Trace Id is missing
تخطي إلى المحتوى الرئيسي
Security Insider

الجهات الفاعلة الروسية في مجال الخطر تحفر وتستعد للاستفادة من إرهاق الحرب

تنزيل
المشاركة
عمليات الهجمات عبر الإنترنت المؤثرة
المقدمة
أظهر مشغل التأثير الروسي عبر الإنترنت القدرة على التكيف طوال الحرب على أوكرانيا، حيث جربوا طرقاً جديدة لكسب ميزة في ساحة المعركة واستنفاد مصادر الدعم المحلي والخارجي لكييف. سيقدم هذا التقرير تفاصيل المخاطر عبر الإنترنت وأنشطة التأثير الخبيث التي لاحظتها Microsoft بين مارس وأكتوبر 2023. خلال هذا الوقت، كان الجيش الأوكراني والسكان المدنيون الأوكرانيون في مرمى النيران مرة أخرى، في حين تزايد خطر الاختراق والتلاعب إلى الكيانات في جميع أنحاء العالم التي تساعد أوكرانيا وتسعى إلى محاسبة القوات الروسية على جرائم الحرب.

مراحل حرب روسيا في أوكرانيا من يناير 2022 إلى يونيو 2023

رسم بياني يوضح مراحل حرب روسيا في أوكرانيا
تعرّف على المزيد عن هذه الصورة في الصفحة 3 في التقرير الكامل

تعكس إجراءات المخاطر التي لاحظتها Microsoft خلال الفترة من مارس إلى أكتوبر عمليات مشتركة لإحباط معنويات الجمهور الأوكراني وزيادة التركيز على التجسس عبر الإنترنت. ووجهت الجهات الفاعلة العسكرية والإلكترونية والدعائية الروسية هجمات منسقة ضد قطاع الزراعة الأوكراني - هدف للبنية التحتية المدنية - وسط أزمة الحبوب العالمية. اتجه ممثلو المخاطر عبر الإنترنت المرتبطة بالاستخبارات العسكرية الروسية (GRU) إلى عمليات التجسس عبر الإنترنت ضد الجيش الأوكراني وخطوط الإمداد الأجنبية الخاصة به. بينما سعى المجتمع الدولي إلى معاقبة جرائم الحرب، استهدفت المجموعات المرتبطة بالمخابرات الخارجية الروسية وأجهزة الأمن الفيدرالي (FSB) محققين في جرائم الحرب داخل أوكرانيا وخارجها.

على جبهة النفوذ، أثار التمرد القصير في يونيو 2023 ووفاة يفغيني بريجوزين، مالك مجموعة Wagner ومزرعة المتصيدين التابعة لوكالة أبحاث الإنترنت سيئة السمعة، تساؤلات حول مستقبل قدرات النفوذ الروسية. طوال هذا الصيف، لاحظت Microsoft عمليات واسعة النطاق من قبل المنظمات التي لم تكن مرتبطة Prigozhin ما يوضح مستقبل حملات التأثير الخبيثة في روسيا بدونه.

أخطرت فرق التحليل الذكي للمخاطر من Microsoft والاستجابة للحوادث العملاء والشركاء الحكوميين المتأثرين والعمل معهم للتخفيف من نشاط التهديد الموضح في هذا التقرير.

تعتمد القوات الروسية بشكل أكبر على الأسلحة التقليدية لإلحاق الضرر بأوكرانيا، لكن العمليات عبر الإنترنت وعمليات التأثير تظل تشكل تهديداً ملحاً لأمن شبكات الكمبيوتر والحياة المدنية داخل حلفاء أوكرانيا في المنطقة، وحلف شمال الأطلسي، والعالم. بالإضافة إلى تحديث منتجاتنا الأمنية للدفاع بشكل استباقي عن عملائنا في جميع أنحاء العالم، فإننا نشارك هذه المعلومات لتشجيع اليقظة المستمرة ضد التهديدات التي تهدد سلامة مساحة المعلومات العالمية.

التقت القوى الحركية والإلكترونية والدعائية الروسية ضد قطاع الزراعة في أوكرانيا هذا الصيف. دمرت الضربات العسكرية كميات من الحبوب كانت كافية لإطعام أكثر من مليون شخص لمدة عام، في حين دفعت وسائل الإعلام الموالية لروسيا بالروايات لتبرير الاستهداف على الرغم من التكاليف الإنسانية.1

في الفترة من يونيو إلى سبتمبر، لاحظ التحليل الذكي للمخاطر من Microsoft اختراق الشبكة، وتسرب البيانات، وحتى البرامج الضارة المدمرة المنتشرة ضد المنظمات المرتبطة بالصناعة الزراعية الأوكرانية والبنية التحتية للشحن المتعلقة بالحبوب. في شهري يونيو ويوليو، سرقت Aqua Blizzard (المعروفة سابقاً باسم ACTINIUM) بيانات من شركة تساعد في تتبع إنتاجية المحاصيل. استخدمت Seashell Blizzard (المعروفة سابقاً باسم IRIDIUM) أنواعاً مختلفة من البرمجيات الخبيثة التدميرية البدائية التي اكتشفتها Microsoft باسم WalnutWipe/SharpWipe ضد شبكات قطاع الأغذية والزراعة.2

