Trace Id is missing

De ryska hotaktörerna jobbar ihärdigt vidare, och förbereder sig på att utnyttja krigströttheten

 Åtgärder mot cyberpåverkan
Introduktion
Ryska cyber- och påverkansoperatörer har uppvisat anpassningsförmåga hela tiden under kriget mot Ukraina, och prövat nya sätt på vilka man kan vinna fördelar på slagfältet och tömma Kievs källor för inhemskt och externt stöd. I den här rapporten kommer vi att beskriva de cyberhot och den skadlig påverkan som Microsoft har observerat under perioden mars-oktober 2023. Under den här perioden var den ukrainska militären och civilbefolkningen återigen hårt ansatta, samtidigt som risken för intrång och manipulation spred sig till de entiteter världen över som bistod Ukraina och försökte hålla de ryska styrkorna till svars för begångna krigsförbrytelser.

Faser i Rysslands krig mot Ukraina från januari 2022 till juni 2023

Ett diagram som visar de olika faserna i Rysslands krig mot Ukraina
Läs mer om den här bilden på sidan 3 i den fullständiga rapporten

De hotåtgärder som Microsoft observerade under perioden mars-oktober uppvisade en kombination av åtgärder med syftet att demoralisera den ukrainska allmänheten och ett ökat fokus på cyberspionage. Ryska aktörer inom militär- och cyberkrigföring och propaganda riktade samlade attacker mot den ukrainska jordbrukssektorn – ett civilt infrastrukturmål – mitt i en global spannmålskris. Cyberhotsaktörer anslutna till den ryska militära underrättelsetjänsten (GRU) riktade cyberspionageoperationer mot den ukrainska militären och dess utländska försörjningslinjer. När det internationella samfundet försökte bestraffa krigsförbrytelser, så riktade grupper kopplade till Rysslands utrikesunderrättelsetjänst (SVR) och dess federala säkerhetstjänst (FSB) sina attacker mot krigsbrottsutredare i och utanför Ukraina.

På påverkansfronten väckte Wagnergruppens kortvariga myteri i juni 2023 och det efterföljande dödsfallet för Wagnergruppens och den ökända trollfabriken Internet Research Agencys ägare Jevgenij Prigozjin, frågor om framtiden för Rysslands påverkansförmåga. Under hela den här sommaren har Microsoft kunnat observera utbredda operationer av organisationer som inte var anslutna till Prigozjin, vilket visar vilka resurser Ryssland har, även utan honom, när det gäller skadliga kampanjer.

Microsoft Threat Intelligence and Incident Response-teamet har informerat och samarbetat med berörda kunder och regeringspartner i syfte att mildra den hotaktivitet som beskrivs i den här rapporten.

Ryska styrkor förlitar sig på konventionella vapen när det gäller att orsaka skada i Ukraina, men cyber- och påverkansoperationer förblir ett akut hot mot säkerheten för datornätverk och samhället som helhet för såväl Ukrainas allierade i regionen som Nato och globalt. Förutom att vi uppdaterar våra säkerhetsprodukter så att på ett proaktivt sätt ska kunna försvara våra kunder över hela världen, så delar vi denna information för att uppmuntra till fortsatt vaksamhet avseende hot mot det globala informationsutrymmets integritet.

Ryska traditionella stridskrafter, cyberstridskrafter och propaganda användes i samordnade angrepp mot Ukrainas jordbrukssektor den här sommaren. Militära attacker förstörde spannmål i mängder som kunde ha försörjt över 1 miljon människor under ett år, samtidigt som pro-ryska medier rättfärdigade attackerna trots de humanitära kostnaderna.1

Under perioden juni till september kunde Microsoft Threat Intelligence observera hur nätverksintrång, dataexfiltrering och till och med destruktiv skadlig programvara användes mot organisationer knutna till den ukrainska jordbruksindustrin och spannmålsrelaterade transportinfrastrukturen. Under juni och juli stal Aqua Blizzard (tidigare ACTINIUM) data från ett företag som hjälper till med att mäta skördar. Seashell Blizzard (tidigare IRIDIUM) använde varianter av en rudimentär destruktiv skadlig programvara som Microsoft identifierade som WalnutWipe/SharpWipe mot nätverk inom livsmedels- och jordbrukssektorn.2

Analys av de ryska digitala propagandaaktiviteter som riktas mot den ukrainska jordbruksindustrin

Visar hur ryska digitala propagandaaktiviteter riktas mot den ukrainska jordbruksindustrin
Läs mer om den här bilden på sidan 4 i den fullständiga rapporten

I juli drog sig Moskva ur Black Sea Grain Initiative-avtalet – en humanitär insats som bidrog till att avvärja en global livsmedelskris och gjorde det möjligt att transportera mer än 725 000 ton vete till människor i Afghanistan, Etiopien, Kenya, Somalia och Jemen under det första året.3Efter Moskvas agerande började proryska medier och telegramkanaler genast att förtala spannmålsinitiativet och försvara Moskvas beslut. Propagandakanalerna målade upp spannmålskorridoren som en fasad för narkotikahandel och vapentransporter, för att därmed ifrågasätta avtalets humanitära betydelse.

I flera rapporter från 2023 lyfte vi fram hur legitima eller pseudo-hacktivistiska grupper med misstänkta kopplingar till GRU har arbetat med att förstärka Moskvas missnöje med sina motståndare och överdriva antalet proryska cyberstyrkor.4 5 6Den här sommaren har vi också kunnat observera hur hacktivistiska konton på Telegram började sprida meddelanden som rättfärdigar militära angrepp på civil infrastruktur i Ukraina och riktade DDoS-attacker (Distributed Denial-of-Service) mot Ukrainas allierade utomlands. Microsofts fortsatta övervakning av hacktivistgruppers interaktion med nationella statsaktörer ger ytterligare insikter om båda gruppernas operativa tempo och hur de kompletterar varandras mål med sina aktiviteter.

Hittills har vi identifierat tre grupper – Solntsepek, InfoCentr och Cyber ​​Army of Russia – som interagerar med Seashell Blizzard. Seashell Blizzards relation till hacktivistkanalerna kan vara kortvarig användning snarare än kontroll, baserat på det faktum att hacktivisternas tillfälliga cyberkapacitetstoppar sammanfaller med Seashell Blizzards attacker. Med jämna mellanrum lanserar Seashell Blizzard destruktiva attacker som Telegram-hacktivistgrupper tar åt sig äran för offentligt. Hacktivisterna går sedan tillbaka till de handlingar av lägre komplexitet de vanligtvis ägnar sig åt, som DDoS-attacker eller läckor personlig information om ukrainska medborgare. Nätverket representerar en agil infrastruktur som APT kan använda för att främja sin aktivitet.

Översikt över den proryska hacktivismen

Ett diagram som ger en översikt över den proryska hacktivismen
Läs mer om den här bilden på sidan 5 i den fullständiga rapporten

Ryska styrkor deltar inte bara i aktioner som kan strida mot internationell lag, utan de riktar också in sig på de brottmålsutredare och åklagare som bygger mål mot dem.

Microsofts telemetri avslöjade att aktörer kopplade till Rysslands militär och underrättelsetjänst under våren och sommaren i år riktat in sig på och gjort intrång i ukrainska rätts- och utredningsnätverk, liksom i nätverken hos de internationella organisationer som är involverade i undersökningarna om krigsförbrytelser.

De här cyberoperationerna inträffade samtidigt som spänningarna tilltog mellan Moskva och grupper som Internationella brottmålsdomstolen (ICC), som i mars utfärdade en arresteringsorder på Rysslands president Putin baserad på anklagelser om krigsförbrytelser.7

I april gjorde GRU-anknutna Seashell Blizzard intrång i nätverket för en advokatbyrå som arbetar med att lagföra krigsförbrytelser. Aqua Blizzard, som anses vara kopplat till FSB, gjorde i juli intrång i det interna nätverket hos en stor utredningsinstans i Ukraina, och använde sedan komprometterade konton där för att i september skicka e-postmeddelanden med nätfiske till flera ukrainska telekomföretag.

Under juni och juli gjorde SVR-aktörerna Midnight Blizzard (tidigare NOBELIUM) intrång hos en juridisk organisation med globalt ansvar och fick åtkomst till känsliga dokument innan Microsoft Incident Response ingrep för att åtgärda intrånget. Den här aktiviteten var en del av en mer aggressiv kampanj från denna aktör med syfte att göra intrång överallt i världen hos organisationer inom diplomati, försvar, offentlig politik och IT-sektorn.

