Trace Id is missing
Преминаване към основното съдържание
Security Insider

Същите цели, нови наръчници: Извършителите, представляващи заплаха от източна Азия използват уникални методи

Изтегляне
Споделяне
Абстрактна илюстрация на военноморски кораб с графични червени кръгове и черни мрежовидни елементи на розов фон.

От юни 2023 г. насам Microsoft наблюдава няколко забележителни тенденции в киберпространството и влиянието от страна на Китай и Северна Корея, които показват не само удвояване на познатите цели, но и опити за използване на по-сложни техники за влияние за постигане на целите им.

През последните седем месеца китайските действащи лица в киберпространството в общи линии избраха три целеви области:

  • Едната група китайски действащи лица се насочи широко към субекти в южните тихоокеански острови.
  • Втора група китайски действащи лица продължиха серията от кибератаки срещу регионални противници в района на Южнокитайско море.
  • Междувременно трета група китайски китайски действащи лица компрометираха отбранителната индустриална база на САЩ.

Вместо да разширяват географския обхват на своите цели, китайските китайски действащи лица в сферата на влиянието усъвършенстваха своите техники и експериментираха с нови медии. Китайските кампании за оказване на влияние продължиха да усъвършенстват съдържанието, генерирано или подобрено от изкуствен интелект. Действащите лица за оказване на влияние, които стоят зад тези кампании, показаха готовност както да усилват генерираните от ИИ медии, които са в полза на техните стратегически внушения, така и да създават свое собствено видео, миймове и аудиосъдържание. Такива тактики са използвани в кампании, които разпалват разделението в САЩ и изострят раздорите в Азиатско-тихоокеанския регион – включително Тайван, Япония и Южна Корея. Тези кампании постигнаха различни нива на отзвук, като нямаше единна формула, която да доведе до постоянна ангажираност на аудиторията.

Севернокорейските действащи лица в киберпространството попаднаха в заглавията на вестниците за засилващите се атаки по веригата за доставка на софтуер и обирите на криптовалути през изминалата година. Въпреки че стратегическите спиърфишинг кампании, насочени към изследователи, които изучават Корейския полуостров, останаха постоянна тенденция, севернокорейските участници в заплахи изглежда използваха в по-голяма степен легитимен софтуер, за да компрометират още повече жертви.

Gingham Typhoon е насочен към правителствени, ИТ и мултинационални структури на островите в южната част на Тихия океан

През лятото на 2023 г. Наборът от ресурси на Microsoft срещу заплахи наблюдава широка дейност от базираната в Китай шпионска група Gingham Typhoon, която е насочена към почти всички държави от Южните тихоокеански острови. Gingham Typhoon е най-активният участник в този регион, като поразява международни организации, правителствени структури и ИТ сектора със сложни фишинг кампании. Сред жертвите са и гласовити критици на китайското правителство.

Дипломатическите съюзници на Китай, които станаха жертви на неотдавнашната активност на Gingham Typhoon, включват изпълнителни служби в правителството, отдели, свързани с търговията, доставчици на интернет услуги, както и транспортна структура.

Засилената геополитическа и дипломатическа конкуренция в региона може да е мотив за тези офанзивни кибердейности. Китай се стреми към стратегически партньорства с островни държави от южната част на Тихия океан с цел разширяване на икономическите връзки и сключване на дипломатически споразумения и споразумения за сигурност. Китайският кибершпионаж в този регион също следва икономическите партньори.

Например китайските действащи лица са участвали в широкомащабни атаки срещу многонационални организации в Папуа Нова Гвинея – дългогодишен дипломатически партньор, който се възползва от множество проекти по инициативата „Пояс и път“ (BRI), включително изграждането на голяма магистрала, която свързва правителствена сграда в Папуа Нова Гвинея с главния път на столицата.1

Карта, илюстрираща честотата на насочените киберзаплахи в тихоокеанските островни нации, с по-големи кръгове
Фигура 1: Наблюдавани събития от Gingham Typhoon от юни 2023 г. до януари 2024 г. Тази дейност акцентира върху продължаващия им фокус върху островните нации в южната част на Тихия океан. Голяма част от това насочване обаче продължава да съществува, което отразява дългогодишен фокус върху региона. Географските местоположения и диаметърът на символите са представителни.

Китайските участници в заплахите запазват фокуса си върху Южнокитайско море на фона на западните военни учения

Базираните в Китай участници в заплахи продължават да се насочват към структури, свързани с икономическите и военните интереси на Китай в и около Южнокитайско море. Тези участници компрометираха правителствени и телекомуникационни жертви в Асоциацията на страните от Югоизточна Азия (АСЕАН). Свързаните с китайската държава кибератаки изглеждаха особено заинтересовани от цели, свързани с многобройните военни учения на САЩ, провеждани в региона. През юни 2023 г. Raspberry Typhoon, група за национална активност, базирана в Китай, успешно атакува военни и изпълнителни структури в Индонезия и малайзийска морска система в седмиците преди рядко многостранно военноморско учение с участието на Индонезия, Китай и САЩ.

По подобен начин субекти, свързани с военни учения между САЩ и Филипините, бяха обект на атаки от страна на друго китайско действащо лице в киберпространството – Flax Typhoon. Същевременно Granite Typhoon, още един китайски участник в заплахи, през този период компрометира предимно телекомуникационни структури в региона, като жертвите са в Индонезия, Малайзия, Филипините, Камбоджа и Тайван.

След публикуването на блога на Microsoft за  Flax Typhoon, Microsoft наблюдава нови цели на Flax Typhoon във Филипините, Хонконг, Индия и Съединените щати в началото на есента и зимата на 2023 г.2 Този актьор също така често атакува телекомуникационния сектор, което често води до множество последващи ефекти.

Карта, показваща данни от разузнаването за заплахи на Microsoft за най-целевите региони в Азия,
Фигура 2: Наблюдаваните събития са насочени към страни в или около Южнокитайско море от Flax Typhoon, Granite Typhoon или Raspberry Typhoon. Географските местоположения и диаметърът на символите са представителни.

Nylon Typhoon компрометира чуждестранни агенции по целия свят

Базираният в Китай участник в заплахите Nylon Typhoon продължава дългогодишната си практика да се насочва към структури на Министерства на външните работи в държави по целия свят. Между юни и декември 2023 г. Microsoft наблюдава Nylon Typhoon в правителствени структури в Южна Америка, включително в Бразилия, Гватемала, Коста Рика и Перу. Извършителят, представляващ заплаха е наблюдаван и в Европа, като е компрометирал правителствени структури в Португалия, Франция, Испания, Италия и Обединеното кралство. Въпреки че повечето европейски цели бяха правителствени структури, някои ИТ компании също бяха компрометирани. Целта на това таргетиране е събиране на разузнавателна информация.

Китайска група за заплахи се насочва към военни структури и критична инфраструктура в САЩ

И накрая, през есента и зимата на 2023 г. активността на Storm-0062 рязко нарасна. Голяма част от тази активност компрометираше правителствени структури, свързани с отбраната на САЩ, включително изпълнители, които предоставят технически инженерни услуги около аерокосмическата индустрия, отбраната и природните ресурси, критични за националната сигурност на САЩ. Освен това Storm-0062 многократно се е насочвала към военни структури в  Съединените щати; не е ясно обаче дали групата е успяла в опитите си за компрометиране.

Индустриалната база на САЩ в областта на отбраната също остава постоянна цел на Volt Typhoon. През май 2023 г. Microsoft приписва атаките срещу организации от критичната инфраструктура на САЩ на Volt Typhoon, държавно спонсориран участник, базиран в Китай. Volt Typhoon е получил достъп до мрежите на организациите с „living-off-the-land“ техники и „hands-on-keyboard“ дейност.3 Тези тактики позволиха на Volt Typhoon незабелязано да поддържа неоторизиран достъп до целевите мрежи. От юни 2023 г. до декември 2023 г. Volt Typhoon продължи да се насочва към критичната инфраструктура, но също така преследваше развитие на ресурсите, като компрометираше устройства за малки офиси и домашни офиси (SOHO) в Съединените щати.

В нашия доклад от септември 2023 г. подробно описахме как китайските ресурси за операции за влияние (ОВ) са започнали да използват генеративен изкуствен интелект за създаване на ефектно и интригуващо визуално съдържание. През цялото лято Наборът от ресурси на Microsoft срещу заплахи продължи да идентифицира миймове, генерирани от ИИ, насочени към САЩ, които засилваха спорни вътрешни въпроси и критикуваха настоящата администрация. Свързаните с Китай участници в ОВ продължиха да използват медии с ИИ и генерирани от ИИ (оттук нататък „ИИ съдържание“) в кампании за влияние с нарастващ обем и честота през годината.

ИИ навлиза (но не успява да повлияе)

Най-успешният от тези участници, използващи съдържание с изкуствен интелект, е Storm-1376 - обозначението на Microsoft за свързания с Китайската комунистическа партия (ККП) участник, известен като „Spamouflage“ или „Dragonbridge“. През зимата други свързани с ККП участници започнаха да използват по-широк спектър от съдържание с изкуствен интелект, за да увеличат онлайн ОВ. Това включваше забележителен ръст на съдържанието с участието на тайвански политически фигури преди президентските и парламентарните избори на 13 януари. Това беше първият път, когато Наборът от ресурси на Microsoft срещу заплахи стана свидетел на актьор от национална държава, който използва съдържание с ИИ в опити да повлияе на избори в чужбина.

Генерирано от изкуствен интелект аудио: В деня на изборите в Тайван Storm-1376 публикува подозрителни аудиоклипове, генерирани от ИИ, на собственика на Foxconn Тери Гоу, кандидат на независимата партия в президентската надпревара в Тайван, който се отказа от участие в състезанието през ноември 2023 г. Аудиозаписите изобразяват гласа на Гоу, който подкрепя друг кандидат в президентската надпревара. Гласът на Гоу в записите вероятно е генериран от изкуствен интелект, тъй като Гоу не е правил подобно изявление. YouTube бързо предприе мерки срещу това съдържание, преди то да достигне до значителен брой потребители. Тези видеоклипове последваха дни след като в интернет се разпространи фалшиво писмо от Тери Гоу, подкрепящо същия кандидат. Водещите тайвански организации за проверка на фактите опровергаха това писмо. Кампанията на Гоу също така заяви, че писмото не е истинско и че ще предприеме правни действия в отговор на него.4 Гоу не подкрепи официално нито един кандидат за президент в надпреварата.
Мъж в костюм, който говори, стъпил на подиум, с китайски текст и графика на звукова вълна на преден план.
Фигура 3: Във видеоклиповете, публикувани от Storm-1376, са използвани генерирани от изкуствен интелект гласови записи на Тери Гоу, за да изглежда така, сякаш е подкрепил друг кандидат.
Генерирани от изкуствен интелект водещи: Генерирани от трети страни водещи на новини с изкуствен интелект с помощта на инструмента Capcut на китайската технологична компания ByteDance се появиха в различни кампании с участието на тайвански официални лица, 5 както и в съобщения за Мианмар. Storm-1376 използва такива водещи на новини, генерирани от изкуствен интелект, поне от февруари 2023 г.,6 но обемът на съдържанието ѝ с участието на тези водещи се е увеличил през последните месеци.
Колаж на военно превозно средство
Фигура 4: Storm-1376 публикува видеоклипове на мандарин и английски език, в които твърди, че САЩ и Индия са отговорни за размириците в Мианмар. В някои от тези видеоклипове се използва една и съща котва, генерирана от изкуствен интелект.
Видеоклипове, подобрени с помощта на изкуствен интелект: Както бе разкрито от канадското правителство и други изследователи, в кампанията, насочена към канадски депутати, в подобрени с изкуствен интелект видеоклипове е използван образът на китайски дисидент, живеещ в Канада.7 Тези видеоклипове, които бяха само една част от многоплатформена кампания, включваща тормоз на канадски политици в техните акаунти в социалните медии, фалшиво изобразяваха дисидента, който правеше подстрекателски забележки за правителството на Канада. Подобни видеоклипове, подобрени с изкуствен интелект, са били използвани срещу този дисидент и преди.
Човек, който седи на бюро
Фигура 5: Създадени от ИИ видеоклипове с дълбока фалшификация на дисидента, който говори по унизителен начин за религията. Въпреки че използват подобни тактики като кампанията в Канада, тези видеоклипове изглеждат несвързани по отношение на съдържанието.
Генерирани от изкуствен интелект миймове: През декември Storm-1376 популяризира поредица от миймове, генерирани от изкуствен интелект, на тогавашния кандидат за президент на Тайван от Демократичната прогресивна партия (ДПП) Уилям Лай с тема за обратно броене, отбелязваща „Х дни“ до свалянето на ДПП от власт.
Графично представяне на две изображения едно до друго, едното с фигура с червен знак „х“", а другото със същата фигура, но без знак,
Фигура 6: Генерирани от изкуствен интелект миймове обвиняват кандидата за президент на ДПН Уилям Лай в присвояване на средства от Програмата за перспективно развитие на инфраструктурата на Тайван. Тези миймове съдържаха опростени знаци (използвани в КНР, но не и в Тайван) и бяха част от поредица, която ежедневно показваше „обратно броене до свалянето на правителството на ДПН от власт“.
Инфографика с времева линия, показваща влиянието на генерираното от изкуствен интелект съдържание върху изборите в Тайван от декември 2023 г. до януари 2024 г.
Фигура 7: Времева линия на съдържанието, генерирано от изкуствен интелект и подобрено от него, което се появи в навечерието на президентските и парламентарните избори в Тайван през януари 2024 г. Storm-1376 подсили няколко от тези части от съдържанието и отговаряше за създаването на съдържание в две кампании.

Storm-1376 продължава да изпраща реактивни съобщения, понякога с конспиративни разкази

Storm-1376 – участник, чиито операции за влияние обхващат повече от 175 уебсайта и 58 езика – продължава често да организира реактивни кампании за изпращане на съобщения около важни геополитически събития, особено такива, които представят Съединените щати в неблагоприятна светлина или засилват интересите на ККП в региона на APAC. След последния ни доклад от септември 2023 г. тези кампании се развиха по няколко важни начина, включително чрез използване на снимки, генерирани от изкуствен интелект, с цел подвеждане на аудиторията, подклаждане на конспиративно съдържание – особено срещу правителството на САЩ – и насочване на локализирано съдържание към нови популации, като Южна Корея.

1. Твърдението, че „метеорологично оръжие“ на правителството на САЩ е предизвикало горските пожари на Хаваите

През август 2023 г., когато по северозападното крайбрежие на Мауи, Хавай, Storm-1376 се възползва от възможността да разпространи конспиративни разкази в множество платформи на социалните медии. В тези публикации се твърдеше, че правителството на САЩ умишлено е предизвикало пожарите, за да тества военно „метеорологично оръжие“. Освен че публикува текста на поне 31 езика в десетки  уебсайтове и платформи, Storm-1376 използва генерирани от изкуствен интелект изображения на горящи крайбрежни пътища и жилища, за да направи съдържанието по-привлекателно.8

Съставно изображение с фалшив печат върху сцени на драматични пожари.
Фигура 8: Storm-1376 публикува конспиративно съдържание в рамките на няколко дни след избухването на горските пожари, твърдейки, че пожарите са резултат от изпитания на „метеорологично оръжие“ правителството на САЩ. Тези публикации често бяха придружени от генерирани от ИИ снимки на огромни пожари.

2. Засилване на възмущението от изхвърлянето на ядрените отпадъчни води в Япония

Storm-1376 стартира мащабна, агресивна информационна кампания, в която критикува японското правителство, след като Япония започва да изпуска обработени радиоактивни отпадъчни води в Тихия океан на 24 август 2023 г.9 Съдържанието на Storm-1376 поставя под съмнение научната оценка на Международната агенция за атомна енергия (МААЕ), че изхвърлянето е безопасно. Storm-1376 разпрати безразборно съобщения в платформите на социалните медии на множество езици, включително японски, корейски и английски. Някои източници дори обвиниха Съединените щати, че целенасочено тровят други страни, за да поддържат „водна хегемония“. Съдържанието, използвано в тази кампания, носи отличителните белези на поколението на изкуствения интелект.