انهيار أنشطة الدعاية الرقمية الروسية الموجهة ضد الزراعة الأوكرانية

عرض أنشطة الدعاية الرقمية الروسية الموجهة ضد الزراعة الأوكرانية
تعرّف على المزيد عن هذه الصورة في الصفحة 4 من التقرير الكامل

في يوليو، انسحبت موسكو من مبادرة حبوب البحر الأسود، وهي مبادرة إنسانية ساعدت في تجنب أزمة الغذاء العالمية وسمحت بنقل أكثر من 725 ألف طن من القمح إلى الناس في أفغانستان وإثيوبيا وكينيا والصومال واليمن في عامها الأول.3 بعد تصرف موسكو، قفزت وسائل الإعلام الموالية لروسيا وقنوات Telegram للإساءة إلى مبادرة الحبوب وتقديم مبرر لقرار موسكو. وصورت وسائل الدعاية ممر الحبوب كواجهة لتهريب المخدرات أو صورته كوسيلة لنقل الأسلحة سراً، للتقليل من الأهمية الإنسانية للصفقة.

في العديد من تقارير عام 2023، سلطنا الضوء على كيفية عمل مجموعات القرصنة الإلكترونية الشرعية أو الزائفة التي لها صلات مشتبه بها مع المخابرات العسكرية الروسية، على تضخيم استياء موسكو من الخصوم والمبالغة في عدد القوات عبر الإنترنت الموالية لروسيا.4 5 6 نشرت Telegram رسائل تحاول تبرير الهجمات العسكرية على البنية التحتية المدنية في أوكرانيا وركزت على هجمات الحرمان من الخدمة الموزعة (DDoS) ضد حلفاء أوكرانيا في الخارج. توفر مراقبة Microsoft المستمرة لتقاطع مجموعات القرصنة مع ممثلين في الدولة القومية نتائج تحليلات إضافية حول الوتيرة التشغيلية لكلا الكيانين والطرق التي تكمل بها أنشطتهما أهداف بعضهما البعض.

حتى الآن، حددنا ثلاث مجموعات - Solntsepek، وInfoCentr، وCyber ​​Army of Russian - التي تتفاعل مع Seashell Blizzard. قد تكون علاقة Seashell Blizzard مع منافذ الاختراق الإلكتروني استخداماً على المدى القصير، بدلاً من السيطرة عليها، استناداً إلى الارتفاعات المؤقتة للناشطين من المخترقين في القدرة عبر الإنترنت التي تزامنت مع هجمات Seashell Blizzard. بشكل دوري، تشن Seashell Blizzard هجوماً مدمراً تدعي مجموعات القرصنة على Telegram مسؤوليتها عنه علناً. يعود المتسللون بعد ذلك إلى الإجراءات منخفضة التعقيد التي يجرونها عادةً، بما في ذلك هجمات DDoS أو تسريب المعلومات الشخصية الأوكرانية. تمثل الشبكة بنية تحتية مرنة يمكن لـ APT استخدامها لتعزيز نشاطها.

الاتصال بنشاط القرصنة الموالي لروسيا

رسم بياني يوضح الاتصال بنشاط القرصنة الإلكترونية الموالي لروسيا
تعرّف على المزيد عن هذه الصورة في الصفحة 5 من التقرير الكامل

لا تنخرط القوات الروسية في أعمال يمكن أن تتعارض مع القانون الدولي فحسب، بل تستهدف أيضاً المحققين والمدعين الجنائيين الذين يرفعون قضايا ضدهم.

كشف القياس عن بعد من Microsoft أن الممثلين المرتبطة بالجيش الروسي ووكالات الاستخبارات الأجنبية استهدفت وانتهكت الشبكات القانونية والتحقيقية الأوكرانية، وتلك التابعة للمنظمات الدولية المشاركة في التحقيقات في جرائم الحرب، طوال فصلي الربيع والصيف من هذا العام.

ووقعت هذه العمليات عبر الإنترنت وسط تصاعد التوترات بين موسكو ومجموعات مثل المحكمة الجنائية الدولية، التي أصدرت مذكرة اعتقال بحق الرئيس الروسي بوتين بتهم ارتكاب جرائم حرب في مارس.7

في أبريل، اخترقت Seashell Blizzard المرتبطة بـ GRU شبكة شركة محاماة تركز على قضايا جرائم الحرب. اخترقت Aqua Blizzard، المنسوبة إلى FSB، الشبكة الداخلية لهيئة تحقيق رئيسية في أوكرانيا في يوليو، ثم استخدمت حسابات مخترقة هناك لإرسال رسائل بريد إلكتروني تصيدية إلى العديد من شركات الاتصالات الأوكرانية في سبتمبر.