En granskning av Microsofts säkerhetsmeddelanden som har utfärdats till berörda kunder sedan mars avslöjade att Midnight Blizzard har sökt åtkomst till mer än 240 organisationer, främst i USA, Kanada och andra europeiska länder, med varierande grad av framgång.8

Nästan 40 %  av de organisationer som utsattes för angreppen var statliga, mellanstatliga eller policyfokuserade tankesmedjor.

De ryska hotaktörerna använde olika metoder för att få initial åtkomst till och etablera uthållighet på de angripna nätverken. Midnight Blizzard använde sig av en kombination av lösenordsattacker, inloggningsuppgifter från tredje part, övertygande kampanjer av social manipulering via Teams och missbruk av molntjänster för att infiltrera molnmiljöer.9Aqua Blizzard lyckades integrera HTML-smuggling i initiala nätfiskekampanjer för att få tidig åtkomst och därigenom minska sannolikheten för att antivirussignaturer och e-postsäkerhetskontroller skulle kunna upptäcka intrånget.

Seashell Blizzard exploaterade perimeterserversystem som Exchange- och Tomcat-servrar och använde samtidigt piratkopierad Microsoft Office-programvara med bakdörrstrojanen DarkCrystalRAT-bakdörren för att få initial åtkomst. Bakdörrstrojanen gjorde det möjligt för aktören att läsa in en nyttolast kallad Shadowlink, vilket är ett programvarupaket maskerat som Microsoft Defender och som installerar TOR-tjänsten på en enhet och ger hotaktören smygåtkomst via TOR-nätverket.10

Diagram som visar hur Shadowlink installerar TOR-tjänsten på en programvaruenhet
Läs mer om den här bilden på sidan 6 i den fullständiga rapporten 

Sedan de ryska styrkorna inledde sin offensiv våren 2023, har GRU- och FSB-anslutna cyberaktörer koncentrerat sina ansträngningar på underrättelseinsamling från ukrainsk kommunikation och militär infrastruktur i stridszonerna.

I mars kunde Microsoft Threat Intelligence koppla Seashell Blizzard till potentiella nätfiskelockbeten och paket som verkade skräddarsydda för att angripa en viktig del av den ukrainska militära kommunikationsinfrastrukturen. Vi hade ingen synlighet vad gällde uppföljningsåtgärder. Enligt den ukrainska säkerhetstjänsten (SBU) innehöll Seashell Blizzards andra försök att få åtkomst till ukrainska militära nätverk, inklusive skadlig programvara, som skulle göra det möjligt för dem att samla in information om de anslutna Starlink-satellitterminalernas konfiguration och därmed kunna ta reda på var de ukrainska militära enheterna befinner sig.11 12 13

Secret Blizzard (tidigare KRYPTON) ägnade sig också åt att skaffa sig fotfäste i de ukrainska försvarsrelaterade nätverken. I samarbete med CERT-UA (Government Computer Emergency Response Team of Ukraine) identifierade Microsoft Threat Intelligence närvaron av Secret Blizzards bakdörrstrojaner DeliveryCheck och Kazuar i de ukrainska försvarsstyrkornas datasystem.14Kazuar omfattar mer än 40 funktioner, däribland funktionen att stjäla referenser från en mängd olika applikationer, autentiseringsdata, proxyservrar och cookies och hämta data från operativsystemsloggar.15Secret Blizzard var särskilt intresserade av att stjäla filer med meddelanden från meddelandeprogrammet Signal Desktop, vilket skulle göra det möjligt för dem att läsa privata Signal-chattar.16

Forest Blizzard (tidigare STRONTIUM) förnyade sitt fokus på sina traditionella spionagemål och försvarsrelaterade organisationer i USA, Kanada och Europa, vars militära stöd och utbildning håller de ukrainska styrkorna rustade för att fortsätta kampen.

Sedan mars har Forest Blizzard försökt att få initial tillgång till försvarsorganisationer via nätfiskemeddelanden som innehåller nya och svåridentifierade tekniker. I augusti skickade exempelvis Forest Blizzard ett e-postmeddelande med nätfiske som innehöll en CVE-2023-38831-exploatering till kontoinnehavare hos en europeisk försvarsorganisation. CVE-2023-38831 är en säkerhetsrisk i WinRAR-programvaran som tillåter angripare att köra godtycklig kod när en användare försöker visa en godartad fil i ett ZIP-arkiv.

