Trace Id is missing
דלג לתוכן הראשי
Insider בנושא אבטחה

איומים דיגיטליים ממזרח אסיה גדלים בהיבטי הרוחב והיעילות

הורד
שתף
אדם יושב מול מחשב

מבוא

מספר מגמות חדשות ממחישות את נוף האיומים המשתנה במהירות במזרח אסיר, כאשר סין מנהלת פעולות סייבר ופעולות השפעה (IO) נרחבות, וגורמי איום מצפון קוריאה מפגינים תחכום שהולך וגובר.

תחילה, קבוצות איומי סייבר המזוהים עם מדינת סין הראו התמקדות ספציפית באזור ים סין הדרומי וכיוונו את ריגול הסייבר אל ממשלות וישויות חיוניות אחרות שמקיפות את האזור הימי הזה. בינתיים, המתקפות הסיניות על מגזר ההגנה של ארה"ב ובדיקת אותות התשתית של ארה"ב מנסות להשיג יתרונות תחרותיים ליחסי החוץ ולמטרות הצבאיות האסטרטגיות של סין.

שנית, סין הפכה ליעילה יותר בהשפעה על משתמשי רשתות חברתיות באמצעות IO בשנה שעברה. הקמפיינים הסיניים להשפעה באינטרנט מסתמכים זה זמן רב על כמות לבד כדי להגיע למשתמשים דרך רשתות של חשבונות מזויפים ברשתות החברתיות. אך מאז 2022, הרשתות החברתיות המזוהות עם סין ניהלו קשר ישיר עם משתמשים אותנטיים במדיה חברתית, התמקדו במועמדים ספציפיים בתוכן הנוגע לבחירות בארצות הברית והתחזו למצביעים אמריקניים. באופן נפרד, יוזמת המשפיענים הרב-שפתית המשויכת לסין במדיה החברתית הצליחה ליצור מעורבות בקהלי יעד ב- 40 שפות לפחות והרחיבה את הקהל שלה ליותר מ- 103 מיליון.

שלישית, סין ממשיכה להרחיב את קמפייני ההשפעה שלה בשנה שעברה והרחיבה את מאמציה בשפות ובפלטפורמות חדשות כדי להגדיל את טביעת האצבע שלה בעולם. ברשתות החברתיות, קמפיינים פורסים אלפי חשבונות מזויפים ברחבי עשרות אתרים ומפיצים ממים, סרטונים והודעות בשפות רבות. באתרי החדשות באינטרנט, המדיה הסינית מתנהלת בתבונה ומציבה את עצמה כקול הסמכותי בדיון הבינלאומי על סין ומשתמשת באמצעים שונים כדי להשפיע על אתרי מדיה בעולם. קמפיין אחד קידם תעמולה של המפלגה הקומוניסטית הסינית (CCP) באתרי חדשות בשפות שונות המתמקדים בפזורה הסינית ביותר מ- 35 מדינות.

לבסוף, צפון קוריאה – שלא בדומה לסין נעדרת את היכולת של גורם השפעה מתוחכם – ממשיכה להיות איום סייבר משמעותי. צפון קוריאה מגלה עניין מתמשך באיסוף מידע ותחכום טקטי שהולך וגדל באמצעות מינוף של מתקפות הולכות ומתגברות על שרשראות אספקה וגניבה של מטבעות דיגיטליים, בין השיטות האחרות.

פעילות הסייבר של סין מתמקדת מחדש בים סין הדרומי ובתעשיות מרכזיות בארצות הברית

מתחילת 2023, בינת האיומים של Microsoft זיהתה שלושה אזורים שהיוו מוקד ספציפי לגורמי איומי סייבר המזוהים עם סין: ים סין הדרומי, בסיס תעשיית ההגנה של ארצות הברית ותשתית חיונית בארצות הברית.

המתקפות בחסון מדינת סין משקפות מטרות אסטרטגיות בדרום ים סין

גורמי איום המזוהים עם מדינת סין מגלים עניין מתמשך בדרום ים סין ובטייוואן, מה שמשקף את המגוון הרחב של האינטרסים הכלכליים, ההגנתיים והפוליטיים של סין באזור הזה.1 טענות טריטוריאליות מתנגשות, המתח העולה ביחסי טאיוואן-סין והנוכחות הצבאית המוגברת של ארצות הברית – כולם יכולים להיות מניעים לפעילויות הסייבר ההתקפיות של סין.2

Microsoft זיהתה את Raspberry Typhoon (‏RADIUM) כקבוצת האיום העיקרית המתמקדת במדינות שמקיפות את דרום ים סין. Raspberry Typhoon מתמקדת בהתמדה במשרדי ממשלה, בישויות צבאיות ובישויות ארגוניות עם קשר לתשתיות חיוניות, בייחוד טלקומוניקציה. מאז ינואר 2023, הפעילות של Raspberry Typhoon הייתה מתמדת במיוחד. בעת תקיפה של משרדי ממשלה או תשתיות, Raspberry Typhoon מבצעת בדרך כלל איסוף מידע והפעלת תוכנה זדונית. במדינות רבות, המטרות נעות בין משרדים שקשורים להגנה ומודיעין למשרדי כלכלה ומסחר.

