Trace Id is missing

Các tác nhân đe dọa của Nga chờ đợi, chuẩn bị tận dụng tình trạng mệt mỏi vì chiến tranh

 Hoạt động gây ảnh hưởng trên mạng
Giới thiệu
Những người phụ trách hoạt động gây ảnh hưởng và hoạt động mạng của Nga đã chứng tỏ khả năng thích ứng trong suốt cuộc chiến ở Ukraine, thử nghiệm những cách thức mới để giành được lợi thế trên chiến trường và làm cạn kiệt các nguồn hỗ trợ trong và ngoài nước của Kyiv. Báo cáo này sẽ trình bày chi tiết về mối đe dọa trên mạng và hoạt động gây ảnh hưởng xấu mà Microsoft quan sát được từ tháng 3 đến tháng 10/2023. Trong thời gian này, quân đội và người dân Ukraine một lần nữa bị đe dọa, trong khi các thực thể trên toàn thế giới có nguy cơ bị xâm nhập và thao túng ngày càng gia tăng khi họ hỗ trợ Ukraine và tìm cách bắt các lực lượng Nga phải chịu trách nhiệm về tội ác chiến tranh.

Các giai đoạn trong cuộc chiến của Nga ở Ukraine từ tháng 1 năm 2022 đến tháng 6 năm 2023

Biểu đồ thể hiện các giai đoạn trong cuộc chiến của Nga ở Ukraine
Tìm hiểu thêm về hình ảnh này trên trang 3 trong báo cáo đầy đủ

Các hành động đe dọa mà Microsoft quan sát được trong khoảng thời gian từ tháng 3 đến tháng 10 này là các hoạt động kết hợp nhằm làm mất tinh thần của người dân Ukraine và tập trung ngày càng nhiều vào hoạt động gián điệp mạng. Các tác nhân về quân sự, mạng và tuyên truyền của Nga đã chỉ đạo các cuộc tấn công phối hợp nhằm vào ngành nông nghiệp Ukraine—một mục tiêu hạ tầng dân sự—trong bối cảnh cuộc khủng hoảng ngũ cốc toàn cầu. Các tác nhân đe dọa trên mạng liên kết với tình báo quân sự Nga (GRU) đã tiến hành các hoạt động gián điệp mạng nhằm vào quân đội Ukraine và các tuyến cung cấp nước ngoài của nước này. Khi cộng đồng quốc tế tìm cách trừng phạt tội ác chiến tranh, các nhóm liên quan Cơ quan Tình báo Nước ngoài (SVR) và Cơ quan An ninh Liên bang (FSB) của Nga đã nhằm vào các điều tra viên tội phạm chiến tranh trong và ngoài Ukraine.

Trên mặt trận gây ảnh hưởng, cuộc nổi dậy ngắn ngủi vào tháng 6/2023 và cái chết sau đó của Yevgeny Prigozhin (chủ sở hữu của Tập đoàn Wagner và tổ chức can thiệp khét tiếng là Cơ quan Nghiên cứu Internet) đã đặt ra câu hỏi về tương lai khả năng gây ảnh hưởng của Nga. Trong suốt mùa hè này, Microsoft đã quan sát thấy các hoạt động rộng khắp của các tổ chức không có liên hệ với Prigozhin, cho thấy tương lai của các chiến dịch gây ảnh hưởng xấu của Nga mà không có ông này.

Microsoft Threat Intelligence và các nhóm Ứng phó Sự cố đã thông báo và làm việc với các khách hàng bị ảnh hưởng cũng như đối tác chính phủ để giảm thiểu hoạt động đe dọa được mô tả trong báo cáo này.

Các lực lượng Nga đang dựa nhiều hơn vào vũ khí thông thường để gây thiệt hại ở Ukraine, nhưng các hoạt động trên mạng và hoạt động gây ảnh hưởng vẫn là mối đe dọa khẩn cấp đối với an ninh mạng máy tính và đời sống dân sự của các đồng minh của Ukraine trong khu vực, NATO và trên toàn cầu. Ngoài việc cập nhật các sản phẩm bảo mật của chúng tôi để chủ động bảo vệ khách hàng trên toàn thế giới, chúng tôi còn chia sẻ thông tin này để khuyến khích cảnh giác liên tục trước các mối đe dọa đối với tính toàn vẹn của không gian thông tin toàn cầu.

Các lực lượng tuyên truyền, lực lượng mạng và lực lượng quân sự của Nga đã kết hợp để chống lại ngành nông nghiệp của Ukraine vào mùa hè này. Các cuộc tấn công quân sự đã phá hủy lượng ngũ cốc có thể đủ nuôi sống hơn 1 triệu người trong một năm, trong khi các phương tiện truyền thông thân Nga đẩy mạnh các câu chuyện để biện minh cho các vụ tấn công này bất chấp cái giá về mặt nhân đạo.1

Từ tháng 6 đến tháng 9, Microsoft Threat Intelligence đã quan sát thấy hoạt động xâm nhập mạng, đánh cắp dữ liệu và thậm chí cả phần mềm độc hại có tính phá hoại được triển khai nhằm vào các tổ chức có liên quan đến ngành nông nghiệp Ukraine và hạ tầng vận chuyển liên quan ngũ cốc. Vào tháng 6 và tháng 7, Aqua Blizzard (trước đây là ACTINIUM) đã đánh cắp dữ liệu từ một công ty hỗ trợ theo dõi năng suất cây trồng. Seashell Blizzard (trước đây là IRIDIUM) đã sử dụng các biến thể của phần mềm độc hại gây phá hoại mà Microsoft phát hiện là WalnutWipe/SharpWipe để chống lại các mạng lưới ngành thực phẩm/nông nghiệp.2

Phân tích các hoạt động tuyên truyền kỹ thuật số của Nga nhằm chống ngành nông nghiệp Ukraine

Cho thấy các hoạt động tuyên truyền kỹ thuật số của Nga nhằm chống ngành nông nghiệp Ukraine
Tìm hiểu thêm về hình ảnh này trên trang 4 trong báo cáo đầy đủ

Vào tháng 7, Moscow đã rút khỏi Sáng kiến Ngũ cốc Biển Đen. Sáng kiến này là một nỗ lực nhân đạo giúp ngăn chặn cuộc khủng hoảng lương thực toàn cầu và cho phép vận chuyển hơn 725.000 tấn lúa mì tới người dân ở Afghanistan, Ethiopia, Kenya, Somalia và Yemen trong năm đầu tiên.3 Sau hành động của Moscow, các phương tiện truyền thông và các kênh Telegram thân Nga đã bôi xấu sáng kiến ngũ cốc này và biện minh cho quyết định của Moscow. Các cơ quan tuyên truyền coi hành lang ngũ cốc là bình phong cho hoạt động buôn bán ma túy hoặc coi đây là phương tiện để bí mật vận chuyển vũ khí nhằm hạ thấp tầm quan trọng nhân đạo của thỏa thuận ngũ cốc.

Trong một số báo cáo năm 2023, chúng tôi đã nêu rõ cách mà các nhóm tin tặc hợp pháp hoặc giả mạo nghi có mối liên hệ với GRU đã hoạt động nhằm khuếch đại sự bất mãn của Moscow với các đối thủ và phóng đại số lượng các lực lượng mạng thân Nga.4 5 6 Mùa hè này, chúng tôi cũng đã quan sát thấy các tin tặc trên Telegram đã truyền bá các thông điệp cố gắng biện minh cho các cuộc tấn công quân sự vào hạ tầng dân sự ở Ukraine và tập trung vào các cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhằm vào các đồng minh của Ukraine ở nước ngoài. Microsoft tiếp tục giám sát mối liên hệ giữa các nhóm tin tặc và các tác nhân được nhà nước hậu thuẫn để cung cấp thêm thông tin chi tiết về nhịp độ hoạt động của cả hai thực thể và cách thức mà hoạt động của hai thực thể bổ sung cho mục tiêu của nhau.

Đến nay, chúng tôi đã xác định được ba nhóm—Solntsepek, InfoCentr và Đội quân mạng của Nga—có liên hệ với Seashell Blizzard. Mối quan hệ của Seashell Blizzard với các tổ chức tin tặc có thể là mối quan hệ sử dụng ngắn hạn hơn là mối quan hệ kiểm soát, xét thấy năng lực mạng của các tin tặc tạm thời tăng đột biến trùng với các cuộc tấn công của Seashell Blizzard. Theo định kỳ, Seashell Blizzard phát động một cuộc tấn công hủy diệt mà các nhóm tin tặc hoạt động trên Telegram đã công khai tuyên bố là mình thực hiện. Sau đó, những tin tặc này quay lại thực hiện các hành động ít phức tạp mà họ thường thực hiện bao gồm các cuộc tấn công DDoS hoặc rò rỉ thông tin cá nhân của người Ukraine. Mạng lưới này đại diện cho hạ tầng linh hoạt mà APT có thể sử dụng để thúc đẩy hoạt động của họ.

Các nhóm tin tặc thân Nga

Biểu đồ các nhóm tin tặc thân Nga
Tìm hiểu thêm về hình ảnh này trên trang 5 trong báo cáo đầy đủ

Các lực lượng Nga không chỉ tham gia vào các hành động có thể vi phạm luật pháp quốc tế mà còn nhắm vào các nhà điều tra hình sự và công tố viên đang củng cố các vụ án chống Nga.

Dữ liệu đo từ xa của Microsoft tiết lộ rằng các tác nhân có liên quan đến quân đội Nga và các cơ quan tình báo nước ngoài đã tấn công, xâm phạm mạng lưới điều tra và pháp lý của Ukraine cũng như của các tổ chức quốc tế liên quan đến điều tra tội ác chiến tranh trong suốt mùa xuân và mùa hè năm nay.

Các hoạt động trên mạng này diễn ra trong bối cảnh căng thẳng gia tăng giữa Moscow và các tổ chức như Tòa án Hình sự Quốc tế (ICC) – tổ chức đã ban hành lệnh bắt giữ Tổng thống Nga Putin với cáo buộc tội ác chiến tranh vào tháng 3.7

Vào tháng 4, Seashell Blizzard có liên kết với GRU đã xâm phạm mạng lưới của một công ty luật chuyên về các vụ án tội ác chiến tranh. Aqua Blizzard, được cho là thuộc FSB, đã xâm nhập mạng nội bộ của một cơ quan điều tra lớn ở Ukraine vào tháng 7, sau đó sử dụng các tài khoản bị xâm nhập ở đó để gửi email lừa đảo đến một số công ty viễn thông Ukraine vào tháng 9.

Các tác nhân SVR Midnight Blizzard (trước đây là NOBELIUM) đã xâm phạm và truy cập các tài liệu của một tổ chức pháp lý có trách nhiệm toàn cầu vào tháng 6 và tháng 7 trước khi nhóm Ứng phó Sự cố Microsoft can thiệp để khắc phục hành vi xâm nhập. Hoạt động này là một phần trong nỗ lực mạnh mẽ hơn của tác nhân này nhằm xâm nhập các tổ chức ngoại giao, quốc phòng, chính sách công và lĩnh vực công nghệ thông tin trên toàn thế giới.

Một bản đánh giá các thông báo bảo mật của Microsoft dành cho các khách hàng bị ảnh hưởng kể từ tháng 3 cho thấy Midnight Blizzard đã tìm cách truy nhập vào hơn 240 tổ chức, chủ yếu ở Mỹ, Canada và các quốc gia châu Âu khác, với mức độ thành công khác nhau.8

Gần 40%  các tổ chức bị nhằm vào là các tổ chức tư vấn chính phủ, liên chính phủ hoặc tập trung vào chính sách.

Các tác nhân đe dọa của Nga đã sử dụng nhiều kỹ thuật khác nhau để có được quyền truy nhập ban đầu và thiết lập tồn tại lâu dài trên các mạng mục tiêu. Midnight Blizzard đã áp dụng phương pháp công bố lượng lớn thông tin bất lợi, sử dụng phương thức thử mật khẩu, thông tin đăng nhập có được từ bên thứ ba, các chiến dịch lừa đảo phi kỹ thuật đáng tin cậy thông qua Teams và lạm dụng dịch vụ đám mây để xâm nhập vào môi trường đám mây.9 Aqua Blizzard đã tích hợp thành công HTML vào các chiến dịch lừa đảo truy nhập ban đầu để giảm thiểu khả năng bị phát hiện bởi chữ ký chống vi-rút và kiểm soát bảo mật email.

Seashell Blizzard đã khai thác các hệ thống máy chủ vành đai như máy chủ Exchange và Tomcat, đồng thời lợi dụng phần mềm Microsoft Office lậu chứa cửa hậu DarkCrystalRAT để có được quyền truy nhập ban đầu. Cửa hậu cho phép tác nhân đó tải tải trọng giai đoạn thứ hai mà chúng tôi gọi là Shadowlink, một gói phần mềm giả mạo Microsoft Defender để cài đặt dịch vụ TOR trên thiết bị và cấp cho tác nhân đe dọa quyền truy nhập lén lút qua mạng TOR.10

Sơ đồ minh họa cách Shadowlink cài đặt dịch vụ TOR trên thiết bị phần mềm
Tìm hiểu thêm về hình ảnh này trên trang 6 trong báo cáo đầy đủ 

Kể từ khi các lực lượng Nga phát động cuộc tấn công vào mùa xuân năm 2023, các tác nhân mạng liên quan GRU và FSB đã tập trung nỗ lực thu thập thông tin tình báo từ hạ tầng quân sự và liên lạc của Ukraine trong các khu vực chiến đấu.

Tính đến tháng 3, Microsoft Threat Intelligence đã nhận thấy Seashell Blizzard liên quan các gói và mồi nhử lừa đảo tiềm năng có vẻ như được thiết kế riêng để nhằm vào một khu vực chính của cơ sở hạ tầng liên lạc quân sự Ukraine. Chúng tôi không dự báo được về hành động tiếp theo. Theo Cơ quan An ninh Ukraine (SBU), Seashell Blizzard còn nỗ lực truy nhập mạng quân sự Ukraine bằng cách dùng phần mềm độc hại để giúp họ thu thập thông tin về cấu hình của các trạm vệ tinh Starlink được kết nối và thu thập vị trí của các đơn vị quân đội Ukraine.11 12 13

Secret Blizzard (trước đây là KRYPTON) cũng chuyển sang tìm cách thu thập thông tin tình báo trong các mạng liên quan đến quốc phòng của Ukraine. Hợp tác với Nhóm ứng phó khẩn cấp máy tính của chính phủ Ukraine (CERT-UA), Microsoft Threat Intelligence đã xác định được phần mềm độc hại cửa hậu DeliveryCheck và Kazuar của Secret Blizzard trên hệ thống của lực lượng phòng thủ Ukraine.14 Kazuar cho phép thực hiện hơn 40 các chức năng bao gồm đánh cắp thông tin xác thực từ nhiều ứng dụng, dữ liệu xác thực, proxy và cookie cũng như truy xuất dữ liệu từ nhật ký hệ điều hành.15 Secret Blizzard đặc biệt quan tâm đến việc đánh cắp các tệp có tin nhắn từ ứng dụng nhắn tin Signal Desktop, giúp họ đọc các cuộc trò chuyện riêng tư trên Signal.16

Forest Blizzard (trước đây là STRONTIUM) đã tiếp tục tập trung vào các mục tiêu gián điệp thông thường, các tổ chức liên quan đến quốc phòng ở Mỹ, Canada và châu Âu - những nước hỗ trợ và huấn luyện quân sự để giúp lực lượng Ukraine có trang thiết bị tiếp tục chiến đấu.

Kể từ tháng 3, Forest Blizzard đã cố gắng giành quyền truy cập ban đầu vào các tổ chức quốc phòng thông qua các tin nhắn lừa đảo kết hợp các kỹ thuật mới và kỹ thuật lẩn tránh. Ví dụ: vào tháng 8, Forest Blizzard đã gửi một email lừa đảo để khai thác lỗ hổng CVE-2023-38831 tới các chủ tài khoản tại một tổ chức quốc phòng châu Âu. CVE-2023-38831 là một lỗ hổng bảo mật trong phần mềm WinRAR, cho phép kẻ tấn công thực thi mã tùy ý khi người dùng cố gắng xem một tệp vô hại trong kho lưu trữ ZIP.

Tác nhân này cũng đang tận dụng các công cụ dành cho nhà phát triển hợp pháp như Mockbin và Mocky để ra lệnh và kiểm soát. Vào cuối tháng 9, tác nhân này đã thực hiện một chiến dịch lừa đảo lạm dụng các dịch vụ GitHub và Mockbin. CERT-UA và các công ty an ninh mạng khác đã thông báo về hoạt động này vào tháng 9, lưu ý rằng tác nhân đó đã sử dụng các trang giải trí dành cho người lớn để lôi kéo nạn nhân bấm vào liên kết hoặc mở tệp mà sau đó sẽ chuyển hướng họ đến hạ tầng Mockbin độc hại.17 18Microsoft nhận thấy xu hướng chuyển sang sử dụng trang có chủ đề công nghệ vào cuối tháng 9. Trong mỗi trường hợp, các tác nhân đã gửi một email lừa đảo chứa một liên kết độc hại để chuyển hướng nạn nhân đến URL Mockbin và tải xuống tệp zip đi kèm với tệp LNK (lối tắt) độc hại giả dạng bản cập nhật Windows. Sau đó, tệp LNK sẽ tải xuống và thực thi một tập lệnh PowerShell khác để thiết lập hiện diện và thực hiện các hành động tiếp theo như đánh cắp dữ liệu.

Ví dụ về ảnh chụp màn hình một mồi nhử dạng PDF mà Forest Blizzard dùng để giả mạo các tổ chức quốc phòng.

Tác nhân đe dọa giả mạo nhân viên Nghị viện châu Âu
Phần đính kèm email: 'Chương trình nghị sự từ ngày 28/8 đến ngày 3/9/2023' trong các cuộc họp của Nghị viện Châu Âu. Liên lạc Dịch vụ báo chí. 160 KB bulletin.rar
Hình 5: Ví dụ về ảnh chụp màn hình một mồi nhử dạng PDF mà Forest Blizzard dùng để giả mạo các tổ chức quốc phòng.  Tìm hiểu thêm về hình ảnh này trên trang 8 trong báo cáo đầy đủ

Trong suốt năm 2023, MTAC tiếp tục quan sát Storm-1099, một tác nhân gây ảnh hưởng có liên kết với Nga và chịu trách nhiệm thực hiện một hoạt động gây ảnh hưởng phức tạp nhắm vào những người ủng hộ của Ukraine trên thế giới kể từ mùa xuân năm 2022.

Có lẽ được biết đến nhiều nhất với hoạt động giả mạo trang web quy mô lớn mà nhóm nghiên cứu EU DisinfoLab gọi là “Doppelganger”,19 Storm-1099 cũng có các hoạt động gồm các cơ quan chuyên đề như Reliable Recent News (RRN), các dự án đa phương tiện như loạt phim hoạt hình chống Ukraine có tên “Ukraine Inc.” và các buổi trình diễn tại thực địa kết nối thế giới kỹ thuật số và thế giới ngoài đời. Mặc dù phần liệt kê trên chưa đầy đủ, nhưng các nhà công nghệ chính trị, nhà tuyên truyền và chuyên gia PR người Nga vốn có nhiều nguồn tài trợ và có mối quan hệ rõ ràng với nhà nước Nga đã tiến hành và hỗ trợ một số chiến dịch của Storm-1099.20

Hoạt động Doppelganger của Storm-1099 vẫn đang diễn ra mạnh mẽ tính đến thời điểm thực hiện báo cáo này, bất chấp các công ty công nghệ và tổ chức nghiên cứu liên tục nỗ lực báo cáo và giảm thiểu phạm vi tiếp cận của nhóm này.21 Mặc dù tác nhân này trước đây thường nhắm vào Tây Âu – chủ yếu là Đức, nhưng cũng đã nhắm vào Pháp, Ý và Ukraine. Trong những tháng gần đây, Storm-1099 đã chuyển địa điểm trọng tâm sang Mỹ và Israel. Thay đổi này bắt đầu từ tháng 1/2023, trong bối cảnh diễn ra các cuộc biểu tình quy mô lớn ở Israel phản đối đề xuất cải tổ tư pháp và ngày càng gia tăng sau khi cuộc chiến Israel-Hamas bắt đầu vào đầu tháng 10. Các tờ báo chuyên đề mới được thành lập cho thấy xu hướng ngày càng ưu tiên chính trị Mỹ và cuộc bầu cử tổng thống Mỹ năm 2024 sắp tới, trong khi các tài sản hiện có của Storm-1099 đã thúc đẩy mạnh mẽ tuyên bố sai lầm rằng Hamas đã mua vũ khí Ukraine trên thị trường chợ đen để thực hiện các cuộc tấn công vào Israel ngày 7/10.

Gần đây nhất, vào cuối tháng 10, MTAC đã quan sát thấy các tài khoản mà Microsoft đánh giá là tài sản của Storm-1099 đang đẩy mạnh một hình thức giả mạo mới bên cạnh các bài báo và trang web giả mạo trên mạng xã hội. Đây là một loạt clip tin tức ngắn giả mạo, có vẻ bề ngoài là do các cơ quan truyền thông có uy tín sản xuất, nhằm tuyên truyền ủng hộ Nga và làm suy yếu sự ủng hộ dành cho cả Ukraine và Israel. Mặc dù chiến thuật sử dụng video giả mạo để thúc đẩy các tuyến tuyên truyền là một chiến thuật được các tác nhân thân Nga sử dụng rộng rãi hơn trong những tháng gần đây, nhưng việc Storm-1099 quảng bá nội dung video như vậy cho thấy các kỹ thuật gây ảnh hưởng và mục tiêu truyền thông điệp đa dạng của nhóm này.

Các bài viết đăng trên các trang Doppelganger giả mạo

Microsoft đã quan sát và theo dõi chiến dịch được thực hiện bởi Storm 1099 – một tác nhân đe dọa và gây ảnh hưởng trên mạng của Nga.
Do Microsoft quan sát và theo dõi vào ngày 31/10/2023. Các bài viết đăng trên các trang Doppelganger giả mạo; chiến dịch được thực hiện bởi Storm 1099 – một tác nhân đe dọa và gây ảnh hưởng trên mạng của Nga.
Tìm hiểu thêm về hình ảnh này trên trang 9 trong báo cáo đầy đủ

Kể từ khi Hamas tấn công Israel vào ngày 7/10, các phương tiện truyền thông và những tác nhân gây ảnh hưởng liên quan nhà nước Nga đã tìm cách khai thác cuộc chiến tranh Israel-Hamas để thúc đẩy các câu chuyện chống Ukraine, tâm lý chống Mỹ và làm trầm trọng thêm căng thẳng giữa tất cả các bên. Mặc dù mang tính chất phản ứng với cuộc chiến trên và thường bị giới hạn về phạm vi, nhưng hoạt động này liên quan cả các phương tiện truyền thông công khai được nhà nước bảo trợ và các mạng xã hội bí mật liên kết với Nga trải rộng trên nhiều nền tảng mạng xã hội.

 

Những câu chuyện được các nhà tuyên truyền Nga và các mạng xã hội thân Nga thúc đẩy nhằm mục đích khiến Israel chống Ukraine và khiến phương Tây giảm ủng hộ Kyiv bằng cách tuyên bố sai sự thật trong các video bị chỉnh sửa và trong các sản phẩm giả mạo các cơ quan truyền thông có uy tín, rằng Ukraine đã vũ trang cho các chiến binh Hamas. Có một video không xác thực tuyên bố rằng các tân binh nước ngoài, bao gồm cả người Mỹ, đã được chuyển từ Ukraine để tham gia các hoạt động của Lực lượng Phòng vệ Israel (IDF) trên Dải Gaza, thu hút hàng trăm nghìn lượt xem trên các nền tảng mạng xã hội. Đây chỉ là một ví dụ về nội dung đó. Chiến lược này vừa tuyên truyền các câu chuyện chống Ukraine đến với nhiều đối tượng, vừa tăng tương tác bằng cách đưa ra các câu chuyện sai sự thật để ăn theo các tin tức lớn đang diễn ra.

 

Nga cũng tăng cường hoạt động gây ảnh hưởng kỹ thuật số bằng việc tuyên truyền các sự kiện trong thế giới thực. Các cơ quan truyền thông của Nga đã tích cực tuyên truyền nội dung gây kích động nhằm thổi bùng các cuộc biểu tình liên quan đến cuộc chiến Israel-Hamas ở Trung Đông và châu Âu — bao gồm cả thông qua các phóng viên thực địa của các cơ quan thông tấn nhà nước Nga. Vào cuối tháng 10/2023, chính quyền Pháp cáo buộc rằng bốn công dân Moldova có khả năng có liên quan đến bức vẽ graffiti Ngôi sao David trong không gian công cộng ở Paris. Hai trong số những người Moldova này được cho là đã tuyên bố rằng họ được một cá nhân nói tiếng Nga chỉ đạo, cho thấy có thể Nga phải chịu trách nhiệm về bức vẽ graffiti. Hình ảnh graffiti sau đó được các tài sản liên quan Storm-1099 khuếch đại thêm.22

 

Nga có thể đánh giá rằng cuộc xung đột Israel-Hamas đang diễn ra có lợi cho họ về mặt địa chính trị, vì họ tin rằng cuộc xung đột này khiến phương Tây mất tập trung vào cuộc chiến ở Ukraine. Theo dõi các chiến thuật thường được Nga sử dụng để gây ảnh hưởng, MTAC đánh giá những tác nhân như vậy sẽ tiếp tục đẩy mạnh tuyên truyền trực tuyến, tận dụng các sự kiện quốc tế lớn khác để kích động căng thẳng và cố gắng cản trở phương Tây đối phó với cuộc xâm lược Ukraine của Nga.

Tuyên truyền chống Ukraine đã là một hoạt động gây ảnh hưởng rộng rãi mà Nga thực hiện kể từ trước cuộc xâm lược toàn diện vào năm 2022. Tuy nhiên, trong những tháng gần đây, các mạng lưới ảnh hưởng thân Nga và liên kết với Nga đã tập trung sử dụng video để làm phương tiện năng động hơn nhằm truyền bá những thông điệp này cùng với việc giả mạo các phương tiện truyền thông có thẩm quyền để nâng cao uy tín của họ. MTAC đã quan sát thấy hai chiến dịch đang diễn ra do những tác nhân thân Nga không rõ danh tính thực hiện, liên quan đến việc giả mạo các thương hiệu truyền thông giải trí và tin tức chính thống để thúc đẩy nội dung video đã bị chỉnh sửa. Giống như các chiến dịch tuyên truyền trước đây của Nga, hoạt động này tập trung vào việc miêu tả Tổng thống Ukraine Volodymyr Zelensky là một người nghiện ma túy tham nhũng và nói rằng sự ủng hộ của phương Tây dành cho Kyiv gây hại cho chính người dân của các quốc gia đó. Nội dung trong cả hai chiến dịch luôn tìm cách giảm sự ủng hộ dành cho Ukraine, nhưng điều chỉnh các câu chuyện cho phù hợp với các sự kiện tin tức mới nổi—như vụ nổ tàu lặn Titan vào tháng 6/2023 hay cuộc chiến Israel-Hamas để tiếp cận nhiều đối tượng hơn.

Sơ đồ cho thấy tổng quan các clip tin tức giả mạo

cho thấy tổng quan các clip tin tức giả mạo
Tìm hiểu thêm về hình ảnh này trên trang 11 trong báo cáo đầy đủ

Một trong những chiến dịch lấy video làm trung tâm này bao gồm một loạt video bịa đặt nhằm truyền bá các chủ đề sai sự thật, chủ đề chống Ukraine, chủ đề có lợi cho Điện Kremlin và các câu chuyện dưới vỏ bọc các bản tin ngắn từ các phương tiện truyền thông chính thống. MTAC lần đầu tiên quan sát thấy hoạt động này vào tháng 4/2022 khi các kênh Telegram thân Nga đăng một video BBC News giả mạo, trong đó cho rằng quân đội Ukraine chịu trách nhiệm về một cuộc tấn công tên lửa khiến hàng chục dân thường thiệt mạng. Video sử dụng logo, màu sắc và đặc điểm của BBC, kèm chú thích bằng tiếng Anh có các lỗi thường mắc phải khi dịch từ ngôn ngữ Slav sang tiếng Anh.

Chiến dịch này tiếp tục trong suốt năm 2022 và tăng tốc vào mùa hè năm 2023. Tại thời điểm biên soạn báo cáo này, MTAC đã thấy hơn chục video truyền thông giả mạo trong chiến dịch trên, trong đó các kênh truyền thông bị giả mạo thường xuyên nhất là BBC News, Al Jazeera và EuroNews. Đầu tiên, các kênh Telegram tiếng Nga sẽ quảng bá các video rồi phát tán sang các nền tảng mạng xã hội chính thống

Ảnh chụp màn hình các video bắt chước logo và đặc điểm của BBC News (trái) và EuroNews (phải)

Các clip tin tức bịa đặt có chứa thông tin sai lệch liên quan đến Nga
Microsoft Threat Intelligence: Tin tức bịa đặt liên quan tới thất bại quân sự của Ukraine, cuộc tấn công của HAMAS, trách nhiệm sai trái của Israel
Các clip tin tức bịa đặt chứa thông tin sai lệch có liên quan đến Nga. Ảnh chụp màn hình các video bắt chước logo và đặc điểm của BBC News (trái) và EuroNews (phải). Tìm hiểu thêm về hình ảnh này trên trang 12 trong báo cáo đầy đủ

Mặc dù nội dung này có phạm vi tiếp cận hạn chế nhưng nó có thể gây ra mối đe dọa đáng kể cho các mục tiêu trong tương lai nếu được AI tinh chỉnh và cải thiện hoặc được một người đưa tin đáng tin cậy hơn tuyên truyền. Tác nhân thân Nga chịu trách nhiệm làm các clip tin tức giả mạo rất nhanh nhạy với các sự kiện thế giới hiện tại. Ví dụ: một video BBC News giả mạo đã tuyên bố sai sự thật rằng tổ chức báo chí điều tra Bellingcat đã phát hiện ra rằng vũ khí mà các chiến binh Hamas sử dụng đã được các quan chức quân đội Ukraine bán cho nhóm này thông qua chợ đen. Nội dung video này rất giống các tuyên bố công khai của cựu Tổng thống Nga Dmitry Medvedev chỉ một ngày trước khi video được phát hành, cho thấy mối liên quan chặt chẽ của chiến dịch với thông điệp công khai của chính phủ Nga.23

Bắt đầu từ tháng 7/2023, các kênh mạng xã hội thân Nga bắt đầu lan truyền video về những người nổi tiếng, được chỉnh sửa để lừa đảo nhằm thúc đẩy tuyên truyền chống Ukraine. Là tác phẩm của một tác nhân gây ảnh hưởng không rõ danh tính và có liên kết với Nga, các video này dường như tận dụng Cameo - một trang web phổ biến nơi những người nổi tiếng và các nhân vật của công chúng có thể ghi hình và gửi tin nhắn video riêng cho những người dùng trả phí. Các tin nhắn video ngắn, thường có cảnh những người nổi tiếng cầu xin “Vladimir” tìm kiếm sự giúp đỡ vì lạm dụng chất gây nghiện, đã được tác nhân không rõ danh tính chỉnh sửa để thêm vào các biểu tượng cảm xúc và liên kết. Các video lan truyền trên các cộng đồng mạng xã hội thân Nga và được các cơ quan truyền thông nhà nước và liên kết với nhà nước Nga quảng bá, giả mạo rằng đây là thông điệp gửi tới Tổng thống Ukraine Volodymyr Zelensky. Trong một số trường hợp, tác nhân đó đã thêm logo của các hãng truyền thông và tên người nổi tiếng trên mạng xã hội để làm cho video trông giống như những clip tin tức đưa tin về những lời kêu gọi công khai được cho là của những người nổi tiếng gửi cho ông Zelensky, hoặc đưa tin về các bài đăng trên mạng xã hội của chính những người nổi tiếng đó. Các quan chức Điện Kremlin và cơ quan tuyên truyền do nhà nước Nga bảo trợ từ lâu đã đưa ra tuyên bố sai lầm rằng Tổng thống Zelensky đang phải vật lộn với tình trạng lạm dụng chất gây nghiện; tuy nhiên, chiến dịch này đánh dấu một cách tiếp cận mới của những tác nhân thân Nga vốn đang tìm cách tô vẽ thêm cho câu chuyện trong không gian thông tin trực tuyến.

Video đầu tiên trong chiến dịch, xuất hiện vào cuối tháng 7, có biểu tượng hình cờ Ukraine, dấu bản quyền của hãng truyền thông TMZ của Mỹ và các đường liên kết dẫn tới cả trung tâm phục hồi dành cho người lạm dụng chất kích thích và một trong những trang mạng xã hội chính thức của Tổng thống Zelensky. Tính đến cuối tháng 10/2023, các kênh mạng xã hội thân Nga đã lan truyền thêm sáu video. Đáng chú ý, vào ngày 17 tháng 8, hãng thông tấn nhà nước Nga RIA Novosti đã đăng một bài viết gồm một đoạn video có nam diễn viên người Mỹ John McGinley, như thể đó là lời kêu gọi thật của chính McGinley dành cho ông Zelensky.24 Ngoài McGinley, những người nổi tiếng từng xuất hiện trong chiến dịch bao gồm các diễn viên Elijah Wood, Dean Norris, Kate Flannery và Priscilla Presley; nhạc sĩ Shavo Odadjian; và võ sĩ Mike Tyson. Các hãng truyền thông Nga khác có liên kết với nhà nước, bao gồm cả hãng truyền thông Tsargrad bị Mỹ trừng phạt, cũng đã tuyên truyền nội dung của chiến dịch.25