Aktören utnyttjar också legitima utvecklarverktyg som Mockbin och Mocky för kommandon och kontroll. I slutet av september genomförde aktören en nätfiskekampanj som missbrukade tjänsterna GitHub och Mockbin. CERT-UA och andra cybersäkerhetsföretag publicerade aktiviteten i september och noterade att aktören använde sidor för vuxenunderhållning för att locka sina offer att klicka på en länk eller öppna en fil som skulle omdirigera dem till en skadlig Mockbin-infrastruktur.1718Microsoft observerade en pivot för användning av en tekniksida i slutet av september. I båda fallen skickade aktörerna ett e-postmeddelande med nätfiske som innehöll en skadlig länk som skulle omdirigera offret till en Mockbin-URL och ladda ner en zip-fil med en skadlig LNK-genvägsfil maskerad som en Windows-uppdatering. LNK-filen skulle sedan ladda ned och köra ett annat PowerShell-skript och därigenom etablera persistens och varefter åtgärder som datastöld skulle kunna genomföras.

Exempel på skärmbild av ett PDF-lockbete associerat med Forest Blizzards nätfiske riktat mot försvarsorganisationer.

Hotaktör förklädd till personal på Europaparlamentet
E-postbilaga: Agenda 28 augusti till 3 september 2023 för Europaparlamentets möten. Presstjänstmeddelande. 160 KB bulletin.rar
Bild 5: Skärmdumpsexempel av ett PDF-lockbete associerat med Forest Blizzards nätfiske riktat mot försvarsorganisationer.  Läs mer om den här bilden på sida 8 i den fullständiga rapporten

Under 2023 har MTAC kontinuerligt observerat Storm-1099, en påverkansaktör med Rysslandskopplingar som är ansvarig för en sofistikerad prorysk påverkansoperation riktad mot dem som har stött Ukraina sedan våren 2022.

Kanske mest känd för den storskaliga webbplatsförfalskningsoperation som döptes till ”Doppelganger” av forskargruppen EU DisinfoLab,19 Storm-1099:s verksamhet omfattar även unika kanaler som RRN (Reliable Recent News), multimedieprojekt som den anti-ukrainska serien Ukraine Inc., och demonstrationer på plats som skapar en koppling mellan den digitala och den fysiska världen. Även om tillskrivningen är ofullständig, har välfinansierade ryska politiska tekniker, propagandister och PR-specialister med påvisbara band till den ryska staten, genomfört och stöttat flera Storm-1099-kampanjer.20

Storm-1099:s Doppelganger-operation är fortfarande i full kraft då den här rapporten skrivs, trots ihärdiga försök från teknikföretag och forskningsenheter att rapportera om och mildra dess räckvidd.21 Även om denna aktör historiskt har riktat in sig på Västeuropa – i första hand på Tyskland – har den också haft fokus på Frankrike, Italien och Ukraina. Under de senaste månaderna har Storm-1099 flyttat sitt fokus mot USA och Israel. Denna övergång började så långt tillbaka som i januari 2023, mitt under de storskaliga protesterna i Israel mot föreslagna lagändringarna och intensifierades efter det att Israel-Hamas-kriget utbröt i början av oktober. Nyligen skapade kanaler återspeglar en ökande prioritering av USA:s politik och det kommande amerikanska presidentvalet 2024, medan befintliga Storm-1099-tillgångar kraftfullt har propagerat för det falska påståendet att Hamas skaffat ukrainska vapen på den svarta marknaden för sina attacker mot Israel den 7 oktober.

Nu senast, i slutet av oktober, observerade MTAC konton som Microsoft bedömer vara Storm-1099-tillgångar som främjar en ny typ av falsarier i tillägg till de falska artiklarna och webbplatserna på sociala medier. Det här är en serie korta falska nyhetsklipp, skenbart skapade av välrenommerade nyhetskanaler, som sprider prorysk propaganda i syfte att undergräva stödet för både Ukraina och Israel. Även om den här taktiken – att använda falska videor för att driva olika propagandistiska linjer – är en taktik som proryska aktörer har kunnat ses driva mer allmänt under de senaste månaderna, så belyser Storm-1099s användning av sådant videoinnehåll bara aktörens olika påverkanstekniker och meddelandemål.

Artiklar publicerade på falska Doppelganger-webbplatser

Kampanjen som genomfördes av den ryska cyberpåverkansaktören Storm 1099 observerades och spårades av Microsoft.
Observerat och spårat av Microsoft den 31 oktober 2023. Artiklar publicerade på falska Doppelganger-webbplatser. Kampanjen genomfördes av den ryska cyberpåverkansaktören Storm 1099.
Läs mer om den här bilden på sidan 9 i den fullständiga rapporten

Sedan Hamas attacker i Israel den 7 oktober har ryska statliga medier och påverkansaktörer med statliga kopplingar försökt utnyttja Israel-Hamas-kriget för att främja anti-ukrainska berättelser, anti-amerikanska stämningar och förvärra spänningen mellan alla parter. Denna aktivitet, även om den är en reaktion på kriget och generellt sett är begränsad i omfattning, omfattar såväl offentligt sponsrade statliga media och hemliga sociala medienätverk med Rysslandskoppling, vilka spänner över flera sociala medieplattformar.

 

Berättelser som främjas av ryska propagandister och proryska sociala medienätverk försöker ställa Israel mot Ukraina och minska västvärldens stöd för Kiev genom att felaktigt hävda att Ukraina försett Hamas med vapen i fejkade inslag från av välrenommerade medier och genom manipulerade videor. En oäkta video som hävdade att utländska rekryter, bl.a. amerikaner, överfördes från Ukraina för att delta i de israeliska försvarsstyrkornas operationer på Gazaremsan, som fick hundratusentals visningar på sociala medieplattformar, utgör bara ett exempel på sådant innehåll. Den här strategin för både ut antiukrainska narrativ till en bredare publik och skapar engagemang genom att skapa falska narrativ som knyter an till händelser i det allmänna nyhetsflödet.

 

Ryssland förstärker också den digitala påverkan genom att lyfta fram verkliga händelser. Ryska kanaler har på ett aggressivt sätt lyft fram uppviglande innehåll som förstärker protesterna kring Israel-Hamas-kriget i Mellanöstern och Europa – även via de ryska statliga nyhetsbyråernas korrespondenter på plats. I slutet av oktober 2023 påstod franska myndigheter att fyra moldaviska medborgare sannolikt var kopplade till stencilerad graffiti med Davidsstjärnan i offentliga miljöer i Paris. Två av moldaverna ska ha hävdat att de hade fått direktiv från en rysktalande person, vilket antyder att Ryssland låg bakom graffitin. Bilder av graffitin fick sedan ytterligare spridning genom Storm-1099-tillgångar.22

 

Rysslands bedömning är sannolikt att den pågående Israel-Hamas-konflikten är till deras geopolitiska fördel, eftersom de antar att konflikten distraherar västvärlden från kriget i Ukraina. Efter att ha studerat de taktiker som Ryssland ofta använder i sin påverkansverksamhet, så bedömer MTAC att dessa aktörer kommer att fortsätta driva sådan onlinepropaganda och utnyttja andra stora internationella händelser för att provocera fram spänningar och försöka störa västvärldens förmåga att motverka Rysslands invasion av Ukraina.

Antiukrainsk propaganda har i stort sett genomsyrat rysk påverkan alltsedan tiden före den fullskaliga invasionen 2022. Under de senaste månaderna har dock proryska och Rysslandsanknutna påverkansnätverk fokuserat på att använda video som ett mer dynamiskt medium för att sprida dessa budskap i samverkan med falska auktoritativa medier för att på så vis utnyttja deras trovärdighet. MTAC har observerat två pågående kampanjer utförda av okända proryska aktörer som inbegriper falsarier av vanliga nyhets- och underhållningsmedier i syfte att få genomslag för manipulerat videoinnehåll. I likhet med tidigare ryska propagandakampanjer fokuserar denna aktivitet på att utmåla den ukrainske presidenten Volodymyr Zelenskyj som en korrupt drogmissbrukare och det västerländska stödet till Kiev som skadligt för dessa länders inhemska befolkningar. Innehållet i båda kampanjerna strävar konsekvent efter att minska stödet för Ukraina, men kopplar berättelserna till händelser i det pågående nyhetsflödet – som ubåten Titans implosion i juni 2023 eller Israel-Hamas-kriget – så att man kan nå ut till en bredare publik.

Diagram som visar översikt över förfalskade nyhetsklipp

visar översikt över förfalskade nyhetsklipp
Läs mer om den här bilden på sidan 11 i den fullständiga rapporten

En av dessa videocentrerade kampanjer inbegriper en serie fabricerade videor som sprider falska, antiukrainska och Kreml-trogna budskap och berättelser i vad som synes vara korta nyhetsrapporter från vanliga medier. MTAC observerade denna aktivitet första gången i april 2022 när proryska Telegram-kanaler publicerade en falsk BBC News-video, som hävdade att den ukrainska militären var ansvarig för ett missilangrepp som dödade dussintals civila. Videon använder BBC:s logotyp, färgschema och estetik, och har engelskspråkiga bildtexter som innehåller fel som vanligtvis görs när man översätter från slaviska språk till engelska.

Den här kampanjen fortsatte under hela 2022 och tog ny fart sommaren 2023. Vid tidpunkten för den här rapportens sammanställande har MTAC registrerat mer än ett dussin förfalskade medievideor i kampanjen, där de mest frekvent förfalskade medierna är BBC News, Al Jazeera och EuroNews. Ryskspråkiga Telegram-kanaler förstärkte först videorna innan de spred sig till vanliga sociala medieplattformar

Skärmdumpar av videor som plagierat logotyperna och estetiken för BBC News (vänster) och EuroNews (höger)

Fabricerade nyhetsklipp som innehåller rysk desinformation
Microsoft Threat Intelligence: Fabricerade nyhetslänkar om ukrainskt militärt misslyckande, Hamas-attacken, falska anklagelser mot Israel
Fabricerade nyhetsklipp som innehåller rysk desinformation. Skärmdumpar av videor som plagierat logotyperna och estetiken för BBC News (vänster) och EuroNews (höger). Läs mer om den här bilden på sida 12 i den fullständiga rapporten

Även om det här innehållet har haft begränsad räckvidd, kan det utgöra ett trovärdigt hot i framtiden om det förfinas eller förbättras med kraften i AI eller förstärks av en mer trovärdig budbärare. Den proryska aktör som är ansvarig för de falska nyhetsklippen är bra på att känna av aktuella världshändelser och agera snabbt utifrån dem. Exempelvis hävdade en falsk BBC News-video felaktigt att den undersökande journalistiska organisationen Bellingcat hade avslöjat att vapen som användes av Hamas-milisen såldes av tjänstemän inom den ukrainska militären via den svarta marknaden till gruppen. Det här videoinnehållet låg nära offentliga uttalanden av den förre ryske presidenten Dmitrij Medvedev bara en dag innan videon släpptes, vilket visar kampanjens starka koppling den ryska regeringens officiella uttalanden.23

Från och med juli 2023 började proryska sociala mediekanaler sprida videor på kändisar, bedrägligt redigerade på ett sätt som gynnade den antiukrainska propagandan. Videorna – som skapats av en okänd påverkansaktör i Ryssland – verkar utnyttja Cameo, en populär webbplats där kändisar och andra offentliga personer kan spela in och skicka personliga videomeddelanden till användare mot en avgift. De korta videomeddelandena, som ofta rymmer kändisar som vädjar till "Vladimir" att söka hjälp för sitt drogmissbruk, har redigerats av den okända aktören som även lagt till emojis och länkar. Videor, som felaktigt framställs som meddelanden till Ukrainas president Volodymyr Zelenskyj, sprids genom proryska sociala medier och förstärks av de ryska statliga medierna och medier med Rysslandskopplingar. I vissa fall lade aktören till medialogotyper och sociala mediehandtag för celebriteter för att få videon att se ut som nyhetsklipp om dessa celebriteters förmodade offentliga vädjanden till Zelenskyj eller deras egna inlägg på sociala medier. Kreml-tjänstemän och rysk statsstödd propaganda har länge främjat det falska påståendet att president Zelenskyj kämpar med drogmissbruk. I den här kampanjen märks dock ett nytt tillvägagångssätt hos de proryska aktörer som försöker lansera detta narrativ i informationsutrymmet online.