Flax Typhoon ‏(Storm-0919) היא קבוצת האיום המשמעותית ביותר שמתמקדת באי טייוואן. הקבוצה מתמקדת בעיקר בטלקומוניקציה, חינוך, טכנולוגיות מידע ותשתיות אנרגיה, בדרך כלל על-ידי מינוף של התקן VPN מותאם אישית לביסוס ישיר של נוכחות בתוך רשת היעד. באופן דומה, Charcoal Typhoon (‏CHROMIUM) מתמקדת במוסדות חינוך, תשתיות אנרגיה וייצור היי-טק בטייוואן. ב- 2023, Charcoal Typhoon ו- Flax Typhoon תקפו ישויות תעופה וחלל בטייוואן עם חוזים עם צבא טייוואן.

מפה של אזור ים סין הדרומי, עם ציון של אירועים שנצפו לפי מדינה
איור 1: האירועים שנצפו לפי מדינה בים סין הדרומי מינואר 2022 עד אפריל 2023. קבל מידע נוסף על תמונה זו בעמוד 4 של הדוח המלא

גורמי איום סיניים מפנים את תשומת לבם אל גואם בזמן שארצות הברית בונה בסיס של חיל הים

קבוצות גורמי איום רבות שמקורן בסין ממשיכות להתמקד בבסיס תעשיית ההגנה של ארצות הברית: Circle Typhoon (‏DEV-0322), ‏Volt Typhoon (‏DEV-0391) ו- Mulberry Typhoon (‏MANGANESE). למרות שהמטרות של שלושת הקבוצות האלה חופפות מעת לעת, אלה הם גורמים מובחנים עם תשתיות ויכולות שונות.3

Circle Typhoon מבצעת מגוון רחב של פעילויות סייבר כנגד בסיס תעשיית ההגנה של ארה"ב, כולל פיתוח משאבים, איסוף, גישה ראשונית וגישה באמצעות פרטי כניסה. Circle Typhoon ממנפת לעתים קרובות התקני VPN כדי לתקוף טכנולוגיות מידע ויצרני נשק בארצות הברית. Volt Typhoon ביצעה גם מתקפות איסוף זדוני של מידע על יצרני נשק רבים בארצות הברית. גואם היא אחת המטרות שמותקפות לעתים קרובות ביותר בקמפיינים אלה, בייחוד ישויות התקשורת הלוויינית והטלקומוניקציה שממוקמים שם.4

אחת הטקטיקות השגורות של Volt Typhoon כוללת פגיעה בנתבים משרדיים וביתיים קטנים, בדרך כלל לצורך בניית תשתית.5 Mulberry Typhoon תקפה גם את בסיס תעשיית ההגנה של ארצות הברית, בפרט עם מתקפת אפס ימים על מכשירים.6 התקיפות הגוברות על גואם הן משמעותיות לנוכח המיקום שלה כטריטוריה של ארה"ב שקרובה ביותר למזרח אסיה וחיוניותה לאסטרטגיה של ארה"ב באזור.

קבוצות איום סיניות תוקפות תשתיות חיוניות של ארצות הברית

Microsoft זיהתה קבוצות איום המזוהות עם סין שתקפו תשתיות חיוניות של ארה"ב במגזרים שונים, ופיתוח משאבים משמעותי בחצי השנה האחרונה. Volt Typhoon הייתה הקבוצה העיקרית מאחורי פעילות זו מאז הקיץ של 2021 לפחות, וההיקף של הפעילות הזו עדיין לא ידוע במלואו.