اخترق ممثلو SVR Midnight Blizzard (NOBELIUM سابقاً) مستندات منظمة قانونية ذات مسؤوليات عالمية والوصول إليها في يونيو ويوليو قبل تدخل الاستجابة للحدث من Microsoft لإصلاح التدخل. كان هذا النشاط جزءاً من حملة أكثر عدوانية من قبل هذا الممثل لانتهاك المنظمات الدبلوماسية والدفاعية والسياسة العامة وقطاع تكنولوجيا المعلومات في جميع أنحاء العالم.

كشفت مراجعة لإشعارات الأمان التي أصدرتها Microsoft للعملاء المتأثرين منذ شهر مارس أن Midnight Blizzard سعت إلى الوصول إلى أكثر من 240 منظمة معظمها في الولايات المتحدة وكندا ودول أوروبية أخرى، بدرجات متفاوتة من النجاح.8

وكان ما يقرب من 40 بالمائة  من المنظمات المستهدفة عبارة عن مؤسسات بحثية حكومية أو حكومية دولية أو تركز على السياسات.

استخدم ممثلو المخاطر الروسيون تقنيات مختلفة للوصول الأولي وإرساء الثبات على الشبكات المستهدفة. اتبعت Midnight Blizzard نهج حوض المطبخ، باستخدام نشر كلمات المرور، وبيانات الاعتماد التي حصلت عليها من أطراف ثالثة، وحملات الهندسة الاجتماعية الموثوقة عبر Teams، وإساءة استخدام الخدمات السحابية للتسلل إلى البيئات السحابية.9 نجحت Aqua Blizzard في دمج تهريب HTML في حملات التصيد الاحتيالي للوصول الأولي لتقليل احتمالية الكشف عن طريق التوقيعات المضادة للفيروسات وضوابط أمان البريد الإلكتروني.

استغلت شركة Seashell Blizzard أنظمة الخادم المحيطية مثل خوادم Exchange وTomcat واستفادت في الوقت نفسه من برامج Microsoft Office المقرصنة التي تحتوي على باب خلفي DarkCrystalRAT للوصول الأولي. سمح الباب الخلفي للممثل بتحميل حمولة المرحلة الثانية التي نسميها Shadowlink، وهي حزمة برامج تتنكر في هيئة Microsoft Defender وتثبت خدمة TOR على الجهاز وتمنح ممثل التهديد وصولاً خفياً عبر شبكة TOR.10

مخطط يوضح كيفية تثبيت Shadowlink خدمة TOR على جهاز برامج
تعرّف على المزيد عن هذه الصورة في الصفحة 6 من التقرير الكامل 

منذ أن أطلقت القوات الروسية هجومها في ربيع عام 2023، ركزت الجهات الفاعلة عبر الإنترنت التابعة لجهاز المخابرات العسكرية الروسية (GRU) وجهاز الأمن الفيدرالي (FSB) جهودها على جمع المعلومات الاستخبارية من الاتصالات الأوكرانية والبنية التحتية العسكرية في مناطق القتال.

بداية من شهر مارس، ربط التحليل الذكي للمخاطر من Microsoft Seashell Blizzard بإغراءات وحزم التصيد الاحتيالي المحتملة التي بدت مصممة خصيصاً لاستهداف مكون رئيسي في البنية التحتية للاتصالات العسكرية الأوكرانية. لم تكن لدينا رؤية بشأن إجراءات المتابعة. وفقاً لجهاز الأمن الأوكراني (SBU)، تضمنت محاولات Seashell Blizzard الأخرى للوصول إلى الشبكات العسكرية الأوكرانية برامج ضارة من شأنها أن تسمح لها بجمع معلومات حول تكوينات محطات الأقمار الصناعية المتصلة Starlink وجمع موقع الوحدات العسكرية الأوكرانية.11 12 13

انتقلت Secret Blizzard (المعروفة سابقاً باسم KRYPTON) أيضاً لتأمين موطئ قدم لجمع المعلومات الاستخبارية في الشبكات المتعلقة بالدفاع الأوكراني. بالشراكة مع فريق الاستجابة لطوارئ الكمبيوتر الحكومي في أوكرانيا (CERT-UA)، حدد التحليل الذكي للمخاطر من Microsoft وجود برامج Secret Blizzard's DeliveryCheck وKazuar الضارة على أنظمة قوات الدفاع الأوكرانية.14 Kazuar يسمح بأكثر من 40 وظيفة بما في ذلك سرقة بيانات الاعتماد من مجموعة متنوعة من التطبيقات، وبيانات المصادقة، والوكلاء، وملفات تعريف الارتباط، واسترجاع البيانات من سجلات نظام التشغيل.15 كان Secret Blizzard مهتماً بشكل خاص بسرقة الملفات التي تحتوي على رسائل من تطبيق المراسلة Signal Desktop، مما يسمح لهم بقراءة محادثات Signal الخاصة.16

جددت شركة Forest Blizzard (المعروفة سابقاً باسم STRONTIUM) التركيز على أهداف التجسس التقليدية، والمنظمات ذات الصلة بالدفاع في الولايات المتحدة وكندا وأوروبا، والتي يعمل دعمها العسكري وتدريبها على إبقاء القوات الأوكرانية مجهزة لمواصلة القتال.

منذ شهر مارس، حاولت شركة Forest Blizzard الوصول الأولي إلى المنظمات الدفاعية عبر رسائل التصيد الاحتيالي التي تتضمن تقنيات جديدة ومراوغة. على سبيل المثال، في أغسطس، أرسلت شركة Forest Blizzard رسالة بريد إلكتروني للتصيد الاحتيالي تتضمن ثغرة لـ CVE-2023-38831 إلى أصحاب الحسابات في منظمة دفاع أوروبية. CVE-2023-38831 هي ثغرة أمنية في برنامج WinRAR تسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية عندما يحاول المستخدم عرض ملف حميد داخل أرشيف ZIP.

ويستفيد الممثل أيضاً من أدوات المطورين الشرعية مثل Mockbin وMocky للقيادة والتحكم. بداية من أواخر سبتمبر، أجرى الممثل حملة تصيد احتيالي لإساءة استخدام خدمات GitHub وMockbin. نشرت CERT-UA وشركات الأمان عبر الإنترنت الأخرى هذا النشاط في سبتمبر، مشيرة إلى أن الممثل استخدم صفحات ترفيهية للبالغين لإغراء الضحايا بالنقر على رابط أو فتح ملف من شأنه أن يعيد توجيههم إلى البنية التحتية الضارة لـ Mockbin.17 18لاحظت شركة Microsoft تحولاً في استخدام صفحة ذات طابع تكنولوجي في أواخر سبتمبر. في كل حالة، أرسل الممثلون رسالة بريد إلكتروني تصيدية تحتوي على ارتباط ضار من شأنه إعادة توجيه الضحية إلى عنوان URL الخاص بـ Mockbin وتنزيل ملف مضغوط مرفق بملف LNK (اختصار) ضار يتنكر في صورة تحديث Windows. سينزل ملف LNK بعد ذلك وينفذ برنامج PowerShell النصي آخر لإثبات الثبات وتنفيذ إجراءات المتابعة مثل سرقة البيانات.

مثال لقطة شاشة لإغراء PDF المرتبط بتصيد Forest Blizzard الاحتيالي لمؤسسات الدفاع.

ممثل المخاطر يتنكر في هيئة موظفي البرلمان الأوروبي
ملحق البريد الإلكتروني: "جدول أعمال 28 أغسطس - 03 سبتمبر 2023" لاجتماعات البرلمان الأوروبي. اتصالات خدمات الصحافة. 160 كيلوبايت bulletin.rar
الرسم التوضيحي 5: مثال لقطة شاشة لإغراء PDF المرتبط بتصيد Forest Blizzard الاحتيالي لمؤسسات الدفاع.  تعرّف على المزيد عن هذه الصورة في الصفحة 9 في التقرير الكامل

طوال عام 2023، واصلت MTAC مراقبة Storm-1099، ممثل مؤثر تابع لروسيا ومسؤول عن عملية نفوذ متطورة مؤيدة لروسيا تستهدف الداعمين الدوليين لأوكرانيا منذ ربيع عام 2022.

ربما اشتهرت بعملية تزوير موقع الويب على نطاق واسع والتي أطلق عليها مجموعة الأبحاث EU DisinfoLab اسم Doppelganger19 وتشمل أنشطة Storm-1099 أيضاً منافذ بيع ذات علامات تجارية فريدة مثل الأخبار الموثوقة الأخيرة (RRN)، ومشاريع الوسائط المتعددة مثل سلسلة الرسوم الكاريكاتورية المناهضة لأوكرانيا “Ukraine Inc” والمظاهرات على الأرض التي تربط بين العالمين الرقمي والمادي. على الرغم من أن الإسناد غير مكتمل، خبراء التكنولوجيا السياسيين الروس الممولين جيداً، والدعاية، والمتخصصين في العلاقات العامة الذين لديهم علاقات واضحة مع الدولة الروسية قد أجروا ودعموا العديد من حملات Storm-1099.20

لا تزال عملية Doppelganger الخاصة بـ Storm-1099 بكامل قوتها حتى وقت إعداد هذا التقرير، على الرغم من المحاولات المستمرة من جانب شركات التكنولوجيا والكيانات البحثية للإبلاغ عن مدى انتشارها والتخفيف من انتشارها.21 وبينما استهدف هذا الممثل أوروبا الغربية تاريخياً - بأغلبية ساحقة ألمانيا - فقد استهدفت أيضاً فرنسا وإيطاليا وأوكرانيا. وفي الأشهر الأخيرة، حولت Storm-1099 تركيزها الموقعي نحو الولايات المتحدة وإسرائيل. بدأ هذا الانتقال منذ يناير 2023، وسط احتجاجات واسعة النطاق في إسرائيل ضد الإصلاح القضائي المقترح، واشتدت بعد اندلاع الحرب بين حماس وإسرائيل في أوائل أكتوبر. تعكس المنافذ ذات العلامات التجارية التي تم إنشاؤها حديثاً إعطاء الأولوية المتزايدة للسياسة الأمريكية والانتخابات الرئاسية الأمريكية المقبلة لعام 2024، في حين أن أصول Storm-1099 الحالية دفعت بقوة الادعاء الكاذب بأن حماس حصلت على أسلحة أوكرانية في السوق السوداء لهجماتها في 7 أكتوبر في إسرائيل.

في الآونة الأخيرة، في أواخر أكتوبر، لاحظت MTAC حسابات تقدر Microsoft أنها أصول Storm-1099 تروج لنوع جديد من التزوير بالإضافة إلى المقالات والمواقع المزيفة على وسائل التواصل الاجتماعي. هذه عبارة عن سلسلة من المقاطع الإخبارية المزيفة القصيرة، التي تم إنشاؤها ظاهرياً من قبل وسائل إعلام حسنة السمعة، والتي تنشر دعاية مؤيدة لروسيا لتقويض الدعم لكل من أوكرانيا وإسرائيل. في حين أن هذا التكتيك - استخدام فيديوهات ساخرة لدفع خطوط الدعاية - هو تكتيك لاحظه في الأشهر الأخيرة ممثلون موالون لروسيا على نطاق أوسع، فإن ترويج Storm-1099 لمحتوى الفيديو هذا يسلط الضوء فقط على تقنيات التأثير المتنوعة للممثل وأهداف الرسائل.

مقالات منشورة على مواقع وهمية مزيفة

الحملة التي أجراها ممثل مخاطر التأثير عبر الإنترنت الروسي Storm 1099 WS خضعت لمراقبة وتتبع بواسطة Microsoft.
خضعت لمراقبة وتتبع بواسطة Microsoft في 31 أكتوبر 2023. مقالات منشورة على مواقع وهمية؛ الحملة التي أجراها ممثل المخاطر عبر الإنترنت الروسي Storm 1099.
تعرّف على المزيد عن هذه الصورة في الصفحة 9 في التقرير الكامل

منذ هجمات حماس في إسرائيل في 7 أكتوبر، سعت وسائل الإعلام الرسمية الروسية والممثلون المتحالفون مع الدولة إلى استغلال الحرب بين حماس وإسرائيل لتعزيز الخطابات المناهضة لأوكرانيا، والمشاعر المعادية للولايات المتحدة، وتأجيج التوتر بين جميع الأطراف. هذا النشاط، رغم أنه رد فعل على الحرب ومحدود النطاق بشكل عام، يشمل كلا وسائل الإعلام العلنية التي ترعاها الدولة وشبكات التواصل الاجتماعي السرية التابعة لروسيا والتي تمتد عبر منصات وسائط اجتماعية متعددة.

 

تسعى الروايات التي يروج لها الدعائيون الروس وشبكات التواصل الاجتماعي الموالية لروسيا إلى تأليب إسرائيل ضد أوكرانيا وتقليل الدعم الغربي لكييف من خلال الادعاء الكاذب بأن أوكرانيا سلحت مقاتلي حماس في محاكاة ساخرة لمنافذ إعلامية حسنة السمعة ومقاطع فيديو تم التلاعب بها. إن مقطع الفيديو غير الحقيقي الذي يدعي أن المجندين الأجانب، بما في ذلك الأميركيين، تم نقلهم من أوكرانيا للانضمام إلى عمليات قوات الدفاع الإسرائيلية في قطاع غزة، والذي حصد مئات الآلاف من المشاهدات عبر منصات وسائل التواصل الاجتماعي، يقدم مثالاً واحداً فقط على هذا المحتوى. تعمل هذه الإستراتيجية على دفع الروايات المناهضة لأوكرانيا إلى جمهور واسع، كما أنها تحفز المشاركة من خلال تشكيل روايات كاذبة لتتماشى مع القصص الإخبارية الرئيسية المتطورة.

 

تعمل روسيا أيضاً على زيادة نشاط التأثير الرقمي من خلال الترويج لأحداث العالم الحقيقي. روجت وسائل الإعلام الروسية بقوة لمحتوى تحريضي يضخم الاحتجاجات المتعلقة بالحرب بين حماس وإسرائيل في الشرق الأوسط وأوروبا، بما في ذلك عبر مراسلين على الأرض من وكالات الأنباء الحكومية الروسية. في أواخر أكتوبر 2023، زعمت السلطات الفرنسية أن أربعة مواطنين من مولدوفا من المحتمل أن يكونوا مرتبطين برسومات نجمة داود على الجدران في الأماكن العامة في باريس. زعم اثنان من المولدوفيين حسب ما ورد أنهما حصلا على توجيهاتهما من شخص يتحدث الروسية، ما يشير إلى مسؤولية روسية محتملة عن الكتابة على الجدران. صور الكتابة على الجدران لاحقاً مضخمة بواسطة أصول Storm-1099.22

 

من المرجح أن ترى روسيا أن الصراع الدائر بين حماس وإسرائيل يصب في مصلحتها الجغرافية السياسية لأنها تعتقد أن الصراع يصرف انتباه الغرب عن الحرب في أوكرانيا. باتباع التكتيكات المستخدمة كثيراً في قواعد النفوذ الروسية الراسخة، تقدر MTAC أن مثل هذه الجهات الفاعلة ستستمر في زرع الدعاية عبر الإنترنت والاستفادة من الأحداث الدولية الكبرى الأخرى لإثارة التوتر ومحاولة إعاقة قدرة الغرب على مواجهة الغزو الروسي لأوكرانيا.

تغلغلت الدعاية المناهضة لأوكرانيا على نطاق واسع في نشاط النفوذ الروسي منذ ما قبل الغزو الشامل عام 2022. مع ذلك، في الأشهر الأخيرة، ركزت شبكات التأثير الموالية لروسيا والتابعة لها على استخدام الفيديو كوسيلة أكثر ديناميكية لنشر هذه الرسائل إلى جانب انتحال وسائل الإعلام الرسمية لتعزيز مصداقيتها. لاحظت MTAC حملتين مستمرتين أجرتهما ممثلون غير معروفون موالون لروسيا والتي تتضمن انتحال العلامات التجارية لوسائل الإعلام الإخبارية والترفيهية الرئيسية لدفع محتوى الفيديو الذي تم التلاعب به. على غرار الحملات الدعائية الروسية السابقة، يركز هذا النشاط على تصوير الرئيس الأوكراني فولوديمير زيلينسكي كمدمن مخدرات فاسد، والدعم الغربي لكييف على أنه يضر بالسكان المحليين في تلك البلدان. يسعى المحتوى في كلتا الحملتين باستمرار إلى تقليل الدعم لأوكرانيا لكنه يكيف السرد ليتوافق مع الأحداث الإخبارية الناشئة - مثل انفجار غواصة تيتان في يونيو 2023 أو الحرب بين حماس وإسرائيل للوصول إلى جماهير أوسع.

رسم تخطيطي يوضح نظرة عامة على مقاطع الأخبار المخادعة

يوضح نظرة عامة على مقاطع الأخبار المخادعة
تعرّف على المزيد عن هذه الصورة في الصفحة 11 في التقرير الكامل

تتضمن إحدى هذه الحملات التي تركز على الفيديو سلسلة من مقاطع الفيديو الملفقة التي تنشر موضوعات وروايات كاذبة ومناهضة لأوكرانيا ومرتبطة بالكرملين تحت ستار تقارير إخبارية قصيرة من وسائل الإعلام الرئيسية. لاحظت MTAC هذا النشاط لأول مرة في أبريل 2022 عندما نشرت قنوات Telegram الموالية لروسيا مقطع فيديو مزيفاً لقناة BBC News، ادعى أن الجيش الأوكراني مسؤول عن هجوم صاروخي أدى إلى مقتل عشرات المدنيين. يستخدم الفيديو شعار BBC ونظام الألوان والجماليات، ويحتوي على تعليقات باللغة الإنجليزية تحتوي على أخطاء شائعة عند الترجمة من اللغات السلافية إلى الإنجليزية.

استمرت هذه الحملة طوال عام 2022 وتسارعت في صيف عام 2023. في وقت إعداد هذا التقرير، لاحظت MTAC أكثر من اثني عشر مقطع فيديو إعلامياً مخادعاً في الحملة وكانت المنافذ الأكثر انتحالاً هي BBC News وAL Jazeera وEuroNews. ضخمت قنوات Telegram الناطقة باللغة الروسية أولاً مقاطع الفيديو قبل أن تنتشر على منصات التواصل الاجتماعي الرئيسية

لقطات شاشة لمقاطع فيديو تحاكي شعار وجماليات BBC news (يسار) وEuroNews (يمين)

مقاطع إخبارية ملفقة تحتوي على معلومات مضللة متحالفة مع روسيا
التحليل الذكي للمخاطر من Microsoft: أخبار ملفقة تربط بين فشل أوكرانيا العسكري وهجوم حماس ومسؤولية إسرائيل
مقاطع إخبارية ملفقة تحتوي على معلومات مضللة متحالفة مع روسيا. لقطات شاشة لمقاطع فيديو تحاكي شعار وجماليات BBC news (يسار) وEuroNews (يمين). تعرّف على المزيد عن هذه الصورة في الصفحة 12 في التقرير الكامل

