Trace Id is missing

Iste mete, novi pravilnici: Zlonamerni akteri iz istočne Azije koriste jedinstvene metode

Preuzmi
Deljenje
Apstrakna ilustracija pomorskog broda sa grafičkim prikazom crvenih krugova i mreže crnih elemenata na ružičastoj pozadini.

Korporacija Microsoft je od juna 2023. godine zapazila nekoliko izraženih kibernetičkih trendova i trendova uticaja iz Kine i Severne Koreje koji pokazuju ne samo dupliranje napada na poznate mete, već i pokušaje korišćenja složenijih tehnika uticaja radi postizanja postavljenih ciljeva.

Kineski kibernetički akteri su u poslednjih sedam meseci uglavnom birali tri ciljne oblasti:

  • Jedna grupa kineskih aktera u velikoj meri je napadala entitete na ostrvima južnog Pacifika.
  • Druga grupa kineskih aktivnosti nastavila je sa nizom kibernetičkih napada na regionalne protivnike u regionu Južnog kineskog mora.
  • Za to vreme, treća grupa kineskih aktera ugrožavala je odbrambenu industrijsku bazu Sjedinjenih Američkih Država.

Kineski akteri uticaja – umesto širenja geografskog opsega ciljeva – opredelili su se za usavršavanje tehnika i eksperimentisanje sa novim medijskim sadržajima. Kineske kampanje uticaja nastavljaju da usavršavaju sadržaj generisan ili poboljšan veštačkom inteligencijom. Akteri uticaja koji stoje iza ovih kampanja spremni su kako da unapređuju medijski sadržaj generisan veštačkom inteligencijom koji koristi njihovim strateškim narativima, tako i da kreiraju sopstvene video snimke, mimove i audio sadržaj. Takve vrste taktika korišćene su u kampanjama koje su podsticale podele u Sjedinjenim Američkim Državama i dovodile do povećanja razdora u Azijsko-pacifičkom regionu – uključujući Tajvan, Japan i Južnu Koreju. Te kampanje su postizale različite stepene odjeka bez jedinstvene formule koja bi dovela do ujednačenog interesovanja korisnika.

Severnokorejski kibernetički akteri dospeli su na naslovne strane medija zbog porasta broja napada na lance snabdevanja softverom i pljačke kriptovaluta tokom prošle godine. Dok su strateške kampanje u kojima se koristi ciljani phishing usmerene na istraživače koji se bave proučavanjem Korejskog poluostrva i dalje stalni trend, izgleda da zlonamerni akteri iz Severne Koreje više koriste legitiman softver kako bi ugrozili još više žrtava.

Gingham Typhoon usmerava napade na državne institucije, IT sektor i višenacionalne entitete na ostrvima južnog Pacifika

Tokom leta 2023. godine služba za Microsoft informacije o pretnjama uočila je aktivnost velikih razmera špijunske grupe Gingham Typhoon sa sedištem u Kini usmerene na skoro svaku zemlju na ostrvima Južnog Pacifika. Gingham Typhoon je najaktivniji akter u ovom regionu, koji složenim phishing kampanjama napada međunarodne organizacije, vladine entitete i IT sektor. Među žrtvama su bili i glasni kritičari kineske vlade.

Među diplomatskim saveznicima Kine koji su bili žrtve nedavne aktivnosti grupe Gingham Typhoon nalaze se izvršne kancelarije u vladi, odeljenja vezana za trgovinu, dobavljači internet usluga, kao i jedan privredni subjekt iz oblasti prevoza.

Motivacija za ove ofanzivne kibernetičke aktivnosti može biti pojačana geopolitička i diplomatska konkurencija u ovom regionu. Kina teži strateškom partnerstvu sa ostrvskim zemljama južnog Pacifika kako bi proširila ekonomske odnose i posredovala u diplomatskim i bezbednosnim sporazumima. Kineska kiberenetička špijunaža u ovom regionu prati i ekonomske partnere.

Na primer, kineski akteri su učestvovali u velikim napadima na višenacionalna preduzeća u Papui Novoj Gvineji, dugogodišnjem diplomatskom partneru koji ima koristi od više projekata Inicijative Pojas i put (BRI), uključujući izgradnju glavnog autoputa koji povezuje zgradu vlade sa glavnim putem do glavnog grada Papue Nove Gvineje.1

Mapa koja ilustruje učestalost ciljanih kibernetičkih pretnji u ostrvskim zemljama Pacifika, sa većim krugovima
Slika 1: Uočeni događaji koje je grupa Gingham Typhoon sprovela od juna 2023. do januara 2024. godine. Ova aktivnost naglašava njihovo neprekidno fokusiranje na ostrvske zemlje Južnog Pacifika. Ipak, veći deo ovih napada još uvek je u toku, što pokazuje dugogodišnje fokusiranje na taj region. Geografske lokacije i prečnik korišćenja jezika simbola predstavljaju primer aktivnosti.