В някои случаи Storm-1376 рециклира съдържание, използвано от други участници в китайската пропагандна екосистема, включително свързани с китайските държавни медии  влиятелни лица в социалните медии.10 Влиятелни лица и активи, принадлежащи на Storm-1376, качиха три идентични видеоклипа, които критикуваха изпускането на отпадъчни води от Фукушима. Такива случаи на публикации от различни участници, използващи идентично съдържание привидно в синхрон – което може да показва координация или насоченост на съобщенията – зачестиха през 2023 г.

Композитно изображение, включващо сатирична илюстрация на хора, екранна снимка на видеоклип, изобразяващ Годзила, и публикация в социална мрежа
Фигура 9: Миймове и изображения, генерирани от ИИ, критични към изхвърлянето на отпадъчни води във Фукушима от тайни китайски IO активи (вляво) и китайски правителствени служители (в центъра). Влиятелни лица, свързани с китайски държавни медии, също засилиха съобщенията, свързани с правителството, с критики към изхвърлянето (вдясно).

3. Подклаждане на раздори в Южна Корея

Във връзка с изхвърлянето на отпадъчни води от АЕЦ „Фукушима“ Storm-1376 положи целенасочени усилия да насочи вниманието си към Южна Корея с локализирано съдържание, което засилва протестите в страната срещу изхвърлянето на отпадъци, както и съдържание, критично към японското правителство. Тази кампания включваше стотици публикации на корейски език в множество платформи и уебсайтове, включително южнокорейски сайтове за социални медии като Kakao Story, Tistory и Velog.io.11

Като част от тази целенасочена кампания, Storm-1376 активно усилва коментарите и действията на лидера на Минджоо и неуспешен кандидат за президент през 2022 г., Ли Джаемюн (이재명, 李在明). Ли критикува хода на Япония като „терор със замърсена вода“ и равносилен на „втора тихоокеанска война“. Той също така обвини сегашното правителство на Южна Корея, че е „съучастник, подкрепяйки“ решението на Япония, и започна гладна стачка в знак на протест, която продължи 24 дни.12

Комикс в четири панела, посветен на замърсяването на околната среда и въздействието му върху морския живот.
Фигура 10: Мемета на корейски език от южнокорейската платформа за блогове Tistory засилват несъгласието с изхвърлянето на отпадъчни води от Фукушима.

4. Дерайлиране в Кентъки

По време на празника Ден на благодарността през ноември 2023 г. влак, превозващ разтопена сяра, дерайлира в окръг Рокасъл, Кентъки. Приблизително една седмица след дерайлирането Storm-1376 започва кампания в социалните медии, която подсилва дерайлирането, разпространява антиамерикански правителствени конспиративни теории и подчертава политическите разделения сред американските избиратели, като в крайна сметка насърчава недоверието и разочарованието от правителството на САЩ. Storm-1376 призова аудиторията да се замисли дали правителството на САЩ не е причинило дерайлирането и дали „умишлено не крие нещо“.13 Някои съобщения дори сравняват дерайлирането с теориите за прикриване на 11 септември и Пърл Харбър.14

Китайските подставени лица за ОВ търсят гледни точки по политически теми в САЩ

В доклада ни от септември 2023 г. подчертахме как акаунти в социалните медии, свързани с ККП, са започнали да се представят за американски избиратели, като са се представяли за американци от целия политически спектър и са отговаряли на коментари на автентични потребители.15 Тези усилия за оказване на влияние върху междинните избори в САЩ през 2022 г. отбелязаха първия случай в наблюдаваната китайска ОВ.

Центърът за анализ на заплахите на Microsoft (MTAC) наблюдава малко, но постоянно увеличаване на броя на допълнителни акаунти на подставени лица, за които с умерена увереност оценяваме, че се управляват от ККП. В X (бивш Twitter) тези акаунти са създадени още през 2012 г. или 2013 г., но започват да публикуват под сегашните си лица едва в началото на 2023 г., което предполага, че акаунтите са придобити наскоро или са били пренасочени. Тези подставени лица публикуват както първоначално създадени видеоклипове, миймове и инфографики, така и рециклирано съдържание от други високопоставени политически акаунти. Тези акаунти публикуват почти изключително вътрешни проблеми на САЩ – от употребата на наркотици в САЩ, имиграционните политики и расовото напрежение – но понякога коментират теми, които представляват интерес за Китай – като например изхвърлянето на отпадъчни води от Фукушима или китайски дисиденти.

Екранна снимка на компютър с текст „Война и конфликти, проблеми с наркотици, расови взаимоотношения и т.н.“
Фигура 11: През лятото и есента китайските групи и персони с фалшива онлайн самоличност често използваха ангажиращи визуални ефекти — понякога подобрени чрез генеративен AI — в публикациите си, когато обсъждаха политически проблеми и текущи събития в САЩ.
Наред с политически мотивираните инфографики или видеоклипове тези акаунти често питат последователите си дали са съгласни с дадената тема. Някои от тези акаунти са публикували материали за различни кандидати за президент, след което са помолили последователите си да коментират дали ги подкрепят, или не. Тази тактика може да е с цел търсене на допълнителна ангажираност или евентуално за получаване на информация за това как американците гледат на политиката на САЩ. Още такива акаунти може да действат с цел да увеличат събирането на разузнавателна информация за ключови демографски групи, гласуващи в САЩ.
Сравнение на изображения на разделен екран: вляво - военен самолет, излитащ от самолетоносач, и вдясно - група хора, седящи зад бариера
Фигура 12: Китайски подставени лица искат мнения по политически теми от други потребители в X

През 2023 г. севернокорейските участници в киберзаплахи откраднаха стотици милиони долари в криптовалута, извършиха атаки по веригата за доставка на софтуер и се насочиха към предполагаемите си противници в областта на националната сигурност. Техните операции генерират приходи за севернокорейското правителство - особено за оръжейната му програма – и събират разузнавателна информация за Съединените щати, Южна Корея и Япония.16

Инфографики, показващи секторите и държавите, които са най-често обект на киберзаплахи.
Фигура 13: Секторите и държавите, към които Северна Корея е насочвала най-много атаки от юни 2023 г. до януари 2024 г., въз основа на данни от „Набор от ресурси на Microsoft срещу заплахи“ за уведомления за национални държави.

Севернокорейски кибер участници заграбват рекордно количество криптовалута, за да генерират приходи за държавата.

По оценки на ООН от 2017 г. насам севернокорейските кибер участници са откраднали над 3 млрд. щатски долара в криптовалута.17 Само през 2023 г. са извършени кражби на обща стойност между 600 млн. и 1 млрд. щатски долара. Съобщава се, че с тези откраднати средства се финансира над половината от ядрената и ракетната програма на страната, което дава възможност на Северна Корея да разпространява и тества оръжия въпреки санкциите.18 През изминалата година Северна Корея проведе многобройни ракетни изпитания и военни учения и дори успешно изстреля военен разузнавателен спътник в космоса на 21 ноември 2023 г.19

Трима участници в заплахи, проследени от Microsoft – Jade Sleet, Sapphire Sleet и Citrine Sleet - се фокусираха най-много върху цели, свързани с криптовалута, от юни 2023 г. насам. Jade Sleet е извършвала големи обири на криптовалута, докато Sapphire Sleet е провеждала по-малки, но по-чести операции за кражба на криптовалута. Microsoft приписва на Jade Sleet кражбата на поне 35 млн. USD от базирана в Естония фирма за криптовалути в началото на юни 2023 г. Microsoft приписва на Jade Sleet и кражбата на над 125 USD долара от базирана в Сингапур платформа за криптовалути месец по-късно. Jade Sleet започва да компрометира онлайн казина за криптовалута през август 2023 г.

Sapphire Sleet последователно компрометира многобройни служители, включително ръководители и разработчици в организации за криптовалути, рисков капитал и други финансови организации. Sapphire Sleet също така разработи нови техники, като например изпращане на фалшиви покани за виртуални срещи, съдържащи връзки към домейна на атакуващия, и регистриране на фалшиви уебсайтове за набиране на персонал. Citrine Sleet последва атаката от март 2023 г. по веригата за доставки на 3CX, като компрометира фирма за криптовалути и цифрови активи, базирана в Турция, която е надолу по веригата. Жертвата е хоствала уязвима версия на приложението 3CX, свързана с компрометирането на веригата за доставки.

Севернокорейски участници в кибератаки заплашват ИТ сектора със спиърфишинг и атаки по веригата за доставки на софтуер

Севернокорейски участници в заплахите също така извършиха атаки по веригата за доставка на софтуер на ИТ фирми, което доведе до достъп до клиенти надолу по веригата. Jade Sleet използва репозиториуми GitHub и оръжейни пакети npm в социално-инженерна спиърфишинг кампания, насочена към служители на организации, занимаващи се с криптовалути и технологии.20 Атакуващите се представяха за разработчици или специалисти по подбор на персонал, приканваха целите да си сътрудничат с репозиториум GitHub и ги убеждаваха да клонират и изпълняват съдържанието му, което съдържаше зловредни пакети npm. Diamond Sleet извърши компрометиране на веригата за доставки на базирана в Германия ИТ компания през август 2023 г. и въоръжи приложение от базирана в Тайван ИТ фирма, за да извърши атака по веригата за доставки през ноември 2023 г. Както Diamond Sleet, така и Onyx Sleet използваха уязвимостта TeamCity CVE-2023- 42793 през октомври 2023 г., която позволява на нападателя да извърши атака с отдалечено изпълнение на код и да получи административен контрол над сървъра. Diamond Sleet използва тази техника, за да компрометира стотици жертви от различни индустрии в САЩ и европейски държави, включително Обединеното кралство, Дания, Ирландия и Германия. Onyx Sleet използва същата уязвимост, за да компрометира поне 10 жертви, включително доставчик на софтуер в Австралия и правителствена агенция в Норвегия и използва инструментариум след компрометирането, за да изпълни допълнителен полезен товар.

Севернокорейски участници в кибератаки се насочиха към Съединените щати, Южна Корея и техните съюзници

Севернокорейски участници в заплахи продължиха да се насочват към своите предполагаеми противници в областта на националната сигурност. Тази кибернетична дейност е пример за геополитическата цел на Северна Корея да противодейства на тристранния съюз между Съединените щати, Южна Корея и Япония. Лидерите на трите държави затвърдиха това партньорство по време на срещата на върха в Кемп Дейвид през август 2023 г.21. Ruby Sleet и Onyx Sleet продължават тенденциите си да се насочват към аерокосмически и отбранителни организации в САЩ и Южна Корея. Emerald Sleet продължи кампанията си за разузнаване и спиърфишинг, насочена към дипломати и експерти по Корейския полуостров в правителството, мозъчните тръстове/неправителствените организации, медиите и образованието. През юни 2023 г. Pearl Sleet продължи операциите си, насочени към южнокорейски организации, които взаимодействат със севернокорейски дезертьори и активисти, фокусирани върху въпросите на човешките права в Северна Корея. Microsoft оценява, че мотивът зад тези дейности е събирането на разузнавателна информация.

Севернокорейски участници внедряват задни вратички в легитимен софтуер

Севернокорейски участници в заплахи използват и задни вратички в легитимен софтуер, възползвайки се от уязвимостите в съществуващия софтуер. През първата половина на 2023 г. Diamond Sleet често е използвала въоръжен VNC зловреден софтуер, за да компрометира жертвите. През юли 2023 г. Diamond Sleet също така възобнови използването на въоръжен зловреден софтуер за четене на PDF файлове – техники, които Наборът от ресурси на Microsoft срещу заплахи анализира в публикация в блога от септември 2022 г.22 Ruby Sleet също така вероятно е използвал през декември 2023 г. задна вратичка за инсталиране на южнокорейска програма за електронни документи.

Северна Корея е използвала инструменти за изкуствен интелект, за да даде възможност за злонамерени кибернетични дейности

Севернокорейските участници в заплахи се адаптират към ерата на изкуствения интелект. Те се научават да използват инструменти, задвижвани от големи езикови модели на ИИ (LLM), за да направят операциите си по-ефективни и ефикасни. Например Microsoft и OpenAI наблюдават, че Emerald Sleet използва LLM, за да подобри спиърфишинг кампаниите, насочени към експерти от Корейския полуостров.23 Emerald Sleet използва LLM, за да проучва уязвимости и да извършва разузнаване на организации и експерти, фокусирани върху Северна Корея. Emerald Sleet също така е използвала LLM за отстраняване на технически проблеми, за изпълнение на основни задачи по създаване на скриптове и за изготвяне на съдържание за спиърфишинг съобщения. Microsoft си партнира с OpenAI, за да деактивира акаунти и активи, свързани с Emerald Sleet.

През октомври Китай ще отбележи 75-ата годишнина от основаването на Китайската народна република, а Северна Корея ще продължи да развива ключови програми за модерни оръжия. Междувременно, докато населението в Индия, Южна Корея и Съединените щати се отправя към избирателните секции, вероятно ще видим как китайските кибер участници и участници за оказване на влияние, а до известна степен и севернокорейските кибер участници, работят за атакуване на тези избори.

Китай като минимум ще създава и разпространява съдържание, генерирано от изкуствен интелект, което е от полза за позициите му в тези важни избори. Макар че въздействието на такова съдържание върху аудиторията остава слабо, все по-честото експериментиране на Китай в областта на подсилването на миймове, видеоклипове и аудиоматериали ще продължи - и може да се окаже ефективно в бъдеще. Макар че китайските кибер участници отдавна провеждат разузнаване на американските политически институции, ние имаме готовност да наблюдаваме взаимодействие на агенти за влияние с американци с цел ангажиране и потенциално проучване на перспективите за политиката на САЩ.

И накрая, тъй като Северна Корея предприема нови правителствени политики и преследва амбициозни планове за изпитания на оръжия, можем да очакваме все по-сложни обири на криптовалута и атаки по веригата за доставки, насочени към отбранителния сектор, които служат както за вливане на пари в режима, така и за улесняване на разработването на нови военни способности.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出", 1 януари 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?„, 11 януари 2024 г., tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    „Вероятна кампания на КНР „Spamouflage“ е насочена към десетки канадски членове на парламента в кампания за дезинформация“, октомври 2023 г,

  8. [8]
  9. [9]

    Многобройни източници са документирали продължаващата пропагандна кампания на китайското правителство, насочена към предизвикване на международно възмущение от решението на Япония да изхвърли ядрените отпадъчни води от аварията в АЕЦ „Фукушима-1“ през 2011 г., вж: Китайската дезинформация подклажда гнева заради изхвърлянето на водата от Фукушима“, 31 август 2023 г. „Япония е обект на китайска пропаганда и тайна онлайн кампания“, 8 юни 2023 г.

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Операции за кибервлияние Насочвани от държава Отчети за националното състояние Социално инженерство Извършители, представляващи заплаха

Свързани статии

Цифровите заплахи от Източна Азия увеличават обхвата и ефективността си

Потопете се и проучете новите тенденции в развиващия се пейзаж на заплахите в Източна Азия, където Китай провежда както широко разпространени кибероперации, така и операции за оказване на влияние, докато севернокорейските киберзаплахи демонстрират все по-голяма сложност.
Научете повече

Подхранвана от доверието икономика: измами със социално инженерство

Запознайте се с променящия се цифров пейзаж, в който доверието е едновременно валута и уязвимост. Открийте тактиките за измама чрез социално инженерство, които кибератаките използват най-често, и разгледайте стратегиите, които могат да ви помогнат да разпознаете и изпреварите заплахите от социално инженерство, предназначени да манипулират човешката природа.
Научете повече

Иран увеличава кибероперациите за влияние в подкрепа на Хамас

Открийте подробности за кибероперациите на Иран за оказване на влияние в подкрепа на Хамас в Израел. Научете как операциите преминават през различните фази на войната и разгледайте четирите основни тактики, техники и процедури за влияние, които Иран предпочита най-много.
Научете повече

Следвайте Microsoft Security