המגזרים שהותקפו כוללים תחבורה (כגון נמלים ומסילות רכבת), תשתיות (כמו אנרגיה וטיפול במים), תשתיות רפואיות (כולל בתי חולים) ותשתיות טלקומוניקציה (כולל תקשורת לוויינית ומערכות סיבים אופטיים). Microsoft מעריכה שהקמפיין הזה יכול לספק לסין יכולות לשבש תקשורת ותשתיות חיוניות בין ארצות הברית לאסיה.7

קבוצת האיומים המבוססת בסין מתמקדת בכ- 25 ארגונים, כולל ישויות של ממשלת ארה"ב

החל מ- 15 במאי, Storm-0558, גורם איום המבוסס בסין, השתמש באסימוני אימות מזויפים כדי לגשת לחשבונות דוא"ל של לקוחות Microsoft של כ- 25 ארגונים, כולל ישויות ממשלתיות בארצות הברית ובאירופה.8 Microsoft חסמה את הקמפיין הזה בהצלחה. מטרת ההתקפה הייתה קבלת גישה לא מורשית לחשבונות דוא"ל. Microsoft מעריכה שפעילות זו תאמה את יעדי הריגול של Storm-0558. בעבר, Storm-0558 תקפה ישויות דיפלומטיות בארה"ב ובאירופה.

סין מתמקדת גם בשותפים האסטרטגיים שלה

עם ההתרחבות של השותפויות והקשרים ההדדיים הסיניים ברחבי העולם באמצעות יוזמת החגורה והדרך (BRI) גורמי האיום המזוהים עם סין ביצעו פעולות סייבר מקבילות כנגד ישויות פרטיות וציבוריות ברחבי העולם. קבוצות איום סיניות מתמקדות במדינות שמיישרות קו עם אסטרטגיית BRI של ה- CCP, כולל ישויות בקזחסטן, נמיביה, וייטנאם ועוד.9 בינתיים, פעילות איום סינית נרחבת מתמקדת בהתמדה במשרדים זרים ברחבי אירופה, אמריקה הלטינית ואסיה – ככל הנראה למטרת ריגול תעשייתי או איסוף מידע.10 עם ההתרחבות של ההשפעה הסינית בעולם, פעילויות של קבוצות האיום המשויכות לא מאחרות להגיע. רק באפריל 2023, קבוצת Twill Typhoon (‏TANTALUM) הצליחה לפגוע במכונות ממשלתיות באפריקה ואירופה וכן בארגונים הומניטריים ברחבי העולם.

הפעולות במדיה החברתית המזוהות עם ה- CCP מגבירות את מעורבות הקהל האפקטיבית

פעולות השפעה סמויות המזוהות עם ה- CCP מתחילות להשפיע בהצלחה על קהלי יעד ברשתות החברתיות במידה רבה יותר ממה שנצפה בעבר, הן מראות רמות תחכום גבוהות יותר ומטפחות נכסי IO מקוונים. לפני בחירות אמצע הכהונה בשנת 2022 בארצות הברות, Microsoft ושותפים בענף התעשייה זיהו חשבונות המזוהים עם ה- CCP במדיה החברתית שמתחזים למצביעים בארצות הברית – טריטוריה חדשה לפעולות IO המזוהות עם ה- CCP.11 חשבונות אלה התחזו לאמריקנים מרחבי הספקטרום הפוליטי והשיבו לתגובות ממשתמשים אותנטיים.

גם בדפוס הפעולה וגם בתוכן, חשבונות אלה מציגים טקטיקות, טכניקות ונהלים (TTP) רבים המתועדים היטב של פעולות השפעה סיניות. בין הדוגמאות: חשבונות שמפרסמים בשפה מנדרינית בשלבים מוקדמים לפני שעוברים לשפה אחרת ועוסקים בתוכן מנכסים אחרים המזוהים עם סין מיד לאחר הפרסום ושימוש בדפוס פעולה Seed and amplifier (זריעה והגברה) של אינטראקציה.12שלא בדומה לקמפיינים מוקדמים יותר של IO מגורמים המזוהים עם ה- CCP שהשתמשו בכינויים, שמות תצוגה ותמונות פרופיל שנוצרו על-ידי המחשב ומאפשרים זיהוי בקלות13, החשבונות המתוחכמים האלה מופעלים על-ידי אנשים אמיתיים שמשתמשים בזהויות בדויות או גנובות כדי להסוות את ההשתייכות של החשבונות ל- CCP.

חשבונות מדיה חברתית ברשת זו מציגים דפוס פעולה דומה לפעילות שבוצעה, לפי הדיווחים, על-ידי קבוצת עלית במשרד ההגנה הציבורית (MPS) בשם 912 Special Working Group. לפי הנתונים של מחלקת המשפטים של ארצות הברית, הקבוצה הפעילה 'חוות טרולים' במדיה החברתית שיצרה אלפי פרסונות מזויפות באינטