Trace Id is missing

Venäläiset uhkatoimijat valmistautuvat hyödyntämään sotaväsymystä

Lataa
Jaa
Kybervaikuttamisoperaatiot
Johdanto
Venäjän kyber- ja vaikutustoimijat ovat osoittaneet sopeutumiskykyä koko Ukrainan vastaisen sodan ajan kokeilemalla uusia tapoja hankkia etua taistelukentällä ja heikentämällä Kiovan kotimaisen ja ulkoisen tuen lähteitä. Tässä raportissa esitellään yksityiskohtaisesti Microsoftin maaliskuun ja lokakuun 2023 välisenä aikana havaitsemat kyberuhat ja vahingollinen vaikuttamistoiminta. Tänä aikana Ukrainan armeija ja siviiliväestö olivat jälleen tähtäimessä, ja samalla tunkeutumisen ja manipuloinnin riski kasvoi maailmanlaajuisiin yhteisöihin, jotka avustivat Ukrainaa ja pyrkivät saattamaan Venäjän joukot vastuuseen sotarikoksista.

Venäjän sodan vaiheet Ukrainassa tammikuusta 2022 kesäkuuhun 2023 asti

Kaavio Venäjän sodan vaiheista Ukrainassa
Lue lisää tästä kuvasta täyden raportin sivulla 3

Microsoftin maalis-lokakuun välisenä aikana havaitsemat uhkatoimet heijastivat yhdistettyjä operaatioita Ukrainan väestön lannistamiseksi ja lisääntynyttä keskittymistä kybervakoiluun. Venäjän sotilas-, kyber- ja propagandatoimijat tekivät yhteisiä hyökkäyksiä Ukrainan maataloussektoria – siviili-infrastruktuurin kohdetta – vastaan maailmanlaajuisen viljakriisin keskellä. Venäjän sotilastiedustelupalveluun (GRU) kytköksissä olevat kyberuhkatoimijat ovat ryhtyneet Ukrainan armeijaa ja sen ulkomaisia huoltolinjoja vastaan suunnattuihin kybervakoiluoperaatioihin. Kun kansainvälinen yhteisö pyrki rankaisemaan sotarikoksista, Venäjän ulkomaantiedusteluun (SVR) ja liittovaltion turvallisuuspalveluun (FSB) kytköksissä olevat ryhmät hyökkäsivät sotarikostutkijoita vastaan Ukrainassa ja sen ulkopuolella.

Vaikuttamisrintamalla Wagner Groupin ja pahamaineisen Internet Research Agencyn trollifarmin omistajan Yevgeny Prigozhinin lyhyt kesäkuun 2023 kapina ja myöhempi kuolema herättivät kysymyksiä Venäjän vaikutusvalmiuksien tulevaisuudesta. Koko kesän ajan Microsoft havaitsi laajalle levinneitä operaatioita, joita toteuttivat organisaatiot, joilla ei ollut yhteyksiä Prigozhiniin, mikä osoittaa, että Venäjä voi jatkossa toteuttaa haitallisia vaikutuskampanjoita ilman häntä.

Microsoftin Threat Intelligence- ja Incident Response -tiimit ovat ilmoittaneet asiasta ja työskennelleet asianomaisten asiakkaiden ja hallituskumppaneiden kanssa tässä raportissa kuvattujen uhkien vähentämiseksi.

Venäjän joukot turvautuvat yhä enemmän tavanomaisiin aseisiin aiheuttaakseen vahinkoa Ukrainassa, mutta kyber- ja vaikuttamisoperaatiot ovat edelleen vakava uhka tietokoneverkkojen turvallisuudelle ja yhteiskunnalle Ukrainan liittolaisille alueella, Natossa ja maailmanlaajuisesti. Sen lisäksi, että päivitämme tietoturvatuotteitamme suojellaksemme ennakoivasti asiakkaitamme maailmanlaajuisesti, jaamme nämä tiedot kannustaaksemme jatkuvaan valppauteen maailmanlaajuisen tietoavaruuden eheyteen kohdistuvia uhkia vastaan.

Venäjän kineettiset, kyber- ja propagandavoimat yhdistivät voimansa Ukrainan maatalousalaa vastaan tänä kesänä. Sotilasiskut tuhosivat viljaa niin paljon, että sillä olisi voitu ruokkia yli miljoona ihmistä vuoden ajan, ja Venäjä-mieliset tiedotusvälineet ajoivat tarinoita, joilla oikeutettiin hyökkäykset humanitaarisista kustannuksista huolimatta.1

Kesäkuusta syyskuuhun Microsoft Threat Intelligence havaitsi verkkoihin tunkeutumista, tietojen luvatonta siirtoa ja jopa tuhoisia haittaohjelmia, joita käytettiin Ukrainan maatalousteollisuuteen ja viljaan liittyviin kuljetusinfrastruktuureihin liittyviä organisaatioita vastaan. Aqua Blizzard (entinen ACTINIUM) varasti kesä- ja heinäkuussa tietoja yritykseltä, joka auttaa satojen seurannassa. Seashell Blizzard (entinen IRIDIUM) käytti elintarvike- ja maatalousalan verkkoihin muunnelmia alkeellisista tuhoisista haittaohjelmista, jotka Microsoft tunnistaa nimellä WalnutWipe/SharpWipe.2

Ukrainan maataloutta vastaan suunnatun Venäjän digitaalisen propagandatoiminnan jakautuminen

Ukrainan maataloutta vastaan suunnatun Venäjän digitaalisen propagandatoiminnan näyttäminen
Lue lisää tästä kuvasta täyden raportin sivulla 4

Heinäkuussa Moskova vetäytyi Black Sea Grain Initiative -aloitteesta, humanitaarisesta hankkeesta, joka auttoi torjumaan maailmanlaajuista elintarvikekriisiä ja mahdollisti yli 725 000 tonnin vehnäkuljetuksen Afganistanin, Etiopian, Kenian, Somalian ja Jemenin asukkaille ensimmäisenä vuonna.3 Moskovan toimen jälkeen Venäjä-mieliset tiedotusvälineet ja Telegram-kanavat ryhtyivät mustamaalaamaan vilja-aloitetta ja perustelemaan Moskovan päätöstä. Propagandakanavat pitivät viljakäytävää huumekaupan kulissina tai keinona siirtää salaa aseita vähätelläkseen sopimuksen humanitaarista merkitystä.

Useissa vuoden 2023 raporteissa olemme korostaneet, miten lailliset tai pseudohaktivistiryhmät, joilla epäillään olevan yhteyksiä GRU:hun, ovat pyrkineet vahvistamaan Moskovan tyytymättömyyttä vastustajiin ja liioittelemaan Venäjä-myönteisten kyberjoukkojen määrää.4 5 6 Tänä kesänä havaitsimme myös, että haktivistit levittivät Telegramissa viestejä, joilla pyrittiin oikeuttamaan sotilaalliset hyökkäykset Ukrainan siviili-infrastruktuuria vastaan, ja keskitettiin hajautettuja palvelunestohyökkäyksiä Ukrainan liittolaisia vastaan ulkomailla. Microsoftin jatkuva seuranta haktivistiryhmien ja kansallisvaltioiden toimijoiden yhteyksistä tarjoaa lisätietoa molempien tahojen toimintatahdista ja siitä, miten niiden toiminta täydentää toistensa tavoitteita.

Tähän mennessä olemme tunnistaneet kolme ryhmää (Solntsepek, InfoCentr ja Cyber Army of Russia), jotka ovat vuorovaikutuksessa Seashell Blizzardin kanssa. Seashell Blizzardin ja haktivistien suhde voi olla pikemminkin lyhytaikaiseen käyttöön tarkoitettu kuin hallintaan, sillä haktivistien kybervalmiudet kasvoivat tilapäisesti samaan aikaan Seashell Blizzardin hyökkäysten kanssa. Ajoittain Seashell Blizzard käynnistää tuhoisan hyökkäyksen, josta Telegram-haktivistiryhmät ottavat julkisesti kunnian. Tämän jälkeen haktivistit palaavat tavallisesti toteuttamiinsa vähemmän monimutkaisiin toimiin, kuten DDoS-hyökkäyksiin tai ukrainalaisten henkilötietojen vuotamiseen. Verkko edustaa ketterää infrastruktuuria, jota APT voi käyttää toimintansa edistämiseen.

Venäjä-mielinen haktivismi

Kaavio Venäjä-mielisestä haktivismista
Lue lisää tästä kuvasta täyden raportin sivulla 5

Venäläiset joukot eivät ainoastaan osallistu toimiin, jotka voivat olla ristiriidassa kansainvälisen oikeuden kanssa, vaan ottavat kohteekseen myös rikostutkijat ja syyttäjät, jotka rakentavat tapausta heitä vastaan.

Microsoftin telemetriatiedot paljastivat, että Venäjän sotilas- ja ulkomaantiedustelupalveluihin liittyvät toimijat kohdistivat hyökkäyksiä Ukrainan oikeus- ja tutkintaverkkoihin sekä sotarikosten tutkintaan osallistuvien kansainvälisten järjestöjen verkkoihin ja tunkeutuivat niihin koko tämän vuoden kevään ja kesän ajan.

Nämä kyberoperaatiot tapahtuivat keskellä kasvavia jännitteitä Moskovan ja sellaisten ryhmien välillä kuin Kansainvälinen rikostuomioistuin (ICC), joka antoi maaliskuussa pidätysmääräyksen Venäjän presidentti Putinista sotarikossyytteiden perusteella.7

Huhtikuussa GRU:hun kytköksissä oleva Seashell Blizzard vaaransi sotarikostapauksiin keskittyvän asianajotoimiston verkon. FSB:lle kuuluva Aqua Blizzard tunkeutui heinäkuussa ukrainalaisen suuren tutkintaelimen sisäiseen verkkoon ja lähetti sitten syyskuussa tietojenkalasteluviestejä useille ukrainalaisille teleyrityksille vaarantuneiden tilien avulla.

SVR-toimija Midnight Blizzard (entinen NOBELIUM) vaaransi ja pääsi käsiksi maailmanlaajuista vastuuta kantavan oikeudellisen organisaation asiakirjoihin kesä- ja heinäkuussa, ennen kuin Microsoft Incident Response puuttui asiaan ja korjasi tunkeutumisen. Tämä toiminta oli osa tämän toimijan aggressiivisempaa pyrkimystä murtautua diplomaattisiin, puolustusalan, julkisen politiikan ja tietotekniikka-alan organisaatioihin maailmanlaajuisesti.

Maaliskuusta lähtien Microsoftin tietoturvailmoitusten tarkastelu osoitti, että Midnight Blizzard on pyrkinyt pääsemään yli 240 organisaatioon pääasiassa Yhdysvalloissa, Kanadassa ja muissa Euroopan maissavaihtelevalla menestyksellä.8

Lähes 40 prosenttia  kohteena olleista organisaatioista oli hallituksia, hallitustenvälisiä tai politiikkaan keskittyviä ajatushautomoita.

Venäläiset uhkaajat käyttivät erilaisia tekniikoita päästäkseen aluksi verkkoon ja pysyäkseen siellä. Midnight Blizzard käytti lähestymistapaa, jossa se käytti salasanasumutusta, kolmansilta osapuolilta hankittuja tunnistetietoja, uskottavia Teamsin kautta toteutettuja käyttäjän manipulointikampanjoita ja pilvipalveluiden väärinkäyttöä soluttautuakseen pilviympäristöihin.9 Aqua Blizzard integroi onnistuneesti HTML:n salakuljetuksen alustaviin tietojenkalastelukampanjoihin vähentääkseen virustorjuntaohjelmien allekirjoitusten ja sähköpostin tietoturvatarkastusten havaitsemisen todennäköisyyttä.

Seashell Blizzard käytti hyväkseen reuna-alueen palvelinjärjestelmiä, kuten Exchange- ja Tomcat-palvelimia, ja käytti samanaikaisesti DarkCrystalRAT-takaovea sisältävää Microsoft Office -ohjelmiston piraattiversiota saadakseen aluksi pääsyn. Takaoven avulla toimija pystyi lataamaan toisen vaiheen hyötykuorman, jota kutsumme nimellä Shadowlink, joka on Microsoft Defenderiksi naamioitu ohjelmistopaketti, joka asentaa TOR-palvelun laitteeseen ja antaa uhkaajalle salakäyttöoikeuden TOR-verkon kautta.10

Kaavio siitä, miten Shadowlink asentaa TOR-palvelun ohjelmistolaitteeseen
Lue lisää tästä kuvasta täyden raportin sivulla 6 

Sen jälkeen kun Venäjän joukot aloittivat kevään 2023 hyökkäyksensä, GRU:n ja FSB:n alaiset kybertoimijat ovat keskittyneet keräämään tiedustelutietoja Ukrainan viestinnästä ja sotilaallisesta infrastruktuurista taistelualueilla.

Maaliskuussa Microsoft Threat Intelligence yhdisti Seashell Blizzardin mahdollisiin tietojenkalasteluhoukutuksiin ja -paketteihin, jotka näyttivät olevan räätälöityjä kohdistumaan Ukrainan sotilasviestintäinfrastruktuurin tärkeään osaan. Meillä ei ollut näkyvyyttä jatkotoimiin. Ukrainan turvallisuuspalvelun (SBU) mukaan Seashell Blizzardin muut yritykset päästä käsiksi Ukrainan sotilasverkkoihin sisälsivät haittaohjelmia, joiden avulla he pystyivät keräämään tietoja kytkettyjen Starlink-satelliittipäätelaitteiden konfiguraatioista ja selvittämään Ukrainan sotilasyksiköiden sijainnin.11 12 13

Secret Blizzard (entinen KRYPTON) siirtyi myös turvaamaan tiedustelutietojen keruun jalansijaa Ukrainan puolustukseen liittyvissä verkoissa. Microsoft Threat Intelligence on yhteistyössä Ukrainan CERT-UA:n (Government Computer Emergency Response Team of Ukraine) kanssa tunnistanut Secret Blizzardin DeliveryCheck- ja Kazuar-haittaohjelmat Ukrainan puolustusvoimien järjestelmissä.14 Kazuar mahdollistaa yli 40 toimintoa, mukaan lukien kirjautumistietojen varastaminen erilaisista sovelluksista, todennustiedot, välityspalvelimet ja evästeet sekä tietojen haku käyttöjärjestelmän lokitiedoista.15 Secret Blizzard oli erityisen kiinnostunut varastamaan Signal Desktop -viestisovelluksen viestejä sisältäviä tiedostoja, joiden avulla he voisivat lukea yksityisiä Signal-keskusteluja.16

Forest Blizzard (entinen STRONTIUM) keskittyi jälleen perinteisiin vakoilukohteisiinsa, puolustukseen liittyviin organisaatioihin Yhdysvalloissa, Kanadassa ja Euroopassa, joiden sotilaallinen tuki ja koulutus pitävät Ukrainan joukot varustettuna jatkamaan taistelua.

Maaliskuusta lähtien Forest Blizzard on yrittänyt päästä sisään puolustusorganisaatioihin tietojenkalasteluviesteillä, joissa on käytetty uudenlaisia väistämistekniikoita. Esimerkiksi elokuussa Forest Blizzard lähetti eurooppalaisen puolustusorganisaation tilinkäyttäjille tietojenkalastelusähköpostin, joka sisälsi CVE-2023-38831-haittaohjelman. CVE-2023-38831 on WinRAR-ohjelmiston tietoturva-aukko, jonka avulla hyökkääjät voivat suorittaa mielivaltaista koodia, kun käyttäjä yrittää tarkastella hyvänlaatuista tiedostoa ZIP-arkistossa.

Toimija käyttää myös laillisia kehittäjätyökaluja, kuten Mockbinia ja Mockya, komentamiseen ja hallintaan. Syyskuun lopulla toimija toteutti tietojenkalastelukampanjan, jossa väärinkäytettiin GitHub- ja Mockbin-palveluja. CERT-UA ja muut kyberturvallisuusyritykset julkistivat toiminnan syyskuussa ja totesivat, että toimija käytti aikuisviihdesivuja houkutellakseen uhreja napsauttamaan linkkiä tai avaamaan tiedoston, joka ohjaisi heidät haitalliseen Mockbin-infrastruktuuriin.17 18Microsoft havaitsi syyskuun lopulla siirtymisen teknologia-aiheisen sivun käyttöön. Kussakin tapauksessa toimijat lähettivät tietojenkalastelusähköpostin, joka sisälsi haitallisen linkin, joka ohjasi uhrin Mockbin-URL-osoitteeseen ja latasi zip-tiedoston, joka sisälsi haitallisen LNK-tiedoston (pikakuvakkeen), joka oli naamioitu Windows-päivitykseksi. Tämän jälkeen LNK-tiedosto lataa ja suorittaa toisen PowerShell-komentosarjan pysyvyyden luomiseksi ja jatkotoimien, kuten tietojen varastamisen, suorittamiseksi.

Esimerkkinäyttökuva puolustusorganisaatioiden Forest Blizzardiin liitetystä tietojenkalastelun PDF-houkutuksesta.

Uhkaava toimija naamioituu Euroopan parlamentin henkilökunnaksi
Sähköpostin liite: Euroopan parlamentin kokousten esityslista 28.8.–3.9.2023. Lehdistöpalvelun tiedonanto. 160 kt tiedote.rar
Kuva 5: Näyttökuvaesimerkki puolustusorganisaatioiden Forest Blizzardiin liitetystä tietojenkalastelun PDF-houkutuksesta.  Lue lisää tästä kuvasta täyden raportin sivulla 8

MTAC jatkoi koko vuoden 2023 ajan Storm-1099:n tarkkailua. Storm-1099 on Venäjään kytköksissä oleva vaikuttajatoimija, joka on keväästä 2022 lähtien vastannut Ukrainan kansainvälisiin tukijoihin kohdistuneesta kehittyneestä Venäjä-mielisestä vaikuttamistoiminnasta.

Storm-1099 tunnetaan ehkä parhaiten EU DisinfoLab -tutkimusryhmän "Doppelgangeriksi" kutsumasta laajamittaisesta verkkosivuväärennösoperaatiosta,19 mutta Storm-1099:n toimintaan kuuluu myös ainutlaatuisia tuotemerkillä varustettuja kanavia, kuten Reliable Recent News (RRN), multimediaprojekteja, kuten Ukrainan vastainen sarjakuvasarja "Ukraine Inc.", sekä digitaalisen ja fyysisen maailman yhdistäviä mielenosoituksia paikan päällä. Vaikka määrittely on epätäydellinen, hyvin rahoitetut venäläiset poliittiset teknologit, propagandistit ja PR-asiantuntijat, joilla on todistettavasti yhteyksiä Venäjän valtioon, ovat toteuttaneet ja tukeneet useita Storm-1099:n kampanjoita.20