على الرغم من أن هذا المحتوى كان محدود الوصول، يمكن أن يشكل تهديداً حقيقياً للأهداف المستقبلية إذا تم تحسينه أو تحسينه بقوة الذكاء الاصطناعي أو تضخيمه بواسطة رسول أكثر مصداقية. الممثل الموالي لروسيا المسؤول عن المقاطع الإخبارية المخادعة حساس للأحداث العالمية الحالية وذكي. على سبيل المثال، ادعى مقطع فيديو مزيف لهيئة الإذاعة البريطانية (بي بي سي نيوز) كذباً أن منظمة الصحافة الاستقصائية Bellingcat كشفت أن الأسلحة التي يستخدمها مسلحو حماس بيعت إلى الجماعة من مسؤولين عسكريين أوكرانيين من خلال السوق السوداء. يعكس محتوى الفيديو هذا بشكل وثيق التصريحات العامة التي أدلى بها الرئيس الروسي السابق ديمتري ميدفيديف قبل يوم واحد فقط من نشر الفيديو، ما يدل على توافق الحملة القوي مع رسائل الحكومة الروسية العلنية.23

بداية من يوليو 2023، بدأت قنوات التواصل الاجتماعي الموالية لروسيا في تداول مقاطع فيديو لمشاهير محررة بشكل مخادع لدفع الدعاية المناهضة لأوكرانيا. يبدو أن مقاطع الفيديو - وهي من عمل ممثل مؤثر غير معروف متحالف مع روسيا - تعتمد على موقع Cameo، وهو موقع ويب شهير حيث يمكن للمشاهير والشخصيات العامة الأخرى تسجيل وإرسال رسائل فيديو مخصصة للمستخدمين الذين يدفعون رسوماً. تُحرر رسائل الفيديو القصيرة، التي غالباً ما تُظهر مشاهير يتوسلون إلى “فلاديمير” لطلب المساعدة في تعاطي المخدرات، من قبل الجهة المجهولة لتشمل الرموز التعبيرية والارتباطات. يُجرى تداول مقاطع الفيديو عبر مجتمعات وسائل التواصل الاجتماعي الموالية لروسيا ويُجرى تضخيمها من قبل وسائل الإعلام الروسية التابعة للدولة والتي تديرها الدولة ويتم تصويرها كذباً على أنها رسائل إلى الرئيس الأوكراني فولوديمير زيلينسكي. في بعض الحالات، أضاف الممثل شعارات وسائل الإعلام ومقابض وسائل التواصل الاجتماعي الخاصة بالمشاهير لجعل الفيديو يبدو وكأنه مقاطع إخبارية من التقارير عن المناشدات العامة المفترضة للمشاهير لزيلينسكي أو منشورات المشاهير على وسائل التواصل الاجتماعي. روج مسؤولو الكرملين والدعاية التي ترعاها الدولة الروسية منذ فترة طويلة للادعاء الكاذب بأن الرئيس زيلينسكي يعاني من تعاطي المخدرات؛ ومع ذلك، تمثل هذه الحملة نهجاً جديداً من الممثلين الفاعلين المؤيدين لروسيا التي تسعى إلى تعزيز السرد في مساحة المعلومات عبر الإنترنت.

يُظهر مقطع الفيديو الأول في الحملة، المرصوده في أواخر شهر يوليو، الرموز التعبيرية للعلم الأوكراني، وعلامات مائية من منفذ الإعلام الأمريكي TMZ، وروابط لكل من مركز التعافي من تعاطي المخدرات وإحدى صفحات وسائل التواصل الاجتماعي الرسمية للرئيس زيلينسكي. بداية من أواخر أكتوبر 2023، نشرت قنوات التواصل الاجتماعي الموالية لروسيا ستة مقاطع فيديو أخرى. الجدير بالذكر أنه في 17 أغسطس، نشرت وكالة الأنباء الروسية المملوكة للدولة RIA Novosti مقالاً يغطي مقطع فيديو يظهر فيه الممثل الأمريكي جون ماكجينلي، كما لو كان نداء حقيقياً من ماكجينلي إلى زيلينسكي.24 وبخلاف ماكجينلي، فإن المشاهير الذين يظهر محتواهم في الحملة يشملون الممثلين إيليا وود، دين نوريس، كيت فلانيري وبريسيلا بريسلي؛ الموسيقار شافو أوداجيان؛ والملاكم مايك تايسون. كما ضخمت وسائل إعلام روسية أخرى تابعة للدولة، بما في ذلك منفذ الإعلام Tsargrad الخاضع لعقوبات الولايات المتحدة، بتضخيم محتوى الحملة.25

صور ثابتة من مقاطع الفيديو توضح المشاهير الذين يبدو أنهم يروجون للدعاية الموالية لروسيا