Hình ảnh tĩnh từ các video về những người nổi tiếng dường như đang quảng bá tuyên truyền thân Nga

hình ảnh tĩnh từ các video về những người nổi tiếng dường như đang quảng bá tuyên truyền thân Nga
Tìm hiểu thêm về hình ảnh này trên trang 12 trong báo cáo đầy đủ

Theo người đứng đầu quân đội Ukraine, các tay súng của Nga đang chuyển sang một giai đoạn mới là chiến tranh chiến hào, cho thấy cuộc xung đột thậm chí còn kéo dài hơn.26 Kyiv sẽ cần một nguồn cung cấp vũ khí ổn định và được ủng hộ rộng rãi để tiếp tục kháng cự, và chúng ta có thể thấy những người chịu trách nhiệm về hoạt động trên mạng và hoạt động gây ảnh hưởng của Nga sẽ tăng cường các nỗ lực nhằm làm mất tinh thần của người dân Ukraine, làm suy giảm các nguồn hỗ trợ tài chính cũng như quân sự bên ngoài dành cho Kyiv.

Khi mùa đông đến gần, chúng ta có thể lại chứng kiến các cuộc tấn công quân sự nhằm vào các cơ sở cung cấp điện và nước ở Ukraine, kết hợp với các cuộc tấn công xóa sổ nhằm vào các mạng lưới đó.27Cơ quan an ninh mạng CERT-UA của Ukraine đã thông bố vào tháng 9 rằng mạng lưới năng lượng của Ukraine đang bị đe dọa kéo dài và Microsoft Threat Intelligence đã quan sát được các dấu hiệu cho thấy GRU thực hiện hoạt động đe dọa các mạng lưới ngành năng lượng của Ukraine từ tháng 8 đến tháng 10.28 Microsoft đã quan sát thấy ít nhất một hành vi sử dụng công cụ Sdelete để tấn công mạng lưới của công ty điện lực Ukraine vào tháng 8.29

Bên ngoài Ukraine, cuộc bầu cử tổng thống Mỹ và các cuộc bầu cử chính trị lớn khác vào năm 2024 có thể tạo cơ hội cho những tác nhân gây hưởng xấu sử dụng phương tiện truyền thông video và kỹ năng AI để tạo làn sóng chính trị bất lợi đối với các quan chức ủng hộ Ukraine.30

Microsoft đang nỗ lực trên nhiều mặt trận để bảo vệ khách hàng của chúng tôi ở Ukraine và trên toàn thế giới khỏi những mối đe dọa nhiều mặt này. Theo Sáng kiến Bảo đảm Tương lai, chúng tôi đang tích hợp những tiến bộ trong công nghệ phần mềm bảo mật và phòng thủ không gian mạng dựa trên AI, nỗ lực tăng cường các chuẩn mực quốc tế để bảo vệ dân thường khỏi các mối đe dọa trên mạng. 31 Chúng tôi cũng đang triển khai các nguồn lực cùng với bộ nguyên tắc cốt lõi để bảo vệ cử tri, ứng cử viên, chiến dịch và cơ quan bầu cử trên toàn thế giới khi hơn 2 tỷ người chuẩn bị tham gia vào quá trình dân chủ trong năm tới.32

  1. [2]

    Để biết thông tin kỹ thuật về các phương pháp tấn công phá hoại mới nhất ở Ukraine, hãy xem https://go.microsoft.com/fwlink/?linkid=2262377

  2. [8]

    Dựa trên các thông báo được đưa ra từ ngày 15/3/2023 đến ngày 23/10/2023. 

  3. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  4. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  5. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  6. [29]

    Để biết chi tiết kỹ thuật https://go.microsoft.com/fwlink/?linkid=2262377

Bài viết liên quan

Các mối đe dọa kỹ thuật số từ Đông Á ngày càng gia tăng về quy mô và hiệu quả

Đào sâu và khám phá các xu hướng mới nổi trong bối cảnh mối đe dọa đang gia tăng ở Đông Á, nơi Trung Quốc tiến hành cả các hoạt động gây ảnh hưởng (IO) và hoạt động mạng trên diện rộng, trong khi các tác nhân đe dọa trên mạng của Triều Tiên thể hiện mức độ ngày càng tinh vi.

Iran chuyển sang các hoạt động gây ảnh hưởng được kích hoạt trên mạng để đạt hiệu quả cao hơn

Microsoft Threat Intelligence phát hiện ra các hoạt động gây ảnh hưởng được kích hoạt trên mạng ngày càng gia tăng ở bên ngoài Iran. Hiểu sâu hơn về các mối đe dọa với thông tin chi tiết về các kỹ thuật mới và nơi tiềm ẩn các mối đe dọa trong tương lai.

Các hoạt động mạng và gây ảnh hưởng trong cuộc chiến trên chiến trường kỹ thuật số của Ukraina

Microsoft Threat Intelligence xem xét các hoạt động mạng và tác động trong một năm ở Ukraine, khám phá các xu hướng mới về mối đe dọa trên mạng cũng như những điều có thể xảy ra khi chiến tranh bước sang năm thứ hai.

Theo dõi Microsoft Security