Storm-1099:n Doppelganger-operaatio on edelleen täydessä toiminnassa tätä raporttia laadittaessa, vaikka teknologiayritykset ja tutkimusyksiköt ovat jatkuvasti yrittäneet raportoida sen vaikutusvallasta ja vähentää sitä.21 Vaikka tämä toimija on historiallisesti kohdistanut hyökkäyksensä Länsi-Eurooppaan (pääasiassa Saksaan) se on kohdistanut hyökkäyksensä myös Ranskaan, Italiaan ja Ukrainaan. Viime kuukausina Storm-1099 on siirtänyt painopistettä Yhdysvaltoihin ja Israeliin. Siirtymä alkoi jo tammikuussa 2023, kun Israelissa järjestettiin laajamittaisia mielenosoituksia ehdotettua oikeuslaitoksen uudistamista vastaan, ja se voimistui Israelin ja Hamasin sodan puhjettua lokakuun alussa. Hiljattain luodut brändätyt kanavat heijastavat Yhdysvaltojen politiikan ja tulevien vuoden 2024 presidentinvaalien kasvavaa priorisointia, kun taas nykyiset Storm-1099:n verkostot ovat painottaneet voimakkaasti väärää väitettä, jonka mukaan Hamas olisi hankkinut ukrainalaisia aseita mustan pörssin markkinoilta 7. lokakuuta Israeliin kohdistuneita iskujaan varten.

Viimeksi lokakuun lopulla MTAC tarkkaili tilejä, joiden Microsoft arvioi olevan Storm-1099:n toimijoita, jotka mainostivat uudenlaisia väärennöksiä sekä väärennettyjä artikkeleita ja verkkosivustoja sosiaalisessa mediassa. Kyseessä on sarja lyhyitä väärennettyjä uutisklippejä, jotka on muka luotu hyvämaineisten tiedotusvälineiden toimesta ja joilla levitetään Venäjä-myönteistä propagandaa Ukrainan ja Israelin tuen heikentämiseksi. Vaikka tämä taktiikka (videoväärennösten käyttäminen propagandan edistämiseen) on taktiikka, jota Venäjä-mieliset toimijat ovat noudattaneet viime kuukausina laajemminkin, Storm-1099:n mainostaminen tällaisella videosisällöllä vain korostaa toimijan monipuolisia vaikuttamistekniikoita ja viestinnän tavoitteita.

Väärennetyillä Doppelganger-sivustoilla julkaistut artikkelit

Microsoft havainnoi ja seurasi venäläisen kybervaikutusuhka-agentin Storm 1099:n toteuttamaa kampanjaa.
Microsoft on havainnut ja seurannut 31. lokakuuta 2023. Väärennetyillä Doppelganger-sivustoilla julkaistut artikkelit; venäläisen kybervaikuttamisen uhkatoimijan Storm 1099:n toteuttama kampanja.
Lue lisää tästä kuvasta täyden raportin sivulla 9

Sen jälkeen, kun Hamas iski Israeliin 7. lokakuuta, Venäjän valtiolliset tiedotusvälineet ja valtioliittolaiset vaikuttajat ovat pyrkineet käyttämään Israelin ja Hamasin välistä sotaa hyväkseen edistääkseen Ukrainan vastaisia narratiiveja ja Yhdysvaltojen vastaisia tunteita sekä kärjistääkseen jännitteitä kaikkien osapuolten välillä. Vaikka tämä toiminta reagoi sotaan ja on laajuudeltaan yleensä rajallista, siihen kuuluu sekä avoimia valtion tukemia tiedotusvälineitä että peiteltyjä, Venäjään sidoksissa olevia sosiaalisen median verkostoja, jotka kattavat useita sosiaalisen median alustoja.

 

Venäläisten propagandistien ja Venäjä-mielisten sosiaalisen median verkostojen levittämät kertomukset pyrkivät asettamaan Israelin ja Ukrainan vastakkain ja vähentämään länsimaiden tukea Kiovalle väittämällä virheellisesti, että Ukraina olisi aseistanut Hamas-taistelijoita hyvämaineisten tiedotusvälineiden väärennöksillä ja manipuloiduilla videoilla. Yksi esimerkki tällaisesta sisällöstä on epäaito video, jossa väitettiin, että ulkomaisia alokkaita, myös amerikkalaisia, siirrettiin Ukrainasta liittymään Israelin puolustusvoimien (IDF) operaatioihin Gazan kaistaleella. Video keräsi satojatuhansia katselukertoja sosiaalisen median alustoilla. Tämä strategia sekä levittää Ukrainan vastaisia narratiiveja laajalle yleisölle että edistää sitoutumista muokkaamalla vääriä narratiiveja tärkeimpien uutisaiheiden mukaisiksi.

 

Venäjä täydentää digitaalista vaikuttamistoimintaa myös mainostamalla reaalimaailman tapahtumia. Venäläiset tiedotusvälineet ovat edistäneet aggressiivisesti kiihottavaa sisältöä, joka vahvistaa Israelin ja Hamasin väliseen sotaan liittyviä protesteja Lähi-idässä ja Euroopassa – myös Venäjän valtiollisten uutistoimistojen kenttätoimittajien kautta. Lokakuun 2023 lopulla Ranskan viranomaiset väittivät, että neljä Moldovan kansalaista oli todennäköisesti yhteydessä Pariisin julkisiin tiloihin tehtyihin Daavidin tähden graffiteihin. Kahden moldovalaisen kerrotaan väittäneen, että heitä ohjasi venäjänkielinen henkilö, mikä viittaa mahdolliseen venäläiseen vastuuseen graffiteista. Storm-1099:n toimijat myöhemmin mainostivat kuvia graffiteista.22

 

Venäjä arvioi todennäköisesti, että meneillään oleva Israelin ja Hamasin välinen konflikti on sen geopoliittinen etu, sillä se uskoo konfliktin vievän lännen huomion Ukrainan sodasta. MTAC arvioi, että tällaiset toimijat jatkavat Venäjän vakiintuneen vaikutuspelikirjan usein käyttämien taktiikoiden mukaisesti verkkopropagandan levittämistä ja muiden merkittävien kansainvälisten tapahtumien hyödyntämistä jännitteiden lietsomiseksi ja pyrkivät vaikeuttamaan länsimaiden kykyä torjua Venäjän hyökkäystä Ukrainaan.

Venäjän vaikuttamistoiminta on laajalti levittänyt Ukrainan vastaista propagandaa jo ennen vuoden 2022 täysimittaista hyökkäystä. Viime kuukausina Venäjä-myönteiset ja Venäjään sidoksissa olevat vaikuttamisverkostot ovat kuitenkin keskittyneet käyttämään videota dynaamisempana välineenä näiden viestien levittämiseen sekä väärentämään arvovaltaisia tiedotusvälineitä uskottavuutensa hyödyntämiseksi. MTAC on havainnut kaksi tuntemattomien Venäjä-mielisten toimijoiden toteuttamaa meneillään olevaa kampanjaa, joihin kuuluu valtavirran uutis- ja viihdemediabrändien väärentäminen manipuloidun videosisällön levittämiseksi. Venäjän aiempien propagandakampanjoiden tapaan tässä toiminnassa keskitytään esittämään Ukrainan presidentti Volodymyr Zelensky korruptoituneena huumeidenkäyttäjänä ja länsimaiden tuki Kiovalle haitallisena kyseisten maiden omalle väestölle. Molempien kampanjoiden sisällöllä pyritään johdonmukaisesti vähentämään Ukrainan tukea, mutta tarinoita mukautetaan vastaamaan nousevia uutistapahtumia – kuten kesäkuussa 2023 tapahtunut Titan-sukellusveneen räjähdys tai Israelin ja Hamasin välinen sota – laajemman yleisön tavoittamiseksi.

Kaavio, jossa näkyy väärennettyjä uutispätkiä yleiskatsaus

näytetään väärennettyjä uutispätkiä yleiskatsaus
Lue lisää tästä kuvasta täyden raportin sivulla 11

Yksi näistä videokampanjoista käsittää sarjan tekaistuja videoita, joilla levitetään vääriä, Ukrainan vastaisia ja Kremliin sidoksissa olevia teemoja ja kertomuksia valtavirran tiedotusvälineiden lyhyiden uutisraporttien varjolla. MTAC havaitsi tämän toiminnan ensimmäisen kerran huhtikuussa 2022, kun Venäjä-mieliset Telegram-kanavat lähettivät väärennetyn BBC News -videon, jossa väitettiin, että Ukrainan armeija oli vastuussa ohjusiskusta, jossa kuoli kymmeniä siviilejä. Videossa käytetään BBC:n logoa, värimaailmaa ja estetiikkaa, ja siinä on englanninkielisiä kuvatekstejä, jotka sisältävät virheitä, joita yleensä tehdään käännettäessä slaavilaisista kielistä englanniksi.

Kampanja jatkui koko vuoden 2022 ja kiihtyi kesällä 2023. Tätä raporttia laadittaessa MTAC on havainnut kampanjan aikana yli tusinan verran väärennettyjä mediavideoita, joista yleisimmät väärennetyt tiedotusvälineet ovat BBC News, Al Jazeera ja EuroNews. Venäjänkieliset Telegram-kanavat vahvistivat videoita ensin, ennen kuin ne levisivät valtavirran sosiaalisen median alustoille.

Näyttökuvia videoista, joissa jäljitellään BBC:n uutisten (vasemmalla) ja EuroNewsin (oikealla) logoa ja estetiikkaa

Väärennettyjä uutisklippejä, jotka sisältävät Venäjään liittyvää disinformaatiota
Microsoft Threat Intelligence: Väärennetyt uutislinkit Ukrainan sotilaallinen epäonnistuminen, HAMAS-isku, valheellinen Israelin vastuu
Väärennettyjä uutisklippejä, jotka sisältävät Venäjään liittyvää disinformaatiota. Näyttökuvia videoista, joissa jäljitellään BBC:n uutisten (vasemmalla) ja EuroNewsin (oikealla) logoa ja estetiikkaa. Lue lisää tästä kuvasta täyden raportin sivulla 12

Vaikka tämän sisällön tavoittavuus on ollut rajallinen, se voi olla uskottava uhka tuleville kohteille, jos sitä jalostetaan tai parannetaan tekoälyn avulla tai jos uskottavampi viestinviejä vahvistaa sitä. Venäjä-myönteinen toimija, joka on vastuussa väärennetyistä uutispätkistä, seuraa tarkkaan ajankohtaisia tapahtumia maailmalla ja on ketterä. Esimerkiksi BBC Newsin väärennetyllä videolla väitettiin virheellisesti, että tutkivan journalismin järjestö Bellingcat paljasti, että Ukrainan sotilasviranomaiset myivät Hamasin taistelijoille aseita mustan pörssin kautta. Videon sisältö vastasi läheisesti Venäjän entisen presidentin Dmitri Medvedevin julkisia lausuntoja vain päivää ennen videon julkaisemista, mikä osoittaa kampanjan olevan vahvasti linjassa Venäjän hallituksen avoimen viestinnän kanssa.23

Heinäkuusta 2023 alkaen Venäjä-myönteiset sosiaalisen median kanavat alkoivat levittää julkkiksista kuvattuja videoita, joita oli muokattu harhaanjohtavasti Ukrainan vastaisen propagandan edistämiseksi. Videot, jotka ovat tuntemattoman Venäjä-mielisen toimijan tekemiä, näyttävät hyödyntävän Cameota, suosittua verkkosivustoa, jolla julkkikset ja muut julkisuuden henkilöt voivat tallentaa ja lähettää henkilökohtaisia videoviestejä käyttäjille, jotka maksavat siitä. Lyhyet videoviestit, joissa julkkikset usein pyytävät "Vladimiria" hakemaan apua päihteiden väärinkäyttöön, ovat tuntemattoman toimijan muokkaamia ja sisältävät hymiöitä ja linkkejä. Videot leviävät Venäjä-mielisissä sosiaalisen median yhteisöissä, ja Venäjän valtioon sidoksissa olevat ja valtiojohtoiset tiedotusvälineet levittävät niitä, ja ne esitetään virheellisesti viesteinä Ukrainan presidentille Volodymyr Zelenskylle. Joissakin tapauksissa toimija lisäsi medialähetysten logoja ja julkkisten sosiaalisen median tilejä, jotta video näyttäisi uutispätkiltä, jotka olivat peräisin julkkisten oletetuista julkisista vetoomuksista Zelenskylle tai julkkisten omista sosiaalisen median julkaisuista. Kremlin virkamiehet ja Venäjän valtion tukema propaganda ovat jo pitkään edistäneet väärää väitettä, jonka mukaan presidentti Zelensky kamppailee päihteiden väärinkäytön kanssa; tämä kampanja on kuitenkin uusi lähestymistapa Venäjä-mielisille toimijoille, jotka pyrkivät edistämään tätä kertomusta verkossa.

Heinäkuun lopulla havaitussa kampanjan ensimmäisessä videossa on Ukrainan lippu -emoji, amerikkalaisen TMZ:n vesileimoja ja linkkejä sekä päihdekuntoutuskeskukseen että yhteen presidentti Zelenskyn virallisista sosiaalisen median sivuista. Lokakuun 2023 loppuun mennessä Venäjä-mieliset sosiaalisen median kanavat ovat levittäneet kuusi muuta videota. Venäjän valtiollinen uutistoimisto RIA Novosti julkaisi 17. elokuuta artikkelin, jossa käsiteltiin videota, jossa esiintyi amerikkalainen näyttelijä John McGinley, ikään kuin kyseessä olisi ollut McGinleyn aito vetoomus Zelenskylle.24 McGinleyn lisäksi kampanjassa esiintyviä julkkiksia ovat muun muassa näyttelijät Elijah Wood, Dean Norris, Kate Flannery ja Priscilla Presley, muusikko Shavo Odadjian ja nyrkkeilijä Mike Tyson. Myös muut valtioon sidoksissa olevat venäläiset tiedotusvälineet, mukaan lukien Yhdysvaltain sanktioima Tsargrad, ovat vahvistaneet kampanjan sisältöä.25

Kuvia videoista, joissa julkkikset näennäisesti edistävät Venäjä-myönteistä propagandaa

kuvia videoista, joissa julkkikset näennäisesti edistävät Venäjä-myönteistä propagandaa
Lue lisää tästä kuvasta täyden raportin sivulla 12

Ukrainan sotilaspäällikön mukaan venäläiset sotilaat ovat siirtymässä uuteen staattisen, juoksuhaudoissa käytävän sodankäynnin vaiheeseen, mikä viittaa vielä pitkittyneempään taisteluun.26 Kiova tarvitsee vastarinnan jatkamiseen jatkuvaa aseiden toimitusta ja kansan tukea, ja todennäköisesti näemme Venäjän kyber- ja vaikutustoimijoiden voimistavan alentamiseen tähtääviä pyrkimyksiä Ukrainan väestön demoralisoimiseksi ja Kiovan ulkoisten sotilaallisen ja taloudellisen avun lähteiden heikentämiseksi.

Talven lähestyessä saatamme jälleen nähdä Ukrainan sähkö- ja vesilaitoksia vastaan suunnattuja sotilasiskuja yhdistettynä näihin verkkoihin kohdistuviin tuhoisiin pyyhkimishyökkäyksiin.27CERT-UA Ukrainan kyberturvallisuusviranomaiset ilmoittivat syyskuussa, että Ukrainan energiaverkkoja uhataan jatkuvasti, ja Microsoft Threat Intelligence havaitsi Ukrainan energiasektorin verkoissa elokuusta lokakuuhun GRU:n uhkaustoiminnan artefakteja.28 Microsoft havaitsi ainakin yhden tuhoisan Sdelete-apuohjelman käytön ukrainalaisen energiayhtiön verkossa elokuussa.29

Ukrainan ulkopuolella Yhdysvaltain presidentinvaalit ja muut suuret poliittiset kilpailut vuonna 2024 voivat tarjota pahansuoville vaikuttajille tilaisuuden käyttää videomedia- ja tekoälytaitojaan kääntääkseen poliittisen vyöryn pois Ukrainaa tukevista vaaleilla valituista virkamiehistä.30

Microsoft työskentelee monella eri rintamalla suojellakseen asiakkaitaan Ukrainassa ja kaikkialla maailmassa näiltä monitahoisilta uhilta. Turvallinen tulevaisuus -aloitteessamme yhdistämme tekoälypohjaisen kyberpuolustuksen ja turvallisen ohjelmistotekniikan edistysaskeleet pyrkimyksiin vahvistaa kansainvälisiä normeja, joilla suojellaan siviilejä kyberuhilta. 31 Käytämme myös resursseja ja keskeisiä periaatteita äänestäjien, ehdokkaiden, kampanjoiden ja vaaliviranomaisten suojelemiseksi maailmanlaajuisesti, kun yli 2 miljardia ihmistä valmistautuu osallistumaan demokraattiseen prosessiin ensi vuoden aikana.32

  1. [1]
  2. [2]

    Teknistä tietoa uusimmista tuhoisista hyökkäysmenetelmistä Ukrainassa on osoitteessa  https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    Perustuu 15. maaliskuuta 2023 ja 23. lokakuuta 2023 välisenä aikana annettuihin ilmoituksiin. 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]

    Teknisiä lisätietoja on kohteessa https://go.microsoft.com/fwlink/?linkid=2262377

  30. [30]
  31. [31]
  32. [32]

Aiheeseen liittyviä artikkeleita

Itä-Aasian digitaalisten uhkien laajuus ja tehokkuus kasvavat

Tutustu Itä-Aasian kehittyvään uhkakuvaan, jossa Kiina harjoittaa laajamittaisia kyber- ja vaikutusoperaatioita ja Pohjois-Korean kyberuhkatoimijat ovat yhä kehittyneempiä.
Lue lisää

Iran pyrkii toteuttamaan entistä tehokkaampia vaikutusoperaatioita kybertoimien avulla

Microsoft Threat Intelligence paljasti Iranista käsin tapahtuvan lisääntyneen kyberpohjaisen vaikuttamistoiminnan. Tutustu uhkiin ja lue yksityiskohtaisia tietoja uusista tekniikoista ja tulevista uhkista.
Lue lisää

Kyber- ja vaikutusoperaatiot Ukrainan sodan digitaalisella taistelukentällä

Microsoft Threat Intelligence tarkastelee Ukrainan kyber- ja vaikutusoperaatioiden kulunutta vuotta, paljastaa kyberuhkien uusia suuntauksia ja kertoo, mitä on odotettavissa, kun sodan toinen vuosi alkaa.
Lue lisää

Seuraa Microsoftia