Trace Id is missing
Перейти до основного
Security Insider

Російські джерела загроз готуються скористатися втомою від війни

 Операції з кібервпливу
Вступ
Російські кіберзловмисники та суб’єкти впливу продемонстрували здатність пристосовуватися протягом війни проти України, випробовуючи нові способи отримати перевагу на полі бою та послабити джерела внутрішньої й зовнішньої підтримки Києва. У цьому звіті докладно описано кіберзагрози та зловмисні ​​дії для впливу, які корпорація Майкрософт спостерігала з березня до жовтня 2023 року. Протягом цього періоду українські військові та цивільне населення знов опинилися під прицілом, а загроза втручання та маніпуляцій зросла для організацій у всьому світі, які допомагають Україні та прагнуть притягнути російські сили до відповідальності за воєнні злочини.

Етапи війни Росії проти України із січня 2022 року до червня 2023 року

Діаграма етапів війни Росії проти України
Дізнайтеся більше про це зображення на сторінці 3 повної версії звіту

Дії зловмисників, які корпорація Майкрософт спостерігала з березня до жовтня, відображають комбіновані операції з деморалізації української громадськості та додатковий фокус на кібершпигунстві. Російські військові, кіберзлочинці та джерела пропаганди скерували скоординовані атаки на сільськогосподарський сектор України (об’єкт цивільної інфраструктури) на тлі світової зернової кризи. Джерела кіберзагроз, пов’язані з російською військовою розвідкою (ГРУ), брали участь в операціях кібершпигунства проти української армії та її зовнішніх ланцюжків постачання. Тоді як міжнародна спільнота прагнула покарати воєнних злочинців, групи, пов’язані зі Службою зовнішньої розвідки Росії (СЗР) і Федеральною службою безпеки (ФСБ), націлилися на розслідувачів воєнних злочинів в Україні та за її межами.

З точки зору впливу, короткий заколот у червні 2023 року та подальша смерть Євгена Пригожина, власника групи "Вагнер" і сумнозвісної ферми тролів "Агентство інтернет-досліджень", викликали питання про майбутнє можливостей впливу Росії. Протягом усього літа корпорація Майкрософт спостерігала за активною діяльністю організацій, не пов’язаних із Пригожиним, що показує, що Росія може проводити кампанії негативного впливу без його участі.

Команди Аналізу загроз Microsoft і реагування на інциденти повідомили постраждалих клієнтів і державних партнерів та допомогли їм усунути загрози, описані в цьому звіті.

Російські сили більше покладаються на традиційну зброю, щоб завдати шкоди Україні, але кібероперації та операції впливу продовжують становити серйозну загрозу безпеці комп’ютерних мереж і життю цивільного населення союзників України в регіоні, НАТО й усьому світі. Окрім оновлення наших продуктів безпеки для випереджувального захисту наших клієнтів у всьому світі, ми надаємо цю інформацію, щоб заохочувати постійну пильність щодо загроз цілісності глобального інформаційного простору.

Цього літа російські військові, кіберзловмисники й джерела пропаганди об’єдналися, щоб атакувати сільськогосподарський сектор України. Унаслідок військових ударів було знищено зерно в обсязі, яким можна було б годувати понад 1 мільйон людей протягом року. Проросійські ЗМІ зі свого боку поширювали наративи, що виправдовували ці атаки, незважаючи на їх гуманітарні наслідки1.

З червня до вересня команда Аналізу загроз Microsoft спостерігала проникнення в мережі, ексфільтрацію даних і навіть розгортання руйнівних зловмисних програм проти організацій, пов’язаних із сільськогосподарською галуззю й інфраструктурою транспортування зерна України. У червні й липні група Aqua Blizzard (попередня назва – ACTINIUM) украла дані у фірми, яка допомагає відстежувати врожайність сільськогосподарських культур. Група Seashell Blizzard (попередня назва – IRIDIUM) використовувала варіанти найпростішої руйнівної зловмисної програми, яку корпорація Майкрософт визначає як WalnutWipe/SharpWipe, проти мереж харчового й сільськогосподарського секторів2.

Розподіл дій російської цифрової пропаганди проти сільського господарства України

Зображення дій російської цифрової пропаганди проти сільського господарства України
Дізнайтеся більше про це зображення на сторінці 4 повної версії звіту

У липні Москва відмовилася від участі в Чорноморській зерновій ініціативі, гуманітарному досягненні, яке допомогло запобігти глобальній продовольчій кризі й дозволило транспортувати понад 725 000 тонн пшениці людям в Афганістані, Ефіопії, Кенії, Сомалі і Ємені за перший рік3. Після цього проросійські ЗМІ й Telegram-канали розпочали злісно критикувати зернову ініціативу та виправдовувати рішення Москви. Пропагандистські джерела зображали зерновий коридор як прикриття для торгівлі наркотиками або як канал для таємних поставок зброї, щоб применшити гуманітарну важливість угоди.

У кількох звітах за 2023 рік ми висвітлювали, як групи справжніх і псевдохактивістів із можливими зв’язками з ГРУ розповсюджували невдоволення Москви ставленням їхніх опонентів та перебільшували кількість проросійських кіберсил4 5 6. Цього літа ми також спостерігали, як хактивісти використовували Telegram, щоб розповсюджувати повідомлення, які намагалися виправдати військові удари по цивільній інфраструктурі України, і проводити цілеспрямовані розподілені атаки типу "відмова в обслуговуванні" (DDoS) на союзників України за кордоном. Постійне відстеження корпорацією Майкрософт перетину дій груп хактивістів і державних суб’єктів надає додаткову інформацію про темпи роботи обох та те, як їх діяльність доповнює одна одну для досягнення цілей.

На сьогодні ми визначили три групи – "Солнцепек", "ІнфоЦентр" і "Кіберармія Росії" – які взаємодіють із Seashell Blizzard. З огляду на тимчасові сплески кіберактивності хактивістів, що збігаються з атаками Seashell Blizzard, можна зробити висновок, що зв’язок Seashell Blizzard із хактивістами швидше короткотривалий, ніж контрольований. Періодично група Seashell Blizzard запускає руйнівні атаки, за які групи хактивістів у Telegram публічно беруть відповідальність на себе. Потім хактивісти повертаються до своїх звичних нескладних дій, зокрема DDoS-атак або витоку українських персональних даних. Мережа має гнучку інфраструктуру, яку ця вдосконалена постійна загроза може використовувати для просування своєї діяльності.

Кругова шкала проросійського хактивізму

Діаграма з круговою шкалою проросійського хактивізму
Дізнайтеся більше про це зображення на сторінці 5 повної версії звіту

Російські сили не лише здійснюють дії, які можуть порушувати міжнародне право, але й націлюються на кримінальних слідчих і прокурорів, які ведуть справи проти них.

Згідно з телеметричними даними корпорації Майкрософт протягом весни й літа цього року зловмисники, пов’язані зі службами військової та зовнішньої розвідки Росії, атакували й зламували правові та дослідницькі мережі України, а також мережі міжнародних організацій, які беруть участь у розслідуваннях воєнних злочинів.

Ці кібероперації відбувалися на тлі зростаючої напруги між Москвою і такими інституціями, як Міжнародний кримінальний суд (МКС), який у березні видав ордер на арешт президента Росії Путіна за звинуваченнями у воєнних злочинах7.

У квітні група Seashell Blizzard, пов’язана з ГРУ, уразила мережу юридичної фірми, яка займається справами щодо воєнних злочинів. У липні група Aqua Blizzard, що належить до ФСБ, порушила безпеку міжнародної мережі головного слідчого органу в Україні, а потім у вересні використала уражені облікові записи, щоб надіслати фішингові електронні листи декільком українським телекомунікаційним компаніям.

У червні та липні група зловмисників Midnight Blizzard (попередня назва – NOBELIUM), пов’язана зі СЗР, уразила правову організацію з глобальними зобов’язаннями й отримала доступ до її документів, перш ніж команда реагування на інциденти Microsoft втрутилася, щоб виправити наслідки втручання. Ці дії були частиною агресивніших заходів цих суб’єктів, спрямованих на порушення безпеки дипломатичних, оборонних, правоохоронних та ІТ-організацій у всьому світі.

Унаслідок перевірки сповіщень системи безпеки Microsoft, надісланих постраждалим клієнтам із березня, було виявлено, що група Midnight Blizzard прагнула отримати доступ до понад 240 організацій (переважно в США, Канаді й інших країнах Європи) з різним ступенем успіху8.

Майже 40%  атакованих організацій були урядовими, міжурядовими або інформаційно-аналітичними центрами з питань політики.

Російські джерела загроз використовують різноманітні методи, щоб отримати початковий доступ і встановити присутність у цільових мережах. Група Midnight Blizzard вибрала багатосторонній підхід, використовуючи розпилення паролів, отримані від третіх сторін облікові дані, переконливі кампанії соціотехніки в Teams і зловживання хмарними службами, щоб проникнути в хмарні середовища9. Група Aqua Blizzard інтегрувала методики приховування HTML у фішингові кампанії з початковим доступом, щоб знизити ймовірність виявлення антивірусними сигнатурами й засобами керування безпекою електронної пошти.

Щоб отримати початковий доступ, група Seashell Blizzard використовувала серверні системи периметра, зокрема сервери Exchange і Tomcat, а також піратське програмне забезпечення Microsoft Office, що містить люк DarkCrystalRAT. За допомогою люку зловмисникам удалося завантажити корисні дані другої стадії під назвою Shadowlink – програмний пакет, що маскується під Microsoft Defender й інсталює службу Tor на пристрої, надаючи джерелу загрози прихований доступ через мережу Tor10.

Схема, на якій зображено, як Shadowlink інсталює службу Tor на пристрої
Дізнайтеся більше про це зображення на сторінці 6 повної версії звіту 

З моменту розгортання атаки російськими силами навесні 2023 року джерела кіберзагроз, пов’язані з ГРУ та ФСБ, зосередили свої зусилля на зборі розвідданих з українських засобів зв’язку та військової інфраструктури в зонах ведення бойових дій.

У березні команда Аналізу загроз Microsoft пов’язала групу Seashell Blizzard із потенційними фішинговими приманками та пакетами, які, очевидно, були спеціально націлені на ключовий компонент військової комунікаційної інфраструктури України. У нас не було інформації про подальші дії. За даними Служби безпеки України (СБУ) інші спроби групи Seashell Blizzard отримати доступ до військових мереж України включали використання зловмисних програм, які мали дати змогу збирати інформацію про конфігурацію підключених супутникових терміналів Starlink і з’ясовувати розташування українських військових підрозділів11 12 13.

Група Secret Blizzard (попередня назва – KRYPTON) також шукала можливості для збору розвідданих в українських оборонних мережах. У партнерстві з Урядовою командою реагування на комп’ютерні надзвичайні події України (CERT-UA) фахівці Аналізу загроз Microsoft виявили наявність зловмисної програми з люком Kazuar і DeliveryCheck групи Secret Blizzard у системах оборонних сил України14. Люк Kazuar підтримує більше ніж 40 функцій, зокрема крадіжку облікових даних із різних програм, даних автентифікації, проксі-серверів і файлів cookie, а також отримання даних із журналів операційної системи15. Група Secret Blizzard була особливо зацікавлена у викраденні файлів із повідомленнями з класичної програми для обміну повідомленнями Signal, що дало б змогу читати приватні чати Signal16.

Група Forest Blizzard (попередня назва – STRONTIUM) поновила фокус на своїх традиційних цілях для шпигунства: пов’язані з обороною організації в США, Канаді та Європі, чия військова підтримка й навчання дозволяє українським силам продовжувати боротьбу.

З березня група Forest Blizzard намагалась отримати початковий доступ до оборонних організацій через фішингові повідомлення, використовуючи нові та непомітні методи. Наприклад, у серпні група Forest Blizzard надіслала фішинговий електронний лист, що містив експлойт CVE-2023-38831, власникам облікових записів у європейській оборонній організації. CVE-2023-38831 – це вразливість безпеки в програмному забезпеченні WinRAR, яка дозволяє зловмисникам виконувати довільний код, коли користувач намагається переглянути безпечний файл у ZIP-архіві.

Зловмисники також використовують законні інструменти розробки, наприклад Mockbin і Mocky, для виконання команд та керування. Наприкінці вересня зловмисники провели кампанію з фішингу з неправомірним використанням служб GitHub і Mockbin. CERT-UA та інші фірми кібербезпеки повідомили про активність у вересні, зазначивши, що зловмисники використовували сайти з вмістом для дорослих, щоб обманом змусити жертв натиснути посилання або відкрити файл, який переспрямовує в зловмисну інфраструктуру Mockbin17 18. Наприкінці вересня корпорація Майкрософт помітила перехід до використання сайтів із технологічною тематикою. У кожному разі зловмисники надсилали фішинговий електронний лист зі зловмисним посиланням, що переспрямовувало жертву на URL-адресу Mockbin і завантажувало ZIP-файл, що містив зловмисний файл LNK (ярлик), який маскувався під оновлення Windows. Потім файл LNK завантажує та виконує інший сценарій PowerShell, щоб установити присутність і виконувати дії, наприклад викрадати дані.

Приклад знімка екрана приманки у вигляді PDF-файлу, пов’язаної з фішингом Forest Blizzard проти оборонних організацій.

Джерело загрози маскується під працівника Європейського парламенту
Вкладення в електронному листі: "Порядок денний 28 серпня – 3 вересня 2023 року" для нарад Європейського парламенту. Повідомлення прес-служби. 160 КБ bulletin.rar
Рисунок 5. Знімок екрана з прикладом приманки у вигляді PDF-файлу, пов’язаної з фішингом Forest Blizzard проти оборонних організацій.  Дізнайтеся більше про це зображення на сторінці 8 повної версії звіту

Протягом 2023 року центр MTAC продовжував спостерігати за групою Storm-1099 (суб’єкт впливу, пов’язаний із Росією), відповідальною за складну проросійську операцію впливу проти міжнародних прибічників України, яка почалася з весни 2022 року.

Група Storm-1099, імовірно, найбільш відома своєю масовою операцією підробки веб-сайтів, яку дослідницька група EU DisinfoLab назвала "Doppelganger"19. До інших дій групи також належать унікальні фірмові ЗМІ, наприклад Reliable Recent News (RRN), мультимедійні проекти, як-от серія антиукраїнських мультфільмів "Ukraine Inc.", і демонстрації на місці подій, що поєднують цифровий та фізичний світи. Хоча визначено не всі зв’язки, кілька кампаній Storm-1099 проводилися й підтримувалися добре фінансованими російськими політтехнологами, пропагандистами та фахівцями зі зв’язків із громадськістю, очевидно пов’язаними з російською державою20.

На момент публікування цього звіту операція "Doppelganger" групи Storm-1099 усе ще триває, незважаючи на постійні спроби технологічних компаній і дослідницьких органів повідомляти про них та зменшувати їх охоплення21. Хоча це джерело загрози традиційно націлене на Західну Європу (переважно на Німеччину), воно також обрало цілі у Франції, Італії та Україні. Останніми місяцями група Storm-1099 перемістила свій фокус на США й Ізраїль. Цей перехід розпочався ще в січні 2023 року під час масових протестів в Ізраїлі проти запропонованої судової реформи та посилився після початку війни між Ізраїлем і Хамасом на початку жовтня. Нещодавно створені фірмові ЗМІ демонструють зростаючу увагу до політики США та майбутніх президентських виборів у 2024 році в США, а наявні ресурси групи Storm-1099 посилено просувають неправдиві твердження про те, що угруповання Хамас придбало українську зброю на чорному ринку для своїх атак 7 жовтня по Ізраїлю.

Нещодавно, наприкінці жовтня, центр MTAC виявив облікові записи, які корпорація Майкрософт вважає ресурсами Storm-1099, що просували новий вид підробок на додаток до фальшивих статей і веб-сайтів у соцмережах. Це серія коротких фальшивих новинних роликів, нібито створених надійними ЗМІ, які поширюють проросійську пропаганду, щоб послабити підтримку України та Ізраїлю. Хоча ця тактика з використанням підроблених відео для поширення пропаганди спостерігалася в останні місяці серед проросійських джерел загроз ширше, просування групою Storm-1099 такого відеовмісту підкреслює різні методи впливу та цілей повідомлень цього джерела загроз.

Статті, опубліковані на фальшивих сайтах-двійниках

Кампанія, проведена джерелом загрози Storm-1099 для розповсюдження російського впливу в кіберпросторі, спостерігалася та відстежувалася корпорацією Майкрософт.
Спостерігалося та відстежувалося корпорацією Майкрософт 31 жовтня 2023 року. Статті, опубліковані на фальшивих сайтах-двійниках; кампанія, проведена джерелом загрози Storm-1099 для розповсюдження російського впливу в кіберпросторі.
Дізнайтеся більше про це зображення на сторінці 9 повної версії звіту

З початку атаки Хамасу на Ізраїль 7 жовтня російські державні ЗМІ та суб’єкти впливу, що підтримують державну позицію, прагнули використати війну між Ізраїлем і Хамасом, щоб просувати антиукраїнські наративи й антиамериканські настрої та посилити напругу між усіма сторонами. Хоча ці дії є реакцією на війну та зазвичай обмежені за обсягом, у них залучені як відкрито спонсоровані державою ЗМІ, так і таємно підтримувані Росією соцмережі, що охоплюють численні соціальні медіаплатформи.

 

Наративи, що просуваються російською пропагандою та проросійськими соцмережами, прагнуть налаштувати Ізраїль проти України та зменшити підтримку Заходу для Києва, хибно стверджуючи під виглядом надійних ЗМІ та за допомогою відео з маніпуляціями, що Україна озброїла бойовиків Хамас. Підроблені відео, які стверджували, що іноземні найманці (зокрема американці) були відправлені з України для участі в операціях армії оборони Ізраїлю (IDF) у секторі Газа, набрали сотні тисяч переглядів у різних соцмережах. Це лише один із прикладів такого вмісту. Ця стратегія дає змогу поширювати антиукраїнські наративи серед широкої аудиторії, водночас створюючи інтерес завдяки неправдивому викладу фактів відповідно до новин про останні події.

 

Росія також доповнює дії цифрового впливу, просуваючи події у світі. Російські ЗМІ агресивно просували провокативний вміст для підтримки протестів, пов’язаних із війною між Ізраїлем і Хамасом, на Близькому Сході та Європі, зокрема через кореспондентів російських державних інформаційних агентств на місці подій. Наприкінці жовтня 2023 року французька влада припустила, що чотири громадяни Молдови з великою ймовірністю пов’язані з нанесенням графіті у вигляді зірки Давида в громадських місцях Парижа. За повідомленнями двоє громадян Молдови стверджували, що отримали вказівки від російськомовної особи, що припускає можливу відповідальність Росії за нанесення графіті. Пізніше зображення графіті розповсюджувалися ресурсами Storm-109922.

 

Росія з великою ймовірністю оцінює поточний конфлікт Ізраїлю та Хамас як геополітичну перевагу, оскільки вважає, що конфлікт відволікає Захід від війни в Україні. З огляду на часто використовувані тактики російського впливу, центр MTAC вважає, що такі джерела загрози продовжать розповсюджувати пропаганду в Інтернеті й використовувати інші важливі міжнародні події, щоб провокувати напругу та намагатись утруднити здатність Заходу протистояти російським діям в Україні.

Антиукраїнська пропаганда пронизувала зусилля Росії щодо впливу ще до повномасштабного вторгнення у 2022 році. Однак за останні місяці проросійські та пов’язані з Росією мережі впливу зосередилися на використанні відео як динамічнішого засобу поширення цих повідомлень разом, а також підробці авторитетних ЗМІ, щоб використати їхню репутацію. Центр MTAC спостерігав за двома активними кампаніями, що проводяться невідомими проросійськими суб’єктами, які охоплювали імітацію відомих новинних агентств і розважальних ЗМІ для просування відеовмісту з маніпуляціями. Як і в попередніх російських кампаніях пропаганди, ці дії прагнуть показати, що український президент Володимир Зеленський є корумпованою людиною з наркотичною залежністю, а підтримка Києва західними країнами шкодить власному населенню цих країн. Вміст в обох кампаніях постійно спрямований на зменшення підтримки України, але наративи адаптуються до поточних новин, наприклад вибуху підводного апарату "Титан" у 2023 році або війни між Ізраїлем і Хамас, щоб охопити ширшу аудиторію.

Схема з оглядом підроблених новинних кліпів

демонстрація огляду підроблених новинних кліпів
Дізнайтеся більше про це зображення на сторінці 11 повної версії звіту

Одна з цих відеокампаній охоплює серію сфабрикованих відео, які розповсюджують неправдиві, антиукраїнські, пов’язані з Кремлем теми та наративи під виглядом коротких репортажів відомих ЗМІ. Центр MTAC уперше спостерігав ці дії у квітні 2022 року, коли проросійські Telegram-канали опублікували підроблене відео BBC News, у якому стверджувалося, що українські військові відповідальні за ракетний удар, жертвою якого стали десятки цивільних осіб. У відео використовується емблема, колірна схема та стиль BBC, а також воно містить англійські субтитри з помилками, які властиві перекладам зі слов’янських мов англійською.

Ця кампанія продовжувалася протягом 2022 року та посилилася літом 2023 року. На момент написання цього звіту центр MTAC зафіксував понад десятки підроблених новинних відео в рамках кампанії. Найчастіше підроблялися відео від BBC News, Al Jazeera та EuroNews. Російськомовні Telegram-канали першими почали показувати відео, перш ніж вони розповсюджувались у відомих соцмережах

Знімки екрана з відео, що імітують емблему та стиль BBC News (ліворуч) і EuroNews (праворуч)

Сфабриковані новинні кліпи з проросійською дезінформацією
Аналіз загроз Microsoft: Посилання на сфабриковані новини про поразку української армії, атаку Хамас і неправдиву відповідальність Ізраїлю
Сфабриковані новинні кліпи з проросійською дезінформацією. Знімки екрана з відео, що імітують емблему та стиль BBC News (ліворуч) і EuroNews (праворуч). Дізнайтеся більше про це зображення на сторінці 12 повної версії звіту

Хоча цей вміст мав обмежене охоплення, він може бути серйозною загрозою для майбутніх цілей, якщо його вдосконалити за допомогою штучного інтелекту або посилити джерелом новин, що більше заслуговує на довіру. Проросійські джерела загроз, відповідальні за підроблені новинні кліпи, швидко використовують поточні світові події. Наприклад, у підробленому відео ВВС News неправдиво стверджувалося, що за даними дослідницької журналістської організації Bellingcat зброю, яку використовували бойовики Хамас, продали групі українські військові на чорному ринку. Це відео дуже схоже на офіційну заяву колишнього російського президента Дмитра Медведєва, зроблену лише за день до випуску відео, що демонструє тісний зв’язок кампанії з повідомленнями російського уряду23.

З липня 2023 року проросійські канали в соцмережах почали розповсюджувати відео зі знаменитостями, відредаговані для просування антиукраїнської пропаганди. Відео (створені невідомим суб’єктом впливу, пов’язаним із Росією) очевидно використовують популярний веб-сайт Cameo, на якому знаменитості та інші публічні люди можуть записувати й надсилати особисті відеоповідомлення користувачам, що платять за це. Короткі відеоповідомлення, у яких часто фігурують знаменитості, що просять "Володимира" звернутися по допомогу в боротьбі із залежністю, було відредаговано невідомим суб’єктом і додано емодзі й посилання. Відео циркулюють у проросійських спільнотах у соцмережах і поширюються російськими державними та проурядовими ЗМІ, які хибно представляють їх як звернення до президента України Володимира Зеленського. У деяких випадках суб’єкт додавав емблеми ЗМІ та імена користувачів знаменитостей у соцмережах, щоб відео виглядали як уривки репортажів, що повідомляють про звернення знаменитостей до Зеленського, або як власні дописи знаменитостей у соцмережах. Кремлівські офіційні джерела та російська державна пропаганда довгий час просувають неправдиві твердження, що президент Володимир Зеленський бореться з наркотичною залежністю. Однак ця кампанія демонструє новий підхід проросійськими суб’єктами, які прагнуть просувати цей наратив у онлайновому інформаційному просторі.

Перше відео в кампанії, виявлене наприкінці липня, містить емодзі з українським прапором, водяні знаки TMZ (американського ЗМІ) і посилання на центр боротьби із залежністю та одну з офіційних сторінок президента Зеленського в соцмережах. Наприкінці жовтня 2023 року проросійські канали в соцмережах розповсюджували ще шість нових відео. Зокрема, 17 серпня державне російське інформаційне агентство "РІА Новини" опублікувало статтю про відео за участю американського актора Джона Макгінлі, назвавши це справжнім зверненням Макгінлі до Зеленського24 . Окрім Макгінлі в кампанії був представлений вміст за участю таких акторів, як Елайджа Вуд, Дін Норріс, Кейт Фланнері та Прісцилла Преслі, музиканта Шаво Одаджяна й боксера Майка Тайсона. Інші пов’язані з Росією ЗМІ, зокрема телеканал "Царьград", на який накладено санкції США, також поширювали вміст кампанії25.

Кадри з відео із зображенням знаменитостей, які нібито підтримують проросійську пропаганду

кадри з відео із зображенням знаменитостей, які нібито підтримують проросійську пропаганду
Дізнайтеся більше про це зображення на сторінці 12 повної версії звіту

За словами українського військового командувача, російські бійці переходять до нової стадії статичної окопної війни, що свідчить про ще затяжніший конфлікт26. Києву знадобляться постійні постачання зброї та громадська підтримка, щоб продовжувати опір. З великою ймовірністю ми побачимо посилення зусиль російських кіберзловмисників і джерел впливу, щоб деморалізувати українське населення та зменшити підтримку Києва зовнішніми джерелами військової і фінансової допомоги.

З наближенням зими ми можемо знову спостерігати військові удари по енергетичній і водній інфраструктурі України, а також руйнівні кібератаки на їхні мережі27. У вересні український орган із кібербезпеки CERT-UA оголосив, що українські енергетичні мережі перебували під постійною загрозою, а команда Аналізу загроз Microsoft виявляла сліди загроз ГРУ в мережах українського енергетичного сектора із серпня до жовтня28. Корпорація Майкрософт зафіксувала щонайменше одне руйнівне використання службової програми Sdelete проти мережі української енергетичної компанії в серпні29.

За межами України президентські вибори в США й інші важливі політичні події у 2024 році можуть надати джерелам згубного впливу можливість використовувати вміння у сфері відео та ШІ, щоб перешкодити політичному майбутньому вибраних чиновників, які підтримують Україну30.

Корпорація Майкрософт працює на кількох фронтах, щоб захистити своїх клієнтів в Україні й усьому світі від цих багатогранних загроз. У межах нашої ініціативи "Безпечне майбутнє" ми об’єднуємо досягнення в галузі кіберзахисту на основі штучного інтелекту та розробки безпечного ПЗ із зусиллями щодо зміцнення міжнародних стандартів для захисту цивільних осіб від кіберзагроз. 31Ми також розгортаємо ресурси з базовим набором принципів для захисту виборців, кандидатів, кампаній і виборчих органів в усьому світі, коли понад 2 мільярди людей готуються до участі в демократичному процесі наступного року32.

  1. [2]

    Технічну інформацію про останні методи руйнівних атак в Україні можна переглянути за цим посиланням: https://go.microsoft.com/fwlink/?linkid=2262377

  2. [8]

    Відповідно до сповіщень, надісланих у період від 15 березня 2023 року до 23 жовтня 2023 року. 

  3. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  4. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  5. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  6. [29]

    Технічні відомості: https://go.microsoft.com/fwlink/?linkid=2262377

Пов’язані статті

Кіберзагрози зі Східної Азії стають масштабнішими й ефективнішими

Дослідіть нові тенденції загроз у Східній Азії, де Китай проводить широкі кібератаки та операції впливу, а дії кіберзловмисників із Північної Кореї демонструють підвищення складності атак.

Іран вдається до операцій впливу в кіберсередовищі для досягнення геополітичних цілей

Фахівці команди Аналізу загроз Microsoft виявили збільшений рівень операцій впливу в кіберсередовищі з Ірану. Отримуйте аналітику про методи й можливі напрямки нових загроз.

Хакерські атаки й операції з кібервпливу на цифровому полі битви в Україні

Війна триває вже другий рік, і команда Аналізу загроз Microsoft вивчає кібероперації та операції впливу в Україні за рік, визначає нові тенденції, а також потенційний напрям розвитку кіберзагроз.

Підпишіться на новини про Захисний комплекс Microsoft