosti aktera uticaja usklađenih sa KPK u skorašnjoj prošlosti bile usmerene na izbore u Sjedinjenim Državama, skoro je izvesno da će to ponovo učiniti. Sredstva društvenih medija koja se lažno predstavljaju kao američki glasači verovatno će pokazati veći stepen složenosti, aktivno šireći neslogu u vezi sa rasnim, socioekonomskim i ideološkim pitanjima sadržajima koji žestoko kritikuju Sjedinjene Države.

  1. [1]
  2. [2]

    Nove baze na Filipinima povećavaju vojno prisustvo SAD u regionu, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    Trenutno nema dovoljno dokaza za povezivanje ovih grupa.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Takvi akteri uticaja ponekad su poznati i kao „Spamouflage Dragon“ i „DRAGONBRIDGE“.
  18. [18]
  19. [19]
  20. [20]

    Pogledajte: Okvir Microsoft centra za analizu pretnji za određivanje atribucije uticaja. https://go.microsoft.com/fwlink/?linkid=2262095; Kineska vlada kinesku dijasporu obično naziva „prekomorski Kinezi“ ili 华侨 (huaqiao), što se odnosi na ljude sa kineskim državljanstvom ili poreklom, a koji borave van NRK. Da biste saznali više detalja o tome kako Peking tumači kinesku dijasporu, pogledajte: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Pogledajte narativ koji je kineska vlada razvila na početku pandemije COVID-19: https://go.microsoft.com/fwlink/?linkid=2262170; Veb sajtovi u okviru ove mreže koji promovišu ovu tvrdnju uključuju: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Odbrana Ukrajine: Prve spoznaje iz kibernetičkog rata, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Još jedno tumačenje u kineskoj aplikaciji Xuexi Qiangguo je „Izučavajte Xi i ojačajte zemlju“. Naziv je igra reči na prezime Si Đinpinga. Pogledajte kako državne ustanove, univerziteti i preduzeća u Kini snažno promovišu korišćenje aplikacije, ponekad izlažući sramoti ili kažnjavanju podređene pojedince ili grupe zbog retkog korišćenja: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    List je u vlasništvu preduzeća Shanghai United Media Group, koje je pak u vlasništvu Komiteta komunističke partije Šangaja: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    KPK je ranije ulagala sredstva u preduzeća u privatnom sektoru koja podržavaju IO kampanje tehnikama SEO manipulacije, lažnim sviđanjima i pratiocima, kao i drugim uslugama. Pogledajte kako dokumenti o nabavci otkrivaju takve ponude: https://go.microsoft.com/fwlink/?linkid=2262522

Operacije kibernetičkog uticaja Izveštaji o nacionalnim državama Istočne Azije Izveštaji o nacionalnim državama Phishing Zlonamerni akteri

Srodni članci

Volt Typhoon cilja ključne infrastrukture SAD tehnikom živeti-van-zemlje

Primećeno je da zlonamerni akter pod pokroviteljstvom kineske države, Volt Typhoon, koristi prikrivene tehnike za ciljanje ključne infrastrukture SAD, sprovođenje špijunaže i zadržavanje u ugroženom okruženju.
Saznajte više

Propaganda u digitalno doba: Kako operacije kibernetičkog uticaja narušavaju poverenje

Istražite svet operacija kibernetičkog uticaja, u kojem nacionalne države distribuiraju propagandu dizajniranu tako da ugrožava pouzdane informacije koje treba da omoguće procvat demokratije.
Saznajte više

Iran se okreće operacijama od uticaja koje omogućava kibernetička tehnologija radi postizanja većeg efekta

Microsoft informacije o pretnjama otkriva povećanje operacija od uticaja koje omogućava kibernetička tehnologija iz Irana. Pronađite uvide o pretnjama sa detaljima o novim tehnikama i o tome gde postoji mogućnost za buduće pretnje.
Saznajte više

Pratite Microsoft bezbednost