Den första videon i kampanjen, som dök upp i slutet av juli, innehåller ukrainska flaggemojis och vattenstämplar från den amerikanska mediakanalen TMZ och länkar till såväl ett drogrehabiliteringscenter som president Zelenskyjs officiella sociala mediesidor. Fram till slutet av oktober 2023 har proryska sociala mediekanaler spritt ytterligare sex videor. Den 17 augusti publicerade det ryska statliga nyhetsmediet RIA Novosti en artikel om en video med den amerikanska skådespelaren John McGinley, som gav sken av att det rörde sig om en autentisk vädjan från McGinley till Zelenskyj.24 Andra kända personer förutom McGinley, vars innehåll figurerar i kampanjen är bl.a. skådespelarna Elijah Wood, Dean Norris, Kate Flannery och Priscilla Presley, musikern Shavo Odadjian och boxaren Mike Tyson. Andra statligt anslutna ryska medier, till exempel tv-kanalen Tsargrad, har också förstärkt kampanjens innehåll.25

Stillbilder från videor med kändisar som verkar stå bakom prorysk propaganda

stillbilder från videor med kändisar som verkar stå bakom prorysk propaganda
Läs mer om den här bilden på sidan 12 i den fullständiga rapporten

Ryska soldater har nu gått in i ett läge av statisk skyttegravskrigföring, enligt Ukrainas militärchef, vilket tyder på en ännu mer utdragen konflikt.26Kiev kommer att behöva en stadig tillgång på vapen och folkligt stöd för att kunna fortsätta motståndet, och vi kommer sannolikt att se ryska cyber- och påverkansoperatörer intensifiera sina ansträngningar att demoralisera den ukrainska befolkningen och försämra Kievs förutsättningar att få externt militärt och finansiellt bistånd.

När vintern närmar sig kan vi återigen se militära attacker riktade mot kraft- och vattenverk i Ukraina, kombinerat med destruktiva rensningsattacker mot dessa nätverk.27Den ukrainska cybersäkerhetsmyndigheten CERT-UA meddelade i september att ukrainska energinätverk stod under ett konstant hot, och Microsoft Threat Intelligence observerade tecken på GRU-hotaktivitet riktade mot den ukrainska energisektorns nätverk från augusti till oktober.28Microsoft observerade minst en destruktiv attack med Sdelete-verktyget mot ett ukrainskt elbolags nätverk i augusti.29

Utanför Ukraina kan det amerikanska presidentvalet och andra stora politiska händelser 2024 ge hotaktörerna en möjlighet att använda sina videomedier och tilltagande AI-kunskaper för att vända den politiska opinionen mot de folkvalda politiker som förespråkar stöd till Ukraina.30

Microsoft arbetar på flera fronter för att skydda våra kunder i såväl Ukraina som resten av världen från dessa mångfacetterade hot. Under vårt Secure Future Initiative integrerar vi framsteg inom AI-drivet cyberförsvar och säker programvaruteknik, med ansträngningar som syftar till att stärka internationella normer som ska skydda medborgarna från cyberhot. 31 Vi använder också resurser tillsammans med en uppsättning kärnprinciper som ska skydda väljare, kandidater, kampanjer och valmyndigheter över hela världen, eftersom mer än 2 miljarder människor beräknas engagera sig i den demokratiska processen under nästa år.32

  1. [2]

    Mer teknisk information om de senaste destruktiva attackerna mot Ukraina finns i  https://go.microsoft.com/fwlink/?linkid=2262377

  2. [8]

    Baserat på meddelanden som publicerats från den 15 mars 2023 till den 23 oktober 2023. 

  3. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  4. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  5. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

Relaterade artiklar

Digitala hot från Östasien ökar, både vad gäller bredd och effektivitet

Fördjupa dig i och utforska framväxande trender i Östasiens föränderliga hotlandskap, där Kina genomför omfattande cyber- och påverkanskampanjer, medan Nordkoreas cyberhotaktörer uppvisar en tilltagande skicklighet.

Iran satsat på cyberaktiverade påverkansåtgärder eftersom de ger större effekt

Microsoft Threat Intelligence har avslöjat ett växande antal cyberaktiverade påverkanskampanjer från Iran. Få hotinsikter med information om nya tekniker och var potentialen för framtida hot ligger.

Cyber- och påverkansoperationer under kriget på Ukrainas digitala slagfält

Microsoft Threat Intelligence undersöker ett år av cyber- och påverkansoperationer i Ukraina, avslöjar nya trender inom cyberhot och vad vi kan vänta oss när kriget går in på sitt andra år.

Följ Microsoft Security