Kineski zlonamerni akteri zadržavaju fokus na Južnom kineskom moru tokom vojnih vežbi zapadnih država

Zlonamerni akteri sa sedištem u Kini nastavili su sa napadima na subjekte koji su povezani sa ekonomskim i vojnim interesima Kine u Južnom kineskom moru i oko njega. Ti su akteri oportunistički ugrožavali žrtve iz domena državnih institucija i telekomunikacija u državama članicama Saveza zemalja Jugoistočne Azije (ASEAN). Izgleda da su kineski državni kibernetički akteri bili posebno zainteresovani za mete koje imaju veze sa brojnim vojnim vežbama koje su Sjedinjene Države sprovodile u regionu. Raspberry Typhoon, grupa aktivnosti nacionalne države sa sedištem u Kini, juna 2023. godine uspešno je gađala vojne i izvršne subjekte u Indoneziji i malezijski pomorski sistem nedeljama pre retke multilateralne pomorske vežbe u kojoj su učestvovale Indonezija, Kina i Sjedinjene Američke Države.

Slično tome, subjekti povezani sa zajedničkim vojnim vežbama Sjedinjenih Država i Filipina bili se mete drugog kineskog kibernetičkog aktera, Flax Typhoon. U međuvremenu je Granite Typhoon, još jedan zlonamerni akter sa sedištem u Kini, tokom ovog perioda ugrožavao prvenstveno telekomunikacione subjekte, a žrtve napada su se nalazile u Indoneziji, Maleziji, na Filipinima, u Kambodži i Tajvanu.

Od objave na blogu korporacije Microsoft o grupi Flax Typhoon, korporacija Microsoft je početkom jeseni i tokom zime 2023. godine uočila nove mete grupe Flax Typhoon na Filipinima, u Hongkongu, Indiji i Sjedinjenim Državama.2 Ovaj akter učestalo napada i sektor telekomunikacija, što često utiče na mnoge krajnje korisnike.

Mapa koja prikazuje podatke službe za Microsoft informacije o pretnjama o najčešće napadanim regionima u Aziji,
Slika 2: Uočeni događaji u kojima grupe Flax Typhoon, Granite Typhoon ili Raspberry Typhoon usmeravaju napade na zemlje u Južnom kineskom moru ili oko njega. Geografske lokacije i prečnik korišćenja jezika simbola predstavljaju primer aktivnosti.

Nylon Typhoon ugrožava subjekte spoljnih poslova širom sveta

Kineski zlonamerni akter sa sedištem u Kini, Nylon Typhoon, nastavio je sa dugogodišnjom praksom napada na subjekte spoljnih poslova u zemljama širom sveta. Od juna do decembra 2023. godine korporacija Microsoft je uočila aktivnosti grupe Nylon Typhoon u državnim organima u Južnoj Americi, uključujući Brazil, Gvatemalu, Kostariku i Peru. Ovaj zlonamerni akter primećen je i u Evropi, gde je ugrožavao državne organe u Portugaliji, Francuskoj, Španiji, Italiji i Ujedinjenom Kraljevstvu. Iako su većinu evropskih meta činili državni organi, ugrožavana su i neka preduzeća u IT sektoru. Svrha ovih napada je prikupljanje obaveštajnih podataka.

Kineska zlonamerna grupa napada vojne objekte i ključnu infrastrukturu u Sjedinjenim Državama

Konačno, grupa Storm-0062 je pojačala aktivnosti tokom jeseni i zime 2023. godine. Veći deo ovih aktivnosti imao je za cilj ugrožavanje državnih organa povezanih sa odbrambenim snagama Sjedinjenih Država, uključujući izvođače koji pružaju tehničke inženjerske usluge u oblasti vazduhoplovstva, odbrane i prirodnih resursa od ključnog značaja za nacionalnu bezbednost Sjedinjenih Država. Osim toga, grupa Storm-0062 je u više navrata gađala vojne objekte u Sjedinjenim Državama; međutim, nije sasvim jasno da li su ti pokušaji ugrožavanja bili uspešni.

I odbrambena industrijska baza Sjedinjenih Američkih Država ostaje meta grupe Volt Typhoon. U maju 2023. godine korporacija Microsoft je napade na organizacije zadužene za ključnu infrastrukturu Sjedinjenih Država pripisala grupi Volt Typhoon, akteru pod pokroviteljstvom države sa sedištem u Kini. Grupa Volt Typhoon dobila je pristup mrežama organizacija korišćenjem tehnika živeti-van-zemlje i aktivnosti praktičnog napada sa tastature.3 Ove taktike omogućile su grupi Volt Typhoon da neprimećeno održava neovlašćen pristup ciljnim mrežama. Od juna do decembra 2023. godine grupa Volt Typhoon je i dalje napadala ključnu infrastrukturu, ali je usmerila aktivnosti i na razvoj resursa, tako što je ugrožavala uređaje malih i kućnih kancelarija (SOHO) širom Sjedinjenih Država.