صور ثابتة من مقاطع الفيديو التي تظهر المشاهير الذين يبدو أنهم يروجون للدعاية الموالية لروسيا
تعرّف على المزيد عن هذه الصورة في الصفحة 12 من التقرير الكامل

ينتقل المقاتلون الروس إلى مرحلة جديدة من حرب الخنادق الثابتة، وفقاً لما ذكره قائد الجيش الأوكراني، ما يشير إلى صراع أطول أمداً.26 ستحتاج كييف إلى إمدادات ثابتة من الأسلحة والدعم الشعبي لمواصلة المقاومة، ومن المرجح أن نرى مشغلي الإنترنت والتأثير الروس يكثفون جهودهم لإحباط معنويات السكان الأوكرانيين وتقليص مصادر كييف الخارجية للمساعدات العسكرية والمالية.

ومع اقتراب فصل الشتاء، قد نشهد مرة أخرى ضربات عسكرية تستهدف مرافق الطاقة والمياه في أوكرانيا، مصحوبة بهجمات تدميرية مدمرة على تلك الشبكات.27 أعلنت سلطات الأمان عبر الإنترنت الأوكرانية CERT-UA في سبتمبر أن شبكات الطاقة الأوكرانية كانت تحت تهديد مستمر، ولاحظت شركة التحليل الذكي للمخاطر من Microsoft آثاراً لنشاط تهديد GRU على شبكات قطاع الطاقة الأوكرانية من أغسطس حتى أكتوبر.28 لاحظت Microsoft استخداماً مدمراً واحدًا على الأقل لأداة Sdelete المساعدة ضد شبكة شركة طاقة أوكرانية في أغسطس.29

خارج أوكرانيا، قد تمنح الانتخابات الرئاسية الأمريكية وغيرها من المسابقات السياسية الكبرى في عام 2024 الممثلين ذوي التأثير الخبيث فرصة لاستخدام وسائط الفيديو ومهارات الذكاء الاصطناعي الناشئة لتحويل المد السياسي بعيداً عن المسؤولين المنتخبين الذين يناصرون الدعم لأوكرانيا.30

تعمل Microsoft عبر جبهات متعددة لحماية عملائنا في أوكرانيا وفي جميع أنحاء العالم من هذه المخاطر متعددة الأوجه. في إطار مبادرة المستقبل الآمن، نعمل على دمج التقدم في الدفاع عبر الإنترنت القائم على الذكاء الاصطناعي وهندسة البرمجيات الآمنة، مع الجهود الرامية إلى تعزيز المعايير الدولية لحماية المدنيين من المخاطر عبر الإنترنت. 31 كما ننشر أيضاً الموارد جنباً إلى جنب مع مجموعة أساسية من المبادئ لحماية الناخبين والمرشحين والحملات الانتخابية والسلطات الانتخابية في جميع أنحاء العالم، حيث يستعد أكثر من ملياري شخص للمشاركة في العملية الديمقراطية خلال العام المقبل.32

  1. [1]
  2. [2]

    للحصول على معلومات فنية حول أحدث أساليب الهجوم المدمر في أوكرانيا، راجع https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    استناداً إلى الإخطارات الصادرة بين 15 مارس 2023 و 23 أكتوبر 2023. 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]

    للتفاصيل التقنية https://go.microsoft.com/fwlink/?linkid=2262377

  30. [30]
  31. [31]
  32. [32]

المقالات ذات الصلة

التهديدات الرقمية القادمة من شرق آسيا تتزايد من حيث اتساعها وفعاليتها

انغمس في الاتجاهات الناشئة واستكشفها في مشهد التهديدات المتطور في شرق آسيا، حيث تجري الصين عمليات إلكترونية واسعة النطاق وعمليات نفوذ (IO)، في حين تُظهر الجهات الفاعلة في مجال المخاطر عبر الإنترنت في كوريا الشمالية تطوراً متزايداً.
تعرّف على المزيد

تتحول إيران إلى عمليات التأثير عبر الإنترنت لتحقيق تأثير أكبر

كشفت شركة التحليل الذكي للمخاطر من Microsoft عن عمليات نفوذ متزايدة عبر الإنترنت انطلاقًا من إيران. احصل على رؤى حول التهديدات مع تفاصيل التقنيات الجديدة ومكان وجود التهديدات المستقبلية المحتملة.
تعرّف على المزيد

العمليات الإلكترونية وعمليات التأثير في الحرب في ساحة المعركة الرقمية في أوكرانيا

تتناول الاستخبارات المتعلقة بالأخطار من Microsoft عاماً من العمليات الإلكترونية وعمليات التأثير في أوكرانيا، وتكشف عن اتجاهات جديدة في التهديدات الإلكترونية وما يمكن توقعه مع دخول الحرب عامها الثاني.
تعرّف على المزيد

متابعة Microsoft