Trace Id is missing

Russiske trusselsaktører forbereder sig på at udnytte krigstræthed

Download
Del
Påvirkende cyberhandlinger
Introduktion
Russiske cyber- og indflydelsesoperatører har udvist tilpasningsevne under hele krigen mod Ukraine og forsøgt sig med nye måder at opnå fordele på slagmarken og udhule Kyivs kilder til indenlandsk og ekstern støtte. Denne rapport beskriver cybertrusler og ondsindet påvirkning, som Microsoft har observeret mellem marts og oktober 2023. I denne periode var det ukrainske militær og civilbefolkningen igen i sigtekornet, mens risikoen for indtrængen og manipulation voksede til enheder verden over, der hjælper Ukraine og forsøger at stille russiske styrker til ansvar for krigsforbrydelser.

Faserne i Ruslands krig i Ukraine fra januar 2022 til juni 2023

Diagram over faserne i Ruslands krig i Ukraine
Få mere at vide om dette billede på side 3 i den fulde rapport

Trusselshandlinger, som Microsoft observerede i perioden marts til oktober, afspejlede kombinerede operationer for at demoralisere den ukrainske offentlighed og et øget fokus på cyberspionage. Russiske militær-, cyber- og propagandaaktører rettede samordnede angreb mod den ukrainske landbrugssektor - et mål for civil infrastruktur - midt i en global kornkrise. Cybertrusselsaktører, der er tilknyttet den russiske militære efterretningstjeneste (GRU), har kastet sig ud i cyberspionageoperationer mod det ukrainske militær og dets udenlandske forsyningslinjer. Mens det internationale samfund forsøgte at straffe krigsforbrydelser, gik grupper med tilknytning til Ruslands udenrigsefterretningstjeneste (SVR) og føderale sikkerhedstjeneste (FSB) efter efterforskere af krigsforbrydelser i og uden for Ukraine.

På indflydelsesfronten har det korte oprør i juni 2023 og den senere død af Yevgeny Prigozhin, ejer af Wagner Group og den berygtede troldefarm Internet Research Agency, skabt spørgsmål om fremtiden for Ruslands indflydelsesmuligheder. I løbet af sommeren observerede Microsoft udbredte operationer fra organisationer, der ikke var forbundet med Prigozhin, hvilket illustrerer Ruslands fremtid med skadelige påvirkningskampagner uden ham.

Microsoft Threat Intelligence og svar på hændelse-teams har underrettet og arbejdet med berørte kunder og offentlige partnere for at afbøde den trusselsaktivitet, der er beskrevet i denne rapport.

Russiske styrker er mere afhængige af konventionelle våben for at forvolde skade i Ukraine, men cyber- og påvirkningshandlinger er stadig en presserende trussel mod sikkerheden i computernetværk og samfundslivet hos Ukraines allierede i regionen, NATO og globalt. Ud over at opdatere vores sikkerhedsprodukter for proaktivt at forsvare vores kunder over hele verden, deler vi disse oplysninger for at tilskynde til fortsat årvågenhed over for trusler mod integriteten af det globale informationsrum.

Russiske kinetiske kræfter, cyberkræfter og propagandakræfter gik sammen mod Ukraines landbrugssektor denne sommer. Militærangreb ødelagde korn i mængder, der kunne have brødfødt over 1 million mennesker i et år, mens pro-russiske medier pressede på for at retfærdiggøre angrebene på trods af de humanitære omkostninger.1

Fra juni til september observerede Microsoft Threat Intelligence netværksindtrængning, dataudtrækning og endda destruktiv malware, der blev anvendt mod organisationer med tilknytning til den ukrainske landbrugsindustri og kornrelaterede shipping-infrastruktur. I juni og juli stjal Aqua Blizzard (tidligere ACTINIUM) data fra et firma, der hjælper med at spore afgrødeudbytte. Seashell Blizzard (tidligere IRIDIUM) brugte varianter af rudimentær destruktiv malware, som Microsoft registrerer som WalnutWipe/SharpWipe, mod netværk i fødevare-/landbrugssektoren.2

Fordeling af russiske digitale propagandaaktiviteter rettet mod ukrainsk landbrug

Viser russiske digitale propagandaaktiviteter rettet mod ukrainsk landbrug
Få mere at vide om dette billede på side 4 i den fulde rapport

I juli trak Moskva sig ud af Black Sea Grain Initiative, et humanitær initiativ, der hjalp med at afværge en global fødevarekrise og gjorde det muligt at transportere mere end 725.000 tons hvede til personer i Afghanistan, Etiopien, Kenya, Somalia og Yemen i løbet af det første år.3 Efter Moskvas handling kastede pro-russiske medier og Telegram-kanaler sig ud i at smæde korninitiativet og retfærdiggøre Moskvas beslutning. Propagandakanaler fremstillede kornkorridoren som et skalkeskjul for narkosmugling eller som et middel til at overføre våben i det skjulte for at nedtone aftalens humanitære betydning.

I flere rapporter fra 2023 har vi fremhævet, hvordan legitime eller pseudo-hacktivistgrupper med formodede forbindelser til GRU har arbejdet på at forstærke Moskvas utilfredshed med modstandere og overdrive antallet af pro-russiske cyberstyrker. 4 5 6 Denne sommer har vi også set hacktivist-karakterer på Telegram sprede beskeder, der forsøger at retfærdiggøre militære angreb på civil infrastruktur i Ukraine og fokuserede DDoS-angreb (distributed denial-of-service) mod Ukraines allierede i udlandet. Microsofts fortsatte overvågning af hacktivistgruppers samspil med nation-stat-aktører giver yderligere indsigt i begge enheders operationelle tempo og de måder, hvorpå deres aktiviteter supplerer hinandens mål på.

Indtil videre har vi identificeret tre grupper – Solntsepek, InfoCentr og Cyber Army of Russia – som interagerer med Seashell Blizzard. Seashell Blizzards forhold til hacktivisterne kan være baseret på kortsigtet brug snarere end kontrol, baseret på hacktivisternes midlertidige stigninger i cyberkapacitet, der falder sammen med Seashell Blizzards angreb. Med jævne mellemrum lancerer Seashell Blizzard et destruktivt angreb, som Telegram-hacktivistgrupper offentligt tager æren for. Hacktivisterne går derefter tilbage til de lavkomplekse handlinger, de normalt udfører, herunder DDoS-angreb eller lækage af ukrainske personlige oplysninger. Netværket repræsenterer en fleksibel infrastruktur, som APT kan bruge til at fremme deres aktiviteter.

Drejeskive af pro-russisk hacktivisme

Diagram, der viser drejeskive af pro-russisk hacktivisme
Få mere at vide om dette billede på side 5 i den fulde rapport

Russiske styrker deltager ikke kun i handlinger, der kan være i strid med international lov, men er også rettet mod de kriminelle efterforskere og anklagere, der opbygger sager mod dem.

Microsofts telemetri afslørede, at aktører med forbindelse til Ruslands militær og udenlandske efterretningstjenester i løbet af foråret og sommeren i år angreb og brød ind i ukrainske juridiske og efterforskningsmæssige netværk og netværk hos internationale organisationer, der er involveret i efterforskning af krigsforbrydelser.

Disse cyberhandlinger fandt sted midt i stigende spændinger mellem Moskva og grupper som Den Internationale Straffedomstol (ICC), der udstedte en arrestordre på den russiske præsident Putin for krigsforbrydelser i marts.7

I april kompromitterede GRU-tilknyttede Seashell Blizzard netværket hos et advokatfirma, der fokuserer på sager om krigsforbrydelser. Aqua Blizzard, der tilskrives FSB, brød ind i det interne netværk hos et stort efterforskningsorgan i Ukraine i juli og brugte derefter kompromitterede konti til at sende phishing-mails til flere ukrainske teleselskaber i september.

SVR-aktører fra Midnight Blizzard (tidligere NOBELIUM) kompromitterede og fik adgang til dokumenter fra en juridisk organisation med globalt ansvar i juni og juli, før Microsoft svar på hændelse greb ind for at afhjælpe indbruddet. Denne aktivitet var en del af et mere aggressivt fremstød fra denne aktør for at bryde ind i diplomatiske, forsvarsmæssige, offentlige og it-organisationer verden over.

En gennemgang af Microsoft Security-meddelelser til berørte kunder siden marts afslørede, at Midnight Blizzard har forsøgt at få adgang til mere end 240 organisationer, hovedsageligt i USA, Canada og andre europæiske lande, med varierende succes.8

Næsten 40 procent  af de udvalgte organisationer var statslige, mellemstatslige eller politikfokuserede tænketanke.

Russiske trusselsaktører brugte forskellige teknikker til at få indledende adgang og etablere vedholdenhed på målrettede netværk. Midnight Blizzard brugte en altomfattende tilgang med adgangskodespray, legitimationsoplysninger erhvervet fra tredjeparter, troværdige social engineering-kampagner via Teams og misbrug af cloud-tjenester til at infiltrere cloudmiljøer.9 Aqua Blizzard integrerede HTML-smugling i phishing-kampagner med indledende adgang for at reducere sandsynligheden for at blive opdaget af antivirus-signaturer og mail-sikkerhedskontroller.

Seashell Blizzard udnyttede perimeter-serversystemer som Exchange- og Tomcat-servere og brugte samtidig piratkopieret Microsoft Office-software, der indeholdt DarkCrystalRAT-bagdøren, til at få adgang. Bagdøren gjorde det muligt for aktøren at indlæse en nyttelast i anden fase, som vi kalder Shadowlink, en softwarepakke forklædt som Microsoft Defender, der installerer TOR-tjenesten på en enhed og giver trusselsaktøren skjult adgang via TOR-netværket.10

Diagram, der viser, hvordan Shadowlink installerer TOR-tjenesten på en softwareenhed
Få mere at vide om dette billede på side 6 i den fulde rapport 

Siden de russiske styrker indledte deres offensiv i foråret 2023, har GRU- og FSB-tilknyttede cyberaktører koncentreret deres indsats om at indsamle efterretninger fra ukrainsk kommunikation og militær infrastruktur i kampzoner.

I marts knyttede Microsoft Threat Intelligence Seashell Blizzard med potentielle phishing-lokker og -pakker, der så ud til at være skræddersyet til at ramme en vigtig komponent i Ukraines militære kommunikationsinfrastruktur. Vi havde ikke noget overblik over opfølgningen. Ifølge den ukrainske sikkerhedstjeneste (SBU) omfattede Seashell Blizzards andre forsøg på at få adgang til ukrainske militære netværk malware, der ville gøre det muligt for dem at indsamle oplysninger om konfigurationen af tilsluttede Starlink-satellitterminaler og finde frem til ukrainske militære enheders placering.11 12 13

Secret Blizzard (tidligere KRYPTON) har også sikret sig fodfæste for efterretningsindsamling i ukrainske forsvarsrelaterede netværk. I samarbejde med Government Computer Emergency Response Team of Ukraine (CERT-UA) har Microsoft Threat Intelligence identificeret tilstedeværelsen af Secret Blizzards DeliveryCheck og Kazuar bagdørs-malware på de ukrainske forsvarsstyrkers systemer. 14 Kazuar tillader mere end 40 funktioner, herunder tyveri af legitimationsoplysninger fra en række applikationer, godkendelsesdata, proxyer og cookies samt datahentning fra operativsystemets logfiler.15 Secret Blizzard var især interesseret i at stjæle filer med beskeder fra beskedprogrammet Signal Desktop, hvilket ville give dem mulighed for at læse private Signal-chats.16

Forest Blizzard (tidligere STRONTIUM) fornyede sit fokus på sine traditionelle spionage-mål, forsvarsrelaterede organisationer i USA, Canada og Europa, hvis militære støtte og træning holder de ukrainske styrker rustet til at fortsætte kampen.

Siden marts har Forest Blizzard forsøgt at få adgang til forsvarsorganisationer via phishing-meddelelser, der indeholdt nye og undvigende teknikker. I august sendte Forest Blizzard f.eks. en phishing-mail til kontoindehavere hos en europæisk forsvarsorganisation, der indeholdt en exploit for CVE-2023-38831. CVE-2023-38831 er en sårbarhed i sikkerheden i WinRAR-software, der gør det muligt for angribere at udføre vilkårlig kode, når en bruger forsøger at se en godartet fil i et ZIP-arkiv.

Aktøren udnytter også legitime udviklerværktøjer som Mockbin og Mocky til kommando og kontrol. I slutningen af september gennemførte aktøren en phishing-kampagne, hvor han misbrugte GitHub og Mockbin-tjenester. CERT-UA og andre cybersikkerhedsfirmaer offentliggjorde aktiviteten i september og bemærkede, at aktøren brugte underholdningssider for voksne til at lokke ofre til at klikke på et link eller åbne en fil, der ville omdirigere dem til ondsindet Mockbin-infrastruktur.17 18Microsoft observerede et skift til at bruge en side med teknologitema i slutningen af september. I hvert tilfælde sendte aktørerne en phishing-mail med et ondsindet link, der omdirigerede offeret til en Mockbin-URL og downloadede en zip-fil med en ondsindet LNK-fil (genvej), der udgav sig for at være en Windows-opdatering. LNK-filen vil derefter downloade og udføre et andet PowerShell-script for at etablere vedholdenhed og udføre opfølgende handlinger som datatyveri.

Eksempel på skærmbilledet af PDF-lure i forbindelse med Forest Blizzard-phish af forsvarsorganisationer.

Trusselsaktør udgiver sig for at være ansat i Europa-Parlamentet
Vedhæftet fil til mail: "Dagsorden 28. august - 03. september 2023" for møder i Europa-Parlamentet. Pressemeddelelse. 160 KB bulletin.rar
Figur 5: Eksempel på skærmbillede af PDF-lure i forbindelse med Forest Blizzard-phish af forsvarsorganisationer.  Få mere at vide om dette billede på side 8 i den fulde rapport

I løbet af 2023 fortsatte MTAC observationen af Storm-1099, en indflydelsesaktør med tilknytning til Rusland, som siden foråret 2022 har været ansvarlig for en sofistikeret pro-russisk påvirkningshandlinger rettet mod internationale støtter af Ukraine.

Storm-1099 er måske mest kendt for den omfattende webstedsforfalskning, som forskningsgruppen EU DisinfoLab19 har døbt "Doppelganger", men deres aktiviteter omfatter også unikke brandede medier som Reliable Recent News (RRN), multimedieprojekter som den anti-ukrainske tegnefilmserie "Ukraine Inc." og offentlige demonstrationer, der bygger bro mellem den digitale og den fysiske verden. Selvom tilskrivningen er ufuldstændig, har velfinansierede russiske politiske teknologer, propagandister og PR-specialister med påviselige forbindelser til den russiske stat gennemført og støttet adskillige Storm-1099-kampagner.20

Storm-1099's Doppelganger-handling er stadig i fuld gang på tidspunktet for denne rapport, på trods af vedholdende forsøg fra teknologivirksomheder og forskningsenheder på at rapportere om og begrænse dens rækkevidde.21 Mens denne aktør historisk set har været rettet mod Vesteuropa, overvejende Tyskland, har den også været rettet mod Frankrig, Italien og Ukraine. I de seneste måneder har Storm-1099 skiftet sit fokus for placering mod USA og Israel. Denne overgang begyndte allerede i januar 2023, midt i omfattende protester i Israel mod den foreslåede revision af retsvæsenet, og blev intensiveret efter udbruddet af krigen mellem Israel og Hamas i begyndelsen af oktober. Nyoprettede brandede outlets afspejler en stigende prioritering af amerikansk politik og det kommende amerikanske præsidentvalg i 2024, mens eksisterende Storm-1099-aktiver kraftigt har skubbet på den falske påstand om, at Hamas købte ukrainske våben på det sorte marked til sine angreb i Israel den 7. oktober.

Senest, i slutningen af oktober, observerede MTAC konti, som Microsoft vurderede til at være Storm-1099-aktiver, der promoverede en ny slags forfalskning ud over falske artikler og hjemmesider på sociale medier. Det er en række korte falske nyhedsklip, der tilsyneladende er skabt af velrenommerede medier, som spreder pro-russisk propaganda for at underminere støtten til både Ukraine og Israel. Selvom denne taktik med at bruge videoefterligninger til at fremme propagandalinjer, er en taktik, der i de seneste måneder er blevet observeret i stigende grad af pro-russiske aktører, understreger Storm-1099's fremstød af sådant videoindhold kun aktørens varierende indflydelsesteknikker og mål til deres budskaber.

Artikler udgivet på falske dobbeltgængersider

Kampagnen, der blev udført af den russiske cyberpåvirkningsaktør Storm 1099, blev observeret og sporet af Microsoft.
Observeret og sporet af Microsoft den 31. oktober 2023. Artikler udgivet på falske Doppelganger-sider; kampagnen udført af den russiske cyberpåvirkningsaktør Storm 1099.
Få mere at vide om dette billede på side 9 i den komplette rapport

Siden Hamas-angrebet på Israel den 7. oktober har russiske statsmedier og statslige indflydelsesaktører forsøgt at udnytte krigen mellem Israel og Hamas til at fremme anti-ukrainske fortællinger, anti-amerikanske følelser og forværre spændingerne mellem alle parter. Selvom denne aktivitet er reaktiv i forhold til krigen og generelt begrænset i omfang, omfatter den både åbne statssponsorerede medier og skjulte sociale medienetværk med tilknytning til Rusland, der spænder over flere sociale medieplatforme.

 

Beretninger fremmet af russiske propagandister og pro-russiske sociale medier forsøger at sætte Israel op mod Ukraine og mindske Vestens støtte til Kiev ved fejlagtigt at hævde, at Ukraine bevæbnede militante Hamas-grupper i forfalskninger af velrenommerede medier og manipulerede videoer. En uægte video, der hævdede, at udenlandske rekrutter, herunder amerikanere, blev overført fra Ukraine for at deltage i de israelske forsvarsstyrkers (IDF) operationer på Gazastriben, og som fik hundredtusindvis af visninger på tværs af sociale medier, er blot et eksempel på sådant indhold. Denne strategi både spreder anti-ukrainske fortællinger til et bredt publikum og skaber engagement ved at forme falske fortællinger, så de passer til store nyhedshistorier.

 

Rusland udvider også den digitale påvirkningsaktivitet med promovering af begivenheder i den virkelige verden. Russiske medier har aggressivt promoveret opildnende indhold, der forstærker protester relateret til krigen mellem Israel og Hamas i Mellemøsten og Europa, herunder via korrespondenter på stedet fra russiske statslige nyhedsbureauer. I slutningen af oktober 2023 påstod de franske myndigheder, at fire moldoviske statsborgere sandsynligvis havde forbindelse til stencileret Davidsstjerne-graffiti på offentlige steder i Paris. To af moldoverne hævdede angiveligt, at de blev instrueret af en russisktalende person, hvilket tyder på et muligt russisk ansvar for graffitien. Billeder af graffitien blev senere forstærket af Storm-1099-aktiver.22

 

Rusland vurderer sandsynligvis, at den igangværende Israel-Hamas-konflikt er til deres geopolitiske fordel, da de mener, at konflikten distraherer Vesten fra krigen i Ukraine. MTAC vurderer, at sådanne aktører vil fortsætte med at sprede onlinepropaganda og udnytte andre store internationale begivenheder til at fremprovokere spændinger og forsøge at besværliggøre Vestens evne til at modvirke Ruslands invasion af Ukraine, idet de følger ofte anvendte taktikker i Ruslands etablerede strategiplan.

Anti-ukrainsk propaganda har i vid udstrækning gennemsyret russisk påvirkningsaktivitet siden før den fuldskala invasion i 2022. I de seneste måneder har pro-russiske og russisk-tilknyttede påvirkningsnetværk imidlertid fokuseret på at bruge video som et mere dynamisk medie til at sprede disse budskaber kombineret med at forfalske autoritative medier for at udnytte deres troværdighed. MTAC har observeret to igangværende kampagner udført af ukendte, pro-russiske aktører, der involverer efterligning af mainstream nyheder og underholdningsmedier for at fremme manipuleret videoindhold. Ligesom tidligere russiske propagandakampagner fokuserer denne aktivitet på at fremstille Ukraines præsident Volodymyr Zelensky som en korrupt narkoman og vestlig støtte til Kiev som skadelig for landenes egne befolkninger. Indholdet i begge kampagner søger konsekvent at mindske støtten til Ukraine, men tilpasser fortællingerne til nye nyhedsbegivenheder, som implosionen af Titan-undervandsfartøjet i juni 2023 eller krigen mellem Israel og Hamas, for at nå ud til et bredere publikum.

Diagram med oversigt over efterlignede nyhedsklip

viser en oversigt over efterligninger af nyhedsklip
Få mere at vide om dette billede på side 11 i den komplette rapport

En af disse video-centrerede kampagner involverer en række fabrikerede videoer, der spreder falske, anti-ukrainske, Kreml-affilierede temaer og fortællinger under dække af korte nyhedsrapporter fra mainstream-medier. MTAC observerede første gang denne aktivitet i april 2022, da pro-russiske Telegram-kanaler postede en falsk BBC News-video, som hævdede, at det ukrainske militær var ansvarlig for et missilangreb, der dræbte dusinvis af civile. Videoen bruger BBC's logo, farveskema og æstetik og har engelsksprogede undertekster, der indeholder fejl, som ofte opstår, når man oversætter fra slaviske sprog til engelsk.

Denne kampagne fortsatte i hele 2022 og accelererede i sommeren 2023. På tidspunktet for udarbejdelsen af denne rapport har MTAC observeret mere end et dusin efterlignede medievideoer i kampagnen, hvor de hyppigst efterlignede medier er BBC News, Al Jazeera og EuroNews. Russisksprogede Telegram-kanaler forstærkede først videoerne, før de spredte sig til almindelige sociale medieplatforme

Skærmbilleder af videoer, der efterligner logo og æstetik fra BBC News (venstre) og EuroNews (højre)

Fabrikerede nyhedsklip med misinformation om Rusland
Microsoft Threat Intelligence: Fabrikerede nyhedslinks Ukraines militære fiasko, HAMAS-angreb, falsk Israel-ansvar
Fabrikerede nyhedsklip med misinformation om Rusland. Skærmbilleder af videoer, der efterligner logo og æstetik fra BBC News (venstre) og EuroNews (højre). Få mere at vide om dette billede på side 12 i den fulde rapport

Selvom dette indhold har haft begrænset rækkevidde, kan det udgøre en troværdig trussel mod fremtidige mål, hvis det raffineres eller forbedres med kraften fra kunstig intelligens eller forstærkes af en mere troværdig budbringer. Den pro-russiske aktør, der er ansvarlig for de efterlignede nyhedsklip, er følsom over for aktuelle verdensbegivenheder og kvik. For eksempel hævdede en efterlignet BBC News-video fejlagtigt, at den undersøgende journalistiske organisation Bellingcat havde afsløret, at våben, der blev brugt af de militante Hamas-grupper, blev solgt til gruppen af ukrainske militærfolk på det sorte marked. Videoens indhold afspejlede nøje offentlige udtalelser fra den tidligere russiske præsident Dmitry Medvedev, blot en dag før videoen blev frigivet, hvilket viser kampagnens stærke overensstemmelse med den russiske regerings åbenlyse budskaber.23

Fra juli 2023 begyndte pro-russiske kanaler på sociale medier at cirkulere videoer af berømtheder, der var redigeret på en bedragerisk måde for at fremme antiukrainsk propaganda. Videoerne som er lavet af en ukendt russisk-orienteret indflydelsesaktør, ser ud til at udnytte Cameo, en populær hjemmeside, hvor berømtheder og andre offentlige personer kan optage og sende personlige videobeskeder til brugere, der betaler et gebyr. De korte videobeskeder, som ofte indeholder berømtheder, der beder "Vladimir" om at søge hjælp for stofmisbrug, er redigeret af den ukendte skuespiller til at inkludere emojis og links. Videoer cirkulerer gennem pro-russiske sociale medier og forstærkes af russiske statstilknyttede og statsstyrede medier, hvor de fejlagtigt fremstilles som beskeder til Ukraines præsident Volodymyr Zelensky. I nogle tilfælde tilføjede skuespilleren mediernes logoer og de kendtes håndtag på de sociale medier for at få videoen til at ligne nyhedsklip fra rapporter om de kendtes formodede offentlige appeller til Zelensky eller de kendtes egne opslag på de sociale medier. Kreml-embedsmænd og russisk statsstøttet propaganda har længe promoveret den falske påstand om, at præsident Zelensky kæmper med stofmisbrug, men denne kampagne markerer en ny tilgang fra pro-russiske aktører, der søger at fremme fortællingen i det online informationsrum.

Den første video i kampagnen, der blev set i slutningen af juli, indeholder emojis fra det ukrainske flag, vandmærker fra det amerikanske medie TMZ og links til både et misbrugscenter og en af præsident Zelenskys officielle sider på de sociale medier. I slutningen af oktober 2023 har pro-russiske sociale mediekanaler cirkuleret yderligere seks videoer. Især den 17. august offentliggjorde det statsejede russiske nyhedsbureau RIA Novosti en artikel om en video med den amerikanske skuespiller John McGinley, som om det var en autentisk appel fra McGinley til Zelensky.24 Udover McGinley omfatter berømtheder, hvis indhold vises i kampagnen, skuespillerne Elijah Wood, Dean Norris, Kate Flannery og Priscilla Presley, musikeren Shavo Odadjian og bokseren Mike Tyson. Andre statstilknyttede russiske medier, herunder det amerikansk-sanktionerede medie Tsargrad, har også forstærket kampagnens indhold.25

Stillbilleder fra videoer, der viser berømtheder, som tilsyneladende støtter pro-russisk propaganda

stillbilleder fra videoer med berømtheder, der tilsyneladende promoverer pro-russisk propaganda
Få mere at vide om dette billede på side 12 i den komplette rapport

Ifølge Ukraines militærchef er de russiske styrker ved at bevæge sig ind i en ny fase af statisk skyttegravskrig, hvilket tyder på en endnu mere langvarig konflikt.26 Kiev vil have brug for en stabil forsyning af våben og folkelig støtte for at fortsætte modstanden, og vi vil sandsynligvis se russiske cyber- og indflydelsesoperatører intensivere indsatsen for at demoralisere den ukrainske befolkning og nedbryde Kievs eksterne kilder til militær og finansiel bistand.

Når vinteren nærmer sig, kan vi igen se militære angreb rettet mod el- og vandforsyninger i Ukraine, kombineret med destruktive wiper-angreb på disse netværk.27CERT-UA's ukrainske cybersikkerhedsmyndigheder meddelte i september, at ukrainske energinetværk var under vedvarende trussel, og Microsoft Threat Intelligence observerede artefakter af GRU-trusselsaktivitet på ukrainske energisektornetværk fra august til oktober.28 Microsoft observerede mindst en ødelæggende brug af Sdelete-værktøjet mod et ukrainsk elselskabs netværk i august.29

Uden for Ukraine kan det amerikanske præsidentvalg og andre store politiske konkurrencer i 2024 give ondsindede påvirkningsaktører en mulighed for at bruge deres videomedier og spirende AI-færdigheder til at vende det politiske tidevand væk fra valgte embedsmænd, der kæmper for støtte til Ukraine.30

Microsoft arbejder på flere fronter for at beskytte vores kunder i Ukraine og resten af verden mod disse mangefacetterede trusler. Under vores Secure Future Initiative integrerer vi fremskridt inden for cyberforsvar, der er drevet af kunstig intelligens og sikker softwareteknik med bestræbelser på at styrke internationale normer for at beskytte civile mod cybertrusler. 31 Vi bruger også ressourcer sammen med et sæt kerneprincipper for at beskytte vælgere, kandidater, kampagner og valgmyndigheder verden over, når mere end 2 milliarder mennesker forbereder sig på at deltage i den demokratiske proces i løbet af det næste år.32

  1. [1]
  2. [2]

    For teknisk information om de seneste destruktive angrebsmetoder i Ukraine, kan du se https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    Baseret på notifikationer udstedt mellem 15. marts 2023 og 23. oktober 2023. 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]

Relaterede artikler

Digitale trusler fra Det østlige Asien vokser i omfang og effektivitet

Dyk ned i og udforsk nye tendenser i Det østlige Asiens trusselslandskab, hvor Kina udfører både omfattende cyber- og påvirkningsoperationer (IO), mens nordkoreanske cybertrusselsaktører udviser voksende raffinement.
Få mere at vide

Iran vender sig mod cyber-aktiverede påvirkningsoperationer for større effekt

Microsoft Threat Intelligence afslørede øgede cyberaktiverede påvirkningsoperationer fra Iran. Få indsigt i trusler med detaljer om nye teknikker, og hvor der er risiko for fremtidige trusler.
Få mere at vide

Cyber- og påvirkningsoperationer i krigen på Ukraines digitale slagmark

Microsoft Threat Intelligence undersøger et år med cyber- og påvirkningsoperationer i Ukraine, afdækker nye tendenser inden for cybertrusler, og hvad vi kan forvente, når krigen går ind i sit andet år.
Få mere at vide

Følg Microsoft