U izveštaju iz septembra 2023. godine detaljno smo opisali kako su resursi kineskih operacija uticaja (IO) počeli da koriste generativni AI za kreiranje elegantnog, zanimljivog vizuelnog sadržaja. Tokom čitavog leta, služba za Microsoft informacije o pretnjama nastavila je da identifikuje mimove generisane veštačkom inteligencijom usmerene na korisnike u Sjedinjenim Državama koji su pojačavali već ionako kontroverzna nacionalna pitanja i kritikovali aktuelnu administraciju. Akteri operacija uticaja povezani sa Kinom nastavili su da koriste medijski sadržaj poboljšan i generisan veštačkom inteligencijom (u daljem tekstu „sadržaj veštačke inteligencije“) u kampanjama uticaja sve većeg obima i učestalosti tokom cele godine.

Nagli porast korišćenja veštačke inteligencije (ali se i dalje koleba)

Najplodniji među akterima koji koriste sadržaj veštačke inteligencije je Storm-1376 – to je oznaka korporacije Microsoft za aktera povezanog sa Komunističkom partijom Kine (CCP), šire poznatog kao „Spamouflage“ ili „Dragonbridge“. Do zime su i drugi akteri povezani sa KPK počeli da koriste širi spektar sadržaja veštačke inteligencije kako bi pojačali operacije uticaja na mreži. To je podrazumevalo primetan porast sadržaja sa tajvanskim političkim ličnostima uoči predsedničkih i parlamentarnih izbora 13. januara. Tada je služba za Microsoft informacije o pretnjama prvi put zapazila da akter nacionalne države koristi sadržaj veštačke inteligencije u pokušaju uticaja na izbore u drugoj državi.

Audio snimci generisani veštačkom inteligencijom: Na dan izbora u Tajvanu grupa Storm-1376 je objavila sumnjive audio klipove generisane veštačkom inteligencijom vlasnika preduzeća Foxconn, Terija Gou, kandidata nezavisne stranke u predsedničkoj trci Tajvana koji je novembra 2023. godine povukao kandidaturu. Na audio snimcima se čuje kako glas Goua podržava drugog kandidata u predsedničkoj trci. Gouov glas na snimcima je verovatno generisan veštačkom inteligencijom, jer Gou nije dao takvu izjavu. Platforma YouTube je brzo reagovala na ovaj sadržaj, pre nego što je stigao do velikog broja korisnika. Ovi video snimci pojavili su se u danima nakon što je lažno pismo kojim Teri Gou podržava istog kandidata kružilo na mreži. Vodeće tajvanske organizacije za proveru činjenica osporile su pismo. I osoblje Gouove kampanje navelo je da pismo nije istinito i da će reagovati pokretanjem pravnog postupka.4 Gou nije zvanično podržao nijednog predsedničkog kandidata.
Muškarac u odelu govori na podijumu sa tekstom na kineskom jeziku i grafičkim prikazom talasnog oblika zvučnog zapisa u prvom planu.
Slika 3: U video snimcima koje je objavila grupa Storm-1376 korišćeni su glasovni snimci Terija Goua generisani veštačkom inteligencijom kako bi izgledalo kao da on podržava drugog kandidata.
Voditelji vesti generisani veštačkom inteligencijom: Voditelji vesti generisani veštačkom inteligencijom koje su generisala tehnološka preduzeća trećih strana, koristeći alatku Capcut tehnološkog preduzeća ByteDance, pojavili su se u raznim kampanjama sa tajvanskim zvaničnicima,5 kao i u porukama o Mjanmaru. Grupa Storm-1376 još od februara 2023. godine koristi takve voditelje vesti generisane veštačkom inteligencijom,6 ali se količina sadržaja sa tim voditeljima povećala u poslednjih nekoliko meseci.
Kolaž slika vojnog vozila
Slika 4: Grupa Storm-1376 objavila je video snimke na mandarinskom i engleskom jeziku u kojima se navodi da su Sjedinjene Države i Indija bile odgovorne za nemire u Mijanmaru. U nekim od ovih video snimaka korišćen je isti voditelj generisan veštačkom inteligencijom.
Video snimci poboljšani veštačkom inteligencijom: Kanadska vlada i neki istraživači obelodanili su da je u video snimcima poboljšanim veštačkom inteligencijom korišćen lik jednog kineskog disidenta iz Kanade u kampanji napada na kanadske poslanike.7 Ti video snimci koji su na više platformi bili samo deo kampanje u kojoj su kanadski političari uznemiravani na njihovim nalozima na društvenim mrežama, lažno su prikazivali tog disidenta kako daje zapaljive izjave na račun kanadske vlade. Protiv ovog disidenta i ranije su korišćeni slični video snimci poboljšani veštačkom inteligencijom.
Osoba sedi za stolom
Slika 5: Lažirani video snimci omogućeni veštačkom inteligencijom na kojima disident na pogrdan način govori o religiji. Iako koriste slične taktike kao u kanadskoj kampanji, deluje kao da ti video snimci u pogledu sadržaja nisu povezani.
Mimovi generisani veštačkom inteligencijom: Grupa Storm-1376 je u decembru promovisala seriju mimova generisanih veštačkom inteligencijom tadašnjeg tajvanskog predsedničkog kandidata Demokratske progresivne partije (DPP) Vilijama Laija, sa temom odbrojavanja na kojoj se navodi da je preostalo „X dana“ do skidanja sa vlasti stranke DPP.
Grafički prikaz sa dve slike, jedna pored druge, gde se na jednoj nalazi lik sa crvenim X, a na drugoj isti lik, ali neoznačen,
Slika 6: U mimovima generisanim veštačkom inteligencijom optužuje se predsednički kandidat stranke DPP Vilijem Lai za proneveru sredstava Tajvanskog programa za razvoj infrastrukture sa pogledom u budućnost. U tim mimovima korišćeni su pojednostavljeni znakovi (koji se koriste u NR Kini, ali ne i u Tajvanu) i bili su deo serije „odbrojavanje do skidanja sa vlasti stranke DPP“ koja je prikazivana svakodnevno.
Grafikon sa informacijama hronologije koji prikazuje uticaj sadržaja generisanog veštačkom inteligencijom na izbore u Tajvanu od decembra 2023. do januara 2024. godine.
Slika 7: Hronologija sadržaja generisanog i poboljšanog veštačkom inteligencijom koji se pojavio uoči predsedničkih i parlamentarnih izbora u Tajvanu januara 2024. godine. Grupa Storm-1376 naglasila je nekoliko delova ovog sadržaja i bila je odgovorna za kreiranje sadržaja u dve kampanje.

Storm-1376 nastavlja sa slanjem reaktivnih poruka, ponekad sa zavereničkim narativima

Storm-1376 – akter čije se operacije uticaja prostiru na 175 veb sajtova i 58 jezika – nastavio je da učestalo organizuje kampanje reaktivnih poruka u vezi sa visoko profilisanim geopolitičkim događajima, posebno onim u kojima se Sjedinjene Države prikazuju u nepovoljnom svetlu ili produbljuju interese KPK u regionu APAC. Od našeg poslednjeg izveštaja u septembru 2023. godine te kampanje su razvijane na nekoliko značajnih načina, uključujući unošenje fotografija generisanih veštačkom inteligencijom sa ciljem obmanjivanja korisnika, širenje zavereničkog sadržaja – posebno protiv vlade Sjedinjenih Država – i usmeravanje na novo stanovništvo, kao recimo u Južnoj Koreji, sa lokalizovanim sadržajem.

1. Tvrdnja da je „oružje za kontrolu vremenskih uslova“ američke vlade dovelo do požara na Havajima

U avgustu 2023. godine, dok je severozapadna obala ostrva Maui na Havajima bila zahvaćena požarima, grupa Storm-1376 je to iskoristila kao priliku da na više platformi društvenih medija širi zavereničke narative. U tim objavama se navodi da je vlada Sjedinjenih Država namerno podmetnula požar kako bi testirala korišćenje „oružja za kontrolu vremenskih uslova“ u vojne svrhe. Osim teksta koji je objavljen na najmanje 31 jeziku na više desetina veb sajtova i platformi, grupa Storm-1376 je koristila slike priobalnih puteva i stambenih objekata u plamenu, generisane veštačkom inteligencijom kako bi sadržaj bio upečatljiviji.8

Slika sastavljena od više fotografija sa „lažnom“ oznakom preko scena dramatičnih požara.
Slika 8: Grupa Storm-1376 u roku od nekoliko dana od izbijanja požara objavljuje zaverenički sadržaj u kome se navodi kako su požari posledica testiranja „klimatskog oružja“ koje sprovodi vlada SAD. Ove objave često su bile praćene fotografijama velikih požara koje je generisala veštačka inteligencija.

2. Pojačavanje negodovanja zbog odlaganja nuklearne otpadne vode u Japanu

Grupa Storm-1376 pokrenula je veliku agresivnu kampanju porukama u kojima se kritikuje japanska vlada nakon što je Japan 24. avgusta 2023. godine počeo da ispušta u Tihi okean prečišćenu radioaktivnu otpadnu vodu.9 Sadržaj grupe Storm-1376 izazvao je sumnju u naučnu procenu Međunarodne agencije za atomsku energiju (IAEA) da je odlaganje tog materijala bilo bezbedno. Grupa Storm-1376 nasumično je slala poruke na platformama društvenih mreža na brojnim jezicima, uključujući japanski, korejski i engleski. Neki sadržaji su čak optuživali Sjedinjene Države za namerno trovanje drugih zemalja kako bi održale „vladavinu nad vodama“. Sadržaj korišćen u ovoj kampanji nosi obeležja veštačke inteligencije

U nekim slučajevima, grupa Storm-1376 je ponovo stavljala u upotrebu sadržaj koji su u kineskom propagandnom ekosistemu prethodno već koristili drugi akteri, uključujući influensere na društvenim mrežama povezane sa kineskim državnim medijima.10 Influenseri i drugi resursi koji pripadaju grupi Storm-1376 otpremili su tri istovetna video snimka u kojima se kritikuje ispuštanje otpadnih voda iz Fukušime. Broj primera takvih objava koje dolaze od različitih aktera i gotovo istovremeno koriste istovetan sadržaj – što može ukazivati na koordinaciju ili pravac razmene poruka – povećao se tokom 2023. godine.

Slika sastavljena od satirične ilustracije ljudi na isečku ekrana video snimka koji prikazuje Godzilu i objava na društvenim mrežama
Slika 9: Mimovi i slike generisani veštačkom inteligencijom koji kritikuju odlaganje otpadnih voda u Fukušimi iz tajnih kineskih IO resursa (levo) i zvaničnici kineske vlade (u sredini). I influenseri povezani sa kineskim državnim medijima pojačali su slanje poruka koje su u saglasju sa vladom i kritikuju odlaganje (desno).

3. Podsticanje neslaganja u Južnoj Koreji

Vezano za odlaganje otpadnih voda u Fukušimi, grupa Storm-1376 je uložila udružene napore sa ciljem usmeravanja napada na Južnu Koreju lokalizovanim sadržajem radi pojačavanja intenziteta protesta u toj zemlji zbog odlaganja otpada, kao i sadržajem kojim se kritikuje japanska vlada. Kampanja je sadržala stotine objava na korejskom jeziku na više platformi i veb sajtova, uključujući južnokorejske sajtove društvenih medija kao što su Kakao Story, Tistory, i Velog.io.11

U sklopu te ciljane kampanje, grupa Storm-1376 aktivno je podsticala komentare i radnje Li Džemjunga (이재명, 李在明), vođe stranke Mindžu i neuspešnog predsedničkog kandidata 2022. godine. Li je kritički nazvao taj potez Japana „terorom zaraženom vodom“ koji je ravan „Drugom ratu na Pacifiku“. On je optužio i vladu Južne Koreje kao „saučesnika koji je podržao“ odluku Japana i u znak protesta je započeo štrajk glađu u trajanju od 24 dana.12

Strip od četiri panela koji se bavi zagađenjem životne sredine i njegovim uticajem na morski život.
Slika 10: Mimovi na korejskom jeziku sa južnokorejske platforme za blogovanje Tistory pojačavaju nesuglasice oko odlaganja otpadnih voda Fukušime.

4. Iskakanje voza iz koloseka u državi Kentaki

Tokom praznika za Dan zahvalnosti novembra 2023. godine, voz koji je prevozio rastopljeni sumpor iskočio je iz šina u okrugu Rokasl, država Kentaki. Otprilike nedelju dana nakon iskakanja voza iz šina, grupa Storm-1376 je pokrenula kampanju na društvenim mrežama kojom je pojačavala značaj tog iskakanja iz koloseka, širila teorije zavere protiv američke vlade i isticala političke podele među američkim glasačima, što je podsticalo nepoverenje i razočaranje usmerene na delovanje američke vlade. Grupa Storm-1376 pozivala je korisnike da razmisle o mogućnosti da je američka vlada izazvala iskliznuće iz šina i da možda „namerno nešto prikriva“.13 Neke poruke su čak upoređivale iskakanje iz koloseka sa teorijama zataškavanja u vezi sa događajima 11. septembra i napada na Perl Harbur.14

Kineski botovi za operacije uticaja traže perspektive o američkim političkim temama

U izveštaju iz septembra 2023. godine istakli smo kako su nalozi na društvenim mrežama povezani sa KPK počeli da oponašaju američke glasače, lažno se predstavljajući kao Amerikanci u čitavom spektru političkih aktivnosti i da odgovaraju na komentare autentičnih korisnika.15 Ti pokušaji da se izvrši uticaj usred izbora 2022. godine bile su prve uočene kineske operacije uticaja.

Microsoft centar za analizu pretnji (MTAC) uočio je mali, ali stabilan porast dodatnih bot naloga i sa umerenim stepenom pouzdanosti procenjujemo da njima upravlja KPK. Na platformi X (ranije Twitter), ti nalozi su kreirani još 2012. ili 2013. godine, ali su tek početkom 2023. počeli da objavljuju kao aktuelne ličnosti – što ukazuje na to da su nalozi nedavno pribavljeni ili su prenamenjeni. Ti botovi objavljuju kako originalno osmišljene video snimke, mimove i grafikone sa informacijama, tako i već korišćen sadržaj sa drugih visoko profilisanih političkih naloga. To su nalozi koji skoro isključivo objavljuju sadržaje o unutrašnjim problemima Sjedinjenih Država – od upotrebe droga u Americi, preko imigracione politike do rasnih napetosti – ali povremeno komentarišu teme od interesa za Kinu – kao što su odlaganje otpadnih voda u Japanu ili kineski disidenti.

Snimak ekrana računara sa tekstom „Rat i sukobi“, problemi u vezi sa drogom, rasnim odnosima itd.
Slika 11: Tokom leta i jeseni, kineski botovi i izmišljene ličnosti često su koristili zanimljive vizuelne elemente – ponekad poboljšane uz generativni AI – u objavama koje su se bavile političkim pitanjima i aktuelnim događajima u SAD.
Osim toga što objavljuju politički motivisane grafikone sa informacijama ili video snimke, ovi nalozi često pitaju pratioce da li se se slažu sa navedenom temom. Neki od tih naloga postavljali su objave o raznim predsedničkim kandidatima, a zatim tražili od pratilaca da ostave komentar da li ih podržavaju ili ne. Svrha ove taktike može biti želja za daljim angažmanom ili možda sticanje uvida u stavove Amerikanaca o američkoj politici. Više takvih naloga moglo bi se koristiti za prikupljanje još više ključnih demografskih podataka o glasanju u Sjedinjenim Državama.
Poređenje na slici podeljenog ekrana: levo vojni avion koji poleće sa nosača aviona, a desno grupa ljudi koji sede iza prepreke
Slika 12: Kineski botovi traže da drugi korisnici objave stavove o političkim temama na platformi X

Severnokorejski zlonamerni kibernetički akteri su tokom 2023. godine ukrali stotine miliona dolara u kriptovalutama, sprovodili napade na lance snabdevanja softverom i napadali subjekte koje su smatrali neprijateljima nacionalne bezbednosti. Njihove operacije donose prihod vladi Severne Koreje – posebno za program naoružanja – i prikupljaju obaveštajne podatke o Sjedinjenim Državama, Južnoj Koreji i Japanu.16

Grafikoni sa informacijama koji prikazuju sektore i zemlje koji su najčešće mete kibernetičkih pretnji.
Slika 13: Sektori i zemlje koje je Severna Koreja najviše napadala u periodu od juna 2023. do januara 2024. godine, na osnovu obaveštajnih podataka o nacionalnim državama službe za Microsoft informacije o pretnjama.

Severnokorejski kibernetički akteri pljačkaju rekordno velike svote kriptovaluta kako bi državi obezbedili prihod.

Ujedinjene nacije procenjuju da su severnokorejski kibernetički akteri od 2017. godine ukrali više od 3 milijarde USD u kriptovalutama.17 Samo tokom 2023. godine ukupno je zaplenjeno između 600 miliona USD i 1 milijarde USD. Od ukradenih sredstava navodno se finansira više od polovine nuklearnog i raketnog programa zemlje, što Severnoj Koreji omogućava da uprkos sankcijama povećava zalihe oružja i obavlja testiranja.18 Severna Koreja je tokom prošle godine izvela veliki broj testiranja raketa i vojnih vežbi i čak je 21. novembra 2023. godine uspešno lansirala u svemir satelit za izviđanje.19

Tri zlonamerna aktera koje prati Microsoft – Jade Sleet, Sapphire Sleet i Citrine Sleet – od juna 2023. godine najviše se fokusiraju na mete povezane sa kriptovalutama. Grupa Jade Sleet sprovodila je velike krađe kriptovaluta, dok je grupa Sapphire Sleet sprovodila manje, ali češće operacije krađe kriptovaluta. Krađu kriptovaluta u iznosu od najmanje 35 miliona USD od preduzeća sa sedištem u Estoniji koja se dogodila početkom juna 2023. godine korporacija Microsoft je pripisala grupi Jade Sleet. Pljačku u iznosu od preko 125 miliona USD sa platforme za kriptovalute sa sedištem u Singapuru koja se dogodila mesec dana kasnije, korporacija Microsoft je takođe pripisala grupi Jade Sleet. Grupa Jade Sleet je avgusta 2023. godine počela da ugrožava kazina na mreži koja posluju sa kriptovalutama.

Grupa Sapphire Sleet je neprekidno ugrožavala brojne zaposlene, uključujući rukovodioce i projektante u preduzećima koja posluju sa kriptovalutama, rizičnim investicionim kapitalom, kao i drugim finansijskim organizacijama. Grupa Sapphire Sleet je razvila i nove tehnike, kao što je slanje pozivnica za lažne virtuelne sastanke koje sadrže veze ka domenu napadača i registrovanje lažnih veb sajtova za zapošljavanje. Grupa Citrine Sleet je marta 2023. godine nastavila sa 3CX napadom na lanac snabdevanja ugrožavanjem preduzeća za kriptovalute i digitalna sredstva koje se nalazi u Turskoj. Žrtva je pružala uslugu hostinga ranjivoj verziji 3CX aplikacije povezane sa ugrožavanjem lanca snabdevanja.

Severnokorejski kibernetički akteri predstavljaju pretnju po IT sektor, jer koriste ciljani phishing i napade na lanac snabdevanja softverom

Severnokorejski zlonamerni akteri sprovodili su i napade na lance snabdevanja softverom preduzeća za IT, što je dovelo do toga da pristupe krajnjim korisnicima. Grupa Jade Sleet koristila je GitHub depoe i npm pakete pretvorene u oružje za napad u ciljanoj phishing kampanji društvenog inženjeringa koja je bila usmerena na zaposlene koji posluju sa kriptovalutama i u tehnološkim organizacijama.20 Napadači su se lažno predstavljali kao projektanti ili osobe zadužene za zapošljavanje, pozivali mete napada da sarađuju na GitHub depou i ubeđivali ih da kloniraju i izvršavaju sadržaj u kojem su se nalazili zlonamerni npm paketi. Grupa Diamond Sleet je avgusta 2023. godine ugrozila lanac snabdevanja jednog IT preduzeća sa sedištem u Nemačkoj i pretvorila u oružje za napad aplikaciju IT preduzeća sa sedištem u Tajvanu kako bi novembra 2023. izvršila napad na lanac snabdevanja. Obe grupe, i Diamond Sleet i Onyx Sleet, iskoristile su oktobra 2023. godine ranjivost CVE-2023-42793 servera TeamCity, koja napadaču omogućava da sprovede napad daljinskim izvršavanjem koda i preuzme administrativnu kontrolu nad serverom. Grupa Diamond Sleet koristila je ovu tehniku za ugrožavanje više stotina žrtava u različitim delatnostima u Sjedinjenim Državama i evropskim zemljama, uključujući Ujedinjeno Kraljevstvo, Dansku, Irsku i Nemačku. Grupa Onyx Sleet iskoristila je istu ranjivost za ugrožavanje najmanje 10 žrtava – uključujući dobavljača softverom u Australiji i vladinu agenciju u Norveškoj – a zatim je koristila alatke koje služe za izvršavanje dodatnih korisnih podataka nakon ugrožavanja.

Severnokorejski kibernetički akteri usmeravali su napade na Sjedinjene Države, Južnu Koreju i njihove saveznike

Severnokorejski zlonamerni akteri nastavili su da napadaju subjekte koje su smatrali neprijateljima nacionalne bezbednosti. Ova kibernetička aktivnost pokazala je geopolitički cilj Severne Koreje da se suprotstavi trilateralnom savezu između Sjedinjenih Država, Južne Koreje i Japana. Lideri tih triju zemalja učvrstili su partnerstvo tokom samita u Kemp Dejvidu avgusta 2023. godine.21 Grupe Ruby Sleet i Onyx Sleet nastavile su sa svojim trendovima napada na organizacije za vazduhoplovstvo i odbranu u Sjedinjenim Državama i Južnoj Koreji. Grupa Emerald Sleet nastavila je sa kampanjom za izviđanje i ciljani phishing usmerenu na diplomate i stručnjake za Korejsko poluostrvo u vladi, istraživačkim centrima/nevladinim organizacijama, medijima i obrazovanju. Grupa Pearl Sleet je juna 2023. godine nastavila sa operacijama napada na južnokorejske subjekte koji se bave dezerterima i aktivistima fokusiranim na pitanja ljudskih prava. Microsoft procenjuje da je motiv ovih aktivnosti prikupljanje obaveštajnih podataka.

Severnokorejski akteri primenjuju ulaz na zadnja vrata u legitiman softver

Severnokorejski zlonamerni akteri su za pristup legitimnom softveru upotrebljavali i zadnja vrata, koristeći na taj način ranjivosti postojećeg softvera. U prvoj polovini 2023. godine grupa Diamond Sleet je za ugrožavanje žrtava često koristila VNC malver pretvoren u oružje za napad. Grupa Diamond Sleet je u julu 2023. godine nastavila da koristi malver za PDF čitač pretvoren u oružje za napad, tehniku koju je služba za Microsoft informacije o pretnjama analizirala u objavi na blogu u septembru 2022.22 Grupa Ruby Sleet je decembra 2023. godine verovatno za napad na zadnja vrata koristila i instaliranje južnokorejskog programa za elektronske dokumente.

Severna Koreja je koristila alatke veštačke inteligencije kako bi omogućila zlonamerne kibernetičke aktivnosti

Severnokorejski zlonamerni akteri se prilagođavaju dobu veštačke inteligencije. Uče da koriste alatke za velike jezičke modele (LLM) koji koriste AI tehnologiju kako bi njihove operacije bile efikasnije i efektivnije. Na primer, korporacija Microsoft i preduzeće OpenAI primetili su da grupa Emerald Sleet koristi velike jezičke modele radi poboljšanja kampanja za ciljani phishing usmerenih na stručnjake za Korejsko poluostrvo.23 Grupa Emerald Sleet je koristila velike jezičke modele za istraživanje ranjivosti i izviđanje organizacija i stručnjaka koji su fokusirani na Severnu Koreju. Grupa Emerald Sleet je koristila velike jezičke modele i za rešavanje tehničkih problema, obavljanje osnovnih zadataka skriptovanja i izradu sadržaja poruka za ciljani phishing. Korporacija Microsoft se udružila sa preduzećem OpenAI kako bi zajedno onemogućavali naloge i resurse grupe Emerald Sleet.

Kina će u oktobru proslaviti 75. godišnjicu osnivanja Narodne Republike Kine, a Severna Koreja će nastaviti da podržava ključne napredne programe za naoružanje. U međuvremenu, dok stanovništvo u Indiji, Južnoj Koreji i Sjedinjenim Državama bude izlazilo na birališta, verovatno ćemo saznati da kineski kibernetički i akteri uticaja, a u nekoj meri i severnokorejski kibernetički akteri, sprovode aktivnosti usmerene na te izbore.

Kina će, u najmanju ruku, kreirati i pojačavati sadržaj generisan veštačkom inteligencijom koji koristi njenim pozicijama na ovim visoko profilisanim izborima. Iako je uticaj takvog sadržaja na korisnike i dalje nizak, Kina će nastaviti da obavlja sve više eksperimenata na poboljšanju mimova, video i audio snimaka – i to se u budućnosti može pokazati efikasnim. Budući da kineski kibernetički akteri već dugo rade na izviđanju američkih političkih institucija, spremni smo da se suočimo i sa situacijom da akteri uticaja ostvaruju interakciju sa Amerikancima radi angažovanja i potencijalnog istraživanja perspektiva politike Sjedinjenih Država.

Konačno, budući da Severna Koreja počinje da sprovodi novu politiku vlade i ambiciozne planove za testiranje oružja, možemo očekivati sve složenije krađe kriptovaluta i napade na lance snabdevanja usmerene na sektor odbrane, koji služe kako za prosleđivanje novca režimu tako i za olakšavanje razvoja novih vojnih sposobnosti.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1. januar 2024., mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?“, 11. januar 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    „Kampanja „Spamouflage“ Narodne Republike Kine verovatno cilja na desetine kanadskih poslanika u kampanji dezinformisanja“, oktobar 2023.

  8. [8]
  9. [9]

    Više izvora je objavilo dokumente o tekućoj propagandnoj kampanji kineske vlade koja ima za cilj da na međunarodnom nivou izazove negodovanje zbog odluke Japana o odlaganju nuklearne otpadne vode nastale usled nuklearne nesreće u elektrani Fukušima Daiči 2011. godine, vidi: Kineske deziinformacije izazivaju bes zbog ispuštanja vode u Fukušimi“, 31. avgust 2023.„Japan na meti kineske propagande i tajne kampanje na mreži“, 8. jun 2023.

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Operacije kibernetičkog uticaja Nacionalna država Izveštaji o nacionalnim državama Društveni inženjering Zlonamerni akteri

Srodni članci

Digitalne pretnje iz Istočne Azije povećavaju širinu i efikasnost delovanja

Udubite se i istražite nove trendove u okruženju rastućih pretnji u Istočnoj Aziji, gde Kina sprovodi kako široko rasprostranjene kibernetičke operacije tako i operacije uticaja (IO), dok akteri kibernetičkih pretnji pokazuju porast složenosti.
Saznajte više

Iskorišćavanje ekonomije poverenja: prevara putem društvenog inženjeringa

Istražite razvoj digitalnog okruženja u kojem je poverenje istovremeno i valuta i ranjivost. Pronađite taktike prevare putem društvenog inženjeringa koje kibernetički napadači najčešće koriste i pregledajte strategije koje će vam omogućiti da lakše identifikujete i nadmudrite pretnje u oblasti društvenog inženjeringa osmišljene sa ciljem manipulisanja ljudskom prirodom.
Saznajte više

Iran pojačava operacije uticaja koje omogućava kibernetička tehnologija radi podrške Hamasu

Pronađite detalje o iranskim operacijama uticaja koje omogućava kibernetička tehnologija, a podržavaju operacije Hamasa u Izraelu. Saznajte kako su operacije napredovale kroz različite faze rata i pogledajte četiri ključne taktike, tehnike i procedure uticaja (TTP) koje Iran preferira.
Saznajte više

Pratite Microsoft bezbednost