Trace Id is missing
Перейти до основного
Security Insider

Ті самі цілі, нові плани дій: джерела загрози в Східній Азії застосовують унікальні методи

Завантажити
Поділитися
Абстрактне зображення воєнного корабля з графічними червоними колами й елементами чорної сітки на рожевому фоні.

З червня 2023 року корпорація Майкрософт спостерігала кілька значних тенденцій впливу та кібероперацій, пов’язаних із Китаєм і Північною Кореєю, де спостерігалося не лише збільшення атак на відомі цілі, а й спроби досягти цілей за допомогою складніших методів впливу.

Протягом останніх семи місяців китайські джерела загрози загалом були націлені на три сфери.

  • Одна група китайських джерел загрози широко націлилася на організації на островах південної частини Тихого океану.
  • Друга група продовжила серію кібератак, спрямованих на регіональних супротивників у регіоні Південно-Китайського моря.
  • Третя група уразила оборонно-промислову базу США.

Замість того, щоб розширювати географічне охоплення своїх цілей, китайські джерела впливу вдосконалювали методи й експериментували з новими медіа. Китайські кампанії впливу продовжували вдосконалювати вміст, створений або оптимізований за допомогою ШІ. Джерела впливу, задіяні в цих кампаніях, продемонстрували готовність пропагувати засоби масової інформації, створені ШІ, для підтримки своїх стратегічних наративів, а також створювати власні відео, аудіо та меми. Така тактика використовувалась у кампаніях, які посилювали розбіжності в США та загострювали конфлікти в Азіатсько-Тихоокеанському регіоні, зокрема Тайвані, Японії й Південній Кореї. Ці кампанії досягли неоднозначних результатів, і не було єдиної формули, яка б забезпечувала стабільне залучення аудиторії.

Джерела загрози з Північної Кореї потрапили в заголовки газет через збільшення кількості атак на ланцюжки поставок програмного забезпечення та крадіжок криптовалюти за останній рік. Хоча стратегічні персоналізовані фішингові кампанії, націлені на дослідників Корейського півострова, продовжують набирати обертів, схоже, що північнокорейські джерела загрози стали частіше використовувати законне програмне забезпечення, щоб уразити ще більше цілей.

Група Gingham Typhoon атакує урядові, IT та міжнародні організації на островах південної частини Тихого океану

Протягом літа 2023 року команда Аналізу загроз Microsoft спостерігала активну діяльність китайської шпигунської групи Gingham Typhoon, яка атакувала майже всі острови в південній частині Тихого океану. Група Gingham Typhoon є найактивнішим джерелом загрози в цьому регіоні, і націлюється на міжнародні організації, урядові установи та ІТ-сектор за допомогою складних фішингових кампаній. Серед жертв групи також затяті критики китайського уряду.

Серед дипломатичних союзників Китаю, які нещодавно стали жертвами групи Gingham Typhoon, були державні установи, торгові агентства, інтернет-провайдери та транспортні компанії.

Ці наступальні кібердії можуть бути мотивовані посиленням геополітичної та дипломатичної конкуренції в регіоні. Китай прагне налагодити стратегічне партнерство з острівними країнами південної частини Тихого океану для розширення економічних зв’язків та укладення дипломатичних і безпекових угод. Китайське кібершпигунство в цьому регіоні також зачіпає економічних партнерів.

Наприклад, китайські джерела загрози здійснили великомасштабні атаки на міжнародні організації в Папуа-Новій Гвінеї, яка є давнім дипломатичним партнером і отримує вигоду від багатьох проектів ініціативи "Один пояс, один шлях", зокрема будівництва великої автомагістралі, що з’єднує урядову будівлю Папуа-Нової Гвінеї з головною дорогою столиці.1

Карта, що відображає частоту цілеспрямованих кібератак у країнах Тихоокеанського регіону, з великими кругами
Рисунок 1. Події, пов’язані з групою Gingham Typhoon, які спостерігалися з червня 2023 р. по січень2024 р. Ця діяльність свідчить про незмінну зацікавленість суб’єкта у країнах Азійсько-Тихоокеанського регіону. Однак багато зі спрямованих дій досі відбуваються, що відображає тривалий інтерес до цього регіону. Географічне розташування та діаметр символів слугують для ілюстрації.

На тлі військових навчань західних сил китайські джерела загрози продовжують зосереджуватись у Південно-Китайському морі

Джерела загрози, що діють із Китаю, продовжували атакувати організації, пов’язані з економічними та військовими інтересами Китаю в Південно-Китайському морі й навколо нього. Ці джерела загроз скористалися нагодою й уразили жертв з урядових і телекомунікаційних установ Асоціації держав Південно-Східної Азії (АСЕАН). Китайські державні джерела загрози виявили особливий інтерес до цілей, пов’язаних із численними військовими навчаннями США в регіоні. У липні 2023 року державна група Raspberry Typhoon, що базується за межами Китаю, успішно атакувала військові та командні структури в Індонезії та морську систему Малайзії за кілька тижнів до рідкісних багатосторонніх військово-морських навчань за участю Індонезії, Китаю та США.

Аналогічно, інше китайське джерело загрози, Flax Typhoon, атакувало організації, пов’язані з військовими навчаннями США та Філіппін. Тим часом угруповання Granite Typhoon, ще одне джерело загрози з боку Китаю, у цей період уразило телекомунікаційні організації в регіоні – в Індонезії, Малайзії, Філіппінах, Камбоджі й Тайвані.

Після публікації в блозі Microsoft про групу Flax Typhoon на початку осені та взимку 2023 року корпорація Майкрософт виявила нові цілі групи у Філіппінах, Гонконгу, Індії та США.2 Це джерело загрози також часто атакує телекомунікаційний сектор, що часто призводить до багатьох наслідків.

Карта, на які показано дані Аналізу загроз Microsoft про регіони в Азії, які найчастіше зазнавали атак.
Рисунок 2. Помічені атаки на країни в регіоні Південнокитайського моря, які здійснювали група Flax Typhoon, Granite Typhoon, або Raspberry Typhoon. Географічне розташування та діаметр символів слугують для ілюстрації.

Група Nylon Typhoon уражає зовнішньополітичні відомства в усьому світі

Китайське джерело загрози Nylon Typhoon продовжує свої довгострокові спроби атакувати зовнішньополітичні відомства в країнах у всьому світі. У період із червня до грудня 2023 року корпорація Майкрософт спостерігала активність Nylon Typhoon у державних установах Південної Америки, зокрема в Бразилії, Гватемалі, Коста-Риці та Перу. Активність цього джерела загрози спостерігалася також у Європі, де він уразив державні установи в Португалії, Франції, Іспанії, Великій Британії та Італії. Хоча більшість європейських цілей були державними установами, також було уражено деякі ІТ-компанії. Метою цих атак є збір розвідувальної інформації.

Китайське джерело загрози націлюється на військові організації та критичну інфраструктуру США

Нарешті, восени та взимку 2023 року активність групи Storm-0062 зросла. Значна частина цієї діяльності охоплювала ураження державних установ США, пов’язаних з обороною. До них також входили підрядники, які надають технічно-інженерні послуги, пов’язані з авіацією, обороною та природними ресурсами, критичними для національної безпеки США. Крім того, група Storm-0062 неодноразово націлювалася на військові структури США. Однак незрозуміло, чи вдалося їй порушити їх безпеку.

Оборонно-промислова база Сполучених Штатів також постійно перебуває під прицілом групи Volta Typhoon. У травні 2023 року корпорація Майкрософт приписала атаки на організації критичної інфраструктури США спонсорованій державою групі Volt Typhoon із Китаю. Група Volt Typhoon проникла до мереж організацій за допомогою методів LOTL (Living Off The Land) і атак, керованих людьми.3 Ця тактика дозволила Volt Typhoon таємно підтримувати несанкціонований доступ до цільових мереж. У період із червня до грудня 2023 року група Volt Typhoon продовжувала атакувати критично важливу інфраструктуру, водночас збільшуючи ресурси, уражаючи пристрої малих і домашніх офісів (SOHO) по всій території США.

У нашому звіті за вересень 2023 року ми детально описали, як китайські групи впливу почали використовувати генеративний штучний інтелект для створення переконливого та привабливого візуального вмісту. Протягом літа команда Аналізу загроз Microsoft виявила створені ШІ меми, націлені на Сполучені Штати, які висвітлювали суперечливі внутрішні проблеми та критикували нинішню адміністрацію. Пов’язані з Китаєм групи впливу продовжують використовувати створені й удосконалені штучним інтелектом медіа (далі – "вміст ШІ") у кампаніях впливу. Протягом року їх кількість і частота зросла.

ШІ прогресує (але не може затвердитися)

Найбільш плідним із цих джерел загрози, що використовують вміст ШІ, є Storm-1376 – це позначення, яке корпорація Майкрософт дала пов’язаній із Комуністичною партією Китаю (КПК) групі, широко відомій як "Spamouflage" або "Dragonbridge". До зими інші джерела загрози, пов’язані з КПК, почали використовувати ширший спектр вмісту ШІ для посилення операцій впливу в Інтернеті. Це включало значне збільшення вмісту з тайванськими політиками напередодні президентських і парламентських виборів 13 січня. Тоді команда Аналізу загроз Microsoft уперше спостерігала спроби державного джерела загрози вплинути на вибори в іншій країні за допомогою вмісту ШІ.

Аудіо, створені ШІ. У день виборів у Тайвані група Storm-1376 опублікувала, імовірно, згенеровані штучним інтелектом аудіокліпи Террі Гоу, власника Foxconn і незалежного кандидата в президенти Тайваню, який відмовився від участі у виборах у листопаді 2023 року. На цих аудіозаписах можна почути, як Гоу висловлює підтримку іншому кандидату в президенти. Голос Гоу на цих записах, імовірно, створений ШІ, оскільки він не робив таких заяв. Служба YouTube швидко вжила заходів щодо цього вмісту, перш ніж він охопив значну кількість користувачів. Ці відео з’явилися через кілька днів після того, як в Інтернеті почав поширюватися фальшивий лист від Террі Гоу, який підтримує того самого кандидата. Провідні тайванські організації з перевірки фактів спростували цей лист. Представник кампанії Гоу також заявив, що лист неправдивий і що він буде вживати правових заходів.4 Гоу офіційно не підтримав жодного кандидата в президенти на виборах.
Зображення чоловіка в костюмі, який говорить з трибуни, з текстом китайською мовою та графікою звукової хвилі на фоні.
Рисунок 3. Група Storm-1376 публікувала відеозаписи, у яких використовувала створений за допомогою ШІ голос Террі Ґоу, щоб здавалося, ніби він підтримує іншого кандидата.
Ведучі, створені ШІ. Згенеровані ШІ ведучі новин, створені сторонніми технологічними компаніями за допомогою інструменту Capcut китайської технологічної компанії ByteDance, з’являлися в різних кампаніях за участю тайванських чиновників5 і в новинах у М’янмі. Група Storm-1376 використовує таких ведучих новин, створених штучним інтелектом, щонайменше з лютого 2023 року,6 але в останні місяці кількість вмісту з такими ведучими збільшилася.
Колаж із військовою машиною
Рисунок 4. Група Storm-1376 опублікувала відео мандаринською й англійською мовами, у яких стверджувалося, що США та Індія відповідальні за заворушення в Мʼянмі. У деяких із цих відео присутня та сама ведуча, створена ШІ.
Відео, удосконалені штучним інтелектом. Згідно з інформацією, опублікованою канадським урядом та іншими дослідниками, у кампанії проти канадських депутатів використовувалися вдосконалені ШІ відео з образом китайського дисидента, який живе в Канаді.7 Ці відео, які є частиною багатоплатформової кампанії з переслідування канадських політиків у їхніх облікових записах у соціальних мережах, неправдиво зображували дисидента, який висловлював провокаційні зауваження щодо уряду Канади. Схожі відео, удосконалені штучним інтелектом, раніше використовувалися проти цього дисидента.
Людина сидить за столом
Рисунок 5. Створені ШІ фейкові відео, у яких дисидент зневажливо висловлюється про релігію. Хоча у цих кліпах використовуються ті самі прийоми, що й у кампанії проти Канади, здається, що вони непов’язаними за вмістом.
Меми, створені ШІ. У грудні група Storm-1376 просувала серію створених штучним інтелектом мемів про Вільяма Лая, тодішнього кандидата в президенти Тайваню від Демократичної прогресивної партії, з темою відліку "X днів" до усунення партії від влади.
Графічна ілюстрація з двома розташованими поруч зображеннями, на одному з яких показано фігуру з червоним знаком "х", а на другому – таку саму фігуру без нього.
Рисунок 6. Згенеровані ШІ меми звинувачують кандидата в президенти від Демократичної прогресивної партії Вільяма Лая в розкраданні фондів тайванської Програми розвитку сучасної інфраструктури. Ці меми містили спрощені символи (які використовуються в КНР, а не в Тайвані) і були частиною серії, у якій щодня відображався "зворотний відлік до моменту усунення ДПП від влади".
Часова шкала з інфографікою, яка відображає вплив створеного ШІ вмісту на вибори в Тайвані в грудні 2023 – січні 2024 р.
Рисунок 7. Часова шкала зі вмістом, який був створений і розповсюджений за допомогою ШІ та з’явився напередодні президентських і парламентських виборів у Тайвані в січні 2024 р. Група Storm-1376 посилила деякі із цих повідомлень і була відповідальна за створення вмісту під час двох кампаній.

Група Storm-1376 продовжує реактивні інформаційні кампанії, які іноді включають теорії змов

Група Storm-1376, чиї операції впливу охоплюють понад 175 веб-сайтів 58 мовами, продовжує часто проводити реактивні інформаційні кампанії щодо резонансних геополітичних подій, зокрема тих, що зображують США в невигідному світлі або підтримують інтереси КПК в Азіатсько-Тихоокеанському регіоні (APAC). З часу нашого останнього звіту у вересні 2023 року ці кампанії зазнали кількох важливих змін. Сюди входить використання створених штучним інтелектом зображень для введення аудиторії в оману, розпалювання конспіративного вмісту, зокрема проти уряду США, і націлювання на нові демографічні групи, такі як Південна Корея, за допомогою локалізованого вмісту.

1. Твердження, що "кліматична зброя" уряду США спровокувала лісові пожежі на Гаваях

У серпні 2023 року, коли лісові пожежі вирували на північно-західному узбережжі Мауї, Гаваї, група Storm-1376 скористалася нагодою, щоб поширити теорії змови на багатьох платформах соціальних мереж. Ці дописи звинуватили уряд США в навмисних підпалах для випробування "кліматичної зброї" військового рівня. Крім публікації такого типу тексту щонайменше 31 мовою на десятках веб-сайтів і платформ, група Storm-1376 використовувала згенеровані штучним інтелектом зображення палаючих прибережних доріг і будинків, щоб привернути більше уваги до вмісту.8

Зображення кількох фотографій масштабних пожеж зі штампом "Fake" (Підробка).
Рисунок 8. Коли у США почалися масштабні лісові пожежі, група Storm-1376 розповсюджувала конспірологічні теорії у своїх дописах із припущеннями, що вогонь поширюється через випробування "метеорологічної зброї". Ці дописи часто супроводжувалися створеними ШІ фотографіями страшних пожеж.

2. Зростання обурення через викид Японією ядерних стічних вод

Група Storm-1376 розгорнула масштабну агресивну інформаційну кампанію з критикою уряду Японії після того, як 24 серпня 2023 року країна почала скидати в Тихий океан очищені стічні води, забруднені радіоактивними речовинами.9 Вміст групи Storm-1376 ставить під сумнів наукову оцінку Міжнародного агентства з атомної енергії (МАГАТЕ), що цей викид був безпечним. Група Storm-1376 масово розсилала повідомлення в соцмережах багатьма мовами, зокрема японською, корейською й англійською. Деякий вміст навіть звинувачував США в навмисному отруєнні інших країн, щоб зберегти "водну гегемонію". Вміст, який використовується в цій кампанії, має характеристики створеного штучним інтелектом.

У деяких випадках група Storm-1376 повторно розповсюджувала вміст, що використовувався іншими джерелами загрози в пропагандистській екосистемі Китаю, зокрема лідерами думок у соцмережах, пов’язаними з китайськими державними ЗМІ.10 Лідери думок і ресурси, що належать Storm-1376, завантажили в Інтернет три однакові відео з критикою скидання стічних вод Фукусіми. Протягом 2023 року зросла кількість випадків, коли в дописах різних джерел загрози одночасно використовувався ідентичний вміст, що може вказувати на координацію або спрямування новин.

Сатирична ілюстрація людей, знімок екрана з відео з Ґодзіллою та допис у соцмережі
Рисунок 9. Меми й зображення з критикою відведення стічних вод Фукусіми, створені за допомогою ШІ китайськими таємними організаціями, що займаються операціями впливу, (ліворуч) і урядовцями (по центру). Лідери думок, яких пов’язують із китайськими державними ЗМІ, також поширювали урядові наративи з критикою відведення стічних вод (праворуч).

3. Розпалювання розбрату в Південній Кореї

Після викиду стічних вод Фукусіми група Storm-1376 доклала цілеспрямовані зусилля, спрямовані на Південну Корею, використовуючи локалізований вміст, що висвітлює протести в країні проти викиду, а також вміст, який критикує японський уряд. Ця кампанія включала сотні дописів корейською мовою на різних платформах і веб-сайтах, зокрема в таких південнокорейських соцмережах, як Kakao Story, Tistory та Velog.io.11

У рамках цієї цілеспрямованої кампанії група Storm-1376 активно оприлюднювала коментарі та дії Лі Чже Мена (이재명, 李在明), лідера партії Мінджу та невдалого кандидата в президенти 2022 року. Лі розкритикував дії Японії, назвавши їх "тероризмом із використанням забрудненої води" та рівнозначними "другій тихоокеанській війні". Він також звинуватив чинний уряд Південної Кореї в "співучасті через підтримку" рішення Японії й оголосив голодування на знак протесту, яке тривало 24 дні.12

Комікс із чотирьох зображень, присвячений забрудненню довкілля та його впливу на морське життя.
Рисунок 10. Меми корейською мовою з південнокорейської блоґ-платформи Tistory підсилюють розбіжності щодо утилізації стічних вод із Фукусіми.

4. Сходження з рейок у штаті Кентуккі

Під час Дня подяки в листопаді 2023 року в окрузі Роккасл, штат Кентуккі, зійшов із рейок потяг, який перевозив розплавлену сірку. Приблизно через тиждень група Storm-1376 запустила кампанію в соцмережах, використовуючи цю катастрофу. Вона розповсюджувала теорії змови проти уряду США й підкреслювала політичний поділ американського електорату, намагаючись викликати недовіру та розчарування в уряді США. Група Storm-1376 закликала глядачів замислитися, чи не став причиною цієї катастрофи уряд США та "навмисно щось приховував".13 Деякі новинні повідомлення навіть пов’язали цю катастрофу з теоріями про приховування подій 11 вересня та напад на Перл-Харбор.14

Маріонетки, які використовуються в операціях впливу Китаю, збирають погляди на політичні питання, що стосуються США

У звіті за вересень 2023 року ми розповіли, як облікові записи в соцмережах, пов’язані з КПК, почали видавати себе за американських виборців усіх політичних поглядів і відповідати на коментарі реальних користувачів.15 Ці спроби вплинути на проміжні вибори в США у 2022 році були першими серед спостережуваних операцій впливу Китаю.

Центр аналізу загроз Microsoft виявив невелике, але стійке зростання кількості додаткових маріонеткових облікових записів, які, як ми обґрунтовано вважаємо, пов’язані з КПК. Ці облікові записи були створені на X (раніше Twitter) у 2012 або 2013 роках. Однак перші публікації, які нібито належать пов’язаним із ними людям, з’явилися лише на початку 2023 року. Це свідчить про те, що облікові записи нещодавно придбали або перепрофілювали. Ці маріонетки публікують як оригінально створені відео, меми й інфографіку, так і повторно використовуваний вміст з інших відомих політичних облікових записів. В облікових записах майже виключно йдеться про внутрішні проблеми США: від уживання наркотиків до імміграційної політики та расової напруги. Іноді з’являються також коментарі на теми, що стосуються Китаю, такі як скидання стічних вод Фукусіми або китайські дисиденти.

Знімок екрана комп’ютера з написами "Війна й конфлікти", "Проблеми з наркотиками", "Расові відносини" тощо.
Рисунок 11. Протягом літа й осені китайські маріонетки й підставні особи часто використовували захопливі візуальні ефекти (іноді покращені за допомогою генеративного ШІ) у своїх дописах про політичні проблеми й актуальні події в США.
Окрім публікації політично мотивованої інфографіки та відео, ці облікові записи часто запитують підписників, чи згодні вони з певною темою. Деякі з цих облікових записів публікували дописи про різних кандидатів у президенти, а потім просили підписників повідомити їх у коментарях, чи підтримують вони цих кандидатів. Ця тактика може використовуватися для додаткового залучення або збору інформації про погляди американців на політику США. Можливо, буде створено більше таких облікових записів для збору більшої кількості інформації про основні демографічні характеристики виборців у США.
Порівняння зображень на розділеному екрані: ліворуч військовий літак злітає з авіаносця, а праворуч група людей сидить за парканом
Рисунок 12. Китайські маріонетки запитують думку на політичні теми в інших користувачів соцмережі X

У 2023 році джерела загрози з Північної Кореї викрали криптовалюту на сотні мільйонів доларів і здійснили атаки на ланцюжки постачання програмного забезпечення та атакували цілі, які сприймалися як вороги національної безпеки. Їхня діяльність приносить дохід уряду Північної Кореї – зокрема, для його збройової програми – і збирає розвіддані про США, Південну Корею та Японію.16

Інфографіка, що відображає, які країни й галузі найчастіше ставали цілями кібератак.
Рисунок 13. Країни й галузі, на які було спрямовано найбільше кібератак Північної Кореї з червня 2023 по січень 2024 р., на основі сповіщень про загрози національного рівня, що отримали фахівці Аналізу загроз Microsoft.

Північнокорейські джерела загрози викрали рекордну кількість криптовалюти, щоб отримати дохід для держави.

За оцінками ООН, з 2017 року північнокорейські джерела загрози викрали криптовалюту на суму понад 3 мільярди доларів США (USD).17 Лише у 2023 році скоєно крадіжки на загальну суму від 600 мільйонів до 1 мільярда доларів. Повідомляється, що з цих вкрадених коштів фінансується більше половини ядерних і ракетних програм країни, що дозволяє Північній Кореї розширювати та випробовувати свій арсенал зброї, незважаючи на санкції.18 За останній рік Північна Корея провела численні ракетні випробування та військові навчання й навіть успішно запустила в космос військовий розвідувальний супутник 21 листопада 2023 року.19

З червня 2023 року три джерела загрози, які відстежує корпорація Майкрософт (Jade Sleet, Sapphire Sleet і Citrine Sleet), найбільше зосереджені на цілях криптовалюти. Група Jade Sleet здійснювала великі крадіжки криптовалюти, а група Sapphire Sleet – дрібніші, але частіші крадіжки. Корпорація Майкрософт приписала групі Jade Sleet крадіжку щонайменше 35 мільйонів доларів в естонської криптовалютної компанії на початку червня 2023 року. Корпорація Майкрософт також приписала групі Jade Sleet крадіжку понад 125 мільйонів доларів із сінгапурської криптовалютної платформи через місяць. Група Jade Sleet почала уражати криптовалютні онлайн-казино в серпні 2023 року.

Група Sapphire Sleet неодноразово уражала багатьох працівників, зокрема керівників і розробників, у венчурних, криптовалютних та інших фінансових організаціях. Група Sapphire Sleet також розробила нові методи, такі як надсилання фальшивих запрошень на віртуальні наради з посиланнями на домени, що належать зловмисникам, і реєстрація фальшивих веб-сайтів із вакансіями. Група Citrine Sleet під час атаки на ланцюжок постачання 3CX у березні 2023 року уразила турецьку компанію з торгівлі криптовалютою й цифровими активами. Постраждала компанія розмістила вразливу версію програми 3CX, пов’язану з цим ураженням ланцюжка постачання.

Персоналізовані фішингові операції й атаки на ланцюжки постачання програмного забезпечення північнокорейських джерел загрози створюють небезпеку для ІТ-сектора

Північнокорейські джерела загрози також здійснили атаки на ланцюжки постачання програмного забезпечення ІТ-компаній, завдяки чому отримали доступ до кінцевих клієнтів. Група Jade Sleet використовувала репозиторії GitHub і заражені пакети npm у соціотехнічній персоналізованій фішинговій кампанії, націленій на працівників криптовалютних і технологічних організацій.20 Зловмисники видавали себе за розробників або роботодавців, запрошували цілі до співпраці над репозиторієм GitHub і переконували їх клонувати й запускати вміст, що містить шкідливі пакети npm. У серпні 2023 року група Diamond Sleet уразила ланцюжок постачання німецької ІТ-компанії та заразила програму тайванської ІТ-компанії, щоб виконати атаку на ланцюжок постачання в листопаді 2023 року. Групи Diamond Sleet і Onyx Sleet використали вразливість TeamCity CVE-2023-42793 в жовтні 2023 року. Це дає зловмиснику змогу провести атаку віддаленого виконання коду й отримати адміністративне керування сервером. Група Diamond Sleet використовувала цю техніку, щоб уразити сотні цілей у різних галузях промисловості в США та країнах Європи, зокрема Великій Британії, Данії, Ірландії й Німеччині. Група Onyx Sleet використовувала ту саму вразливість, щоб уразити щонайменше10 жертв, зокрема постачальника програмного забезпечення в Австралії та державну установу в Норвегії, а потім запустив додаткові корисні навантаження за допомогою інструментів після ураження.

Північнокорейські джерела загрози націлилися на США, Південну Корею та їхніх союзників

Північнокорейські джерела загрози продовжували атакувати цілі, які сприймалися як вороги національної безпеки. Ці кібердії стали прикладом геополітичної мети Північної Кореї – протидії тристоронньому альянсу між США, Південною Кореєю та Японією. Лідери цих трьох країн зміцнили це партнерство на саміті в Кемп-Девіді в серпні 2023 року.21 Групи Ruby Sleet і Onyx Sleet продовжували атакувати аерокосмічні та оборонні організації в США та Південній Кореї. Група Emerald Sleet продовжила свою розвідувальну та персоналізовану фішингову кампанію, націлену на дипломатів і експертів із Корейського півострова в державних адміністраціях, аналітичних центрах/НУО, ЗМІ й освітніх установах. У червні 2023 року група Pearl Sleet продовжувала атакувати південнокорейські організації, які працюють із північнокорейськими перебіжчиками та правозахисниками в Північній Кореї. Корпорація Майкрософт вважає, що мотивом цих дій є збір розвідувальної інформації

Північнокорейські джерела загрози розгортають люки в законному програмному забезпеченні

Північнокорейські джерела загрози також використовували люки в законному програмному забезпеченні завдяки вразливостям у наявному програмному забезпеченні. У першій половині 2023 року група Diamond Sleet часто використовувала заражену зловмисну програму VNC для ураження жертв. У липні 2023 року група Diamond Sleet знову почала використовувати заражену зловмисну програму для роботи з PDF-файлами – набір методів, проаналізованих Центром аналізу загроз Microsoft у дописі в блозі за вересень 2022 року.22 Група Ruby Sleet, імовірно, також використала інсталятор-люк південнокорейської програми електронних документів у грудні 2023 року.

Північна Корея використовує інструменти ШІ, щоб здійснювати зловмисну кібердіяльність

Північнокорейські джерела загрози пристосовуються до епохи штучного інтелекту. Вони вчаться використовувати інструменти великих мовних моделей (LLM) на основі штучного інтелекту, щоб проводити ефективніші й дієвіші операції. Наприклад, корпорація Майкрософт і компанія OpenAI спостерігали, як група Emerald Sleet використовує великі мовні моделі, щоб посилити персоналізовані фішингові кампанії, націлені на експертів Корейського півострова.23 Група Emerald Sleet використовувала великі мовні моделі, щоб виявляти вразливості та збирати розвідувальну інформацію про організації та експертів, які мають справу з Північною Кореєю. Група Emerald Sleet також використовувала великі мовні моделі для вирішення технічних проблем, виконання основних завдань із написання сценаріїв і підготовки вмісту для персоналізованих фішингових повідомлень. Корпорація Майкрософт співпрацює з OpenAI, щоб видалити облікові записи й ресурси, пов’язані з групою Emerald Sleet.

У жовтні Китай відзначатиме 75-ту річницю утворення Китайської Народної Республіки. Тим часом Північна Корея продовжить реалізацію ключових програм розробки передової зброї. Водночас наближаються вибори в Індії, Південній Кореї та США. Китайські кіберзлочинці та джерела впливу, а також певною мірою північнокорейські кіберзлочинці, імовірно, будуть націлені на ці вибори.

Щонайменше Китай уживатиме заходів для створення й оприлюднення вмісту, створеного штучним інтелектом, на підтримку його позицій на цих важливих виборах. Хоча такий вміст мало впливає на зміну свідомості аудиторії, ураховуючи все більше експериментів Китаю з удосконалення мемів, відео та аудіо, зрештою він може виявитись ефективним. Китайські джерела загрози вже давно займаються розвідкою політичних інституцій США. Тому ми очікуємо, що джерела впливу взаємодіятимуть з американцями та потенційно вивчатимуть їхні погляди на політику США.

Нарешті, оскільки Північна Корея змінює політику уряду та реалізує амбітні плани випробувань зброї, ми очікуємо побачити все складніші крадіжки криптовалюти й атаки на ланцюжки постачання, націлені на оборонний сектор. Таким чином режим хоче заробити гроші та забезпечити розвиток нових військових компетенцій.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出", 1 січня 2024 року, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?", 11 січня 2024 року, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    "Імовірна кампанія «Spamouflage» КНР спрямована проти десятків канадських членів парламенту в рамках кампанії дезінформації", жовтень 2023 р.

  8. [8]
  9. [9]

    Багато джерел задокументували поточну пропагандистську кампанію китайського уряду, спрямовану на розпалювання міжнародного обурення через рішення Японії скинути радіоактивні стічні води після ядерної аварії на АЕС "Фукусіма-1" у 2011 році. Див. статтю: "Дезінформація Китаю розпалює обурення через викид води з Фукусіми", 31 серпня 2023 р."Японія стала мішенню китайської пропаганди та прихованої онлайн-кампанії", 8 червня 2023 р.

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Операції кібервпливу Загрози державного рівня Звіти про загрози державного рівня Соціотехніка Джерела загрози

Пов’язані статті

Кіберзагрози зі Східної Азії стають масштабнішими й ефективнішими

Дослідіть нові тенденції загроз у Східній Азії, де Китай проводить широкі кібератаки та операції впливу, а дії кіберзловмисників із Північної Кореї демонструють підвищення складності атак.
Дізнатися більше

Наживання на довірі: шахрайство з використанням соціотехніки

Дізнайтеся про цифрове середовище, яке постійно розвивається й у якому довіра – це одночасно і валюта, і вразливість. Ознайомтеся із шахрайськими методами соціотехніки, якими найчастіше послуговуються зловмисники, і розгляньте стратегії, які допомагають виявляти подібні загрози, призначені для маніпулювання людською природою, а також уникати їх.
Дізнатися більше

Використання Іраном операцій кібервпливу для підтримки ХАМАС

Дізнайтеся більше про іранські операції кібервпливу, спрямовані на підтримку ХАМАС в Ізраїлі. Дізнайтеся про хід операцій на різних етапах війни й ознайомтеся з чотирма основними тактиками, методиками та процедурами впливу, яким Іран надає перевагу.
Дізнатися більше

Підпишіться на новини про Захисний комплекс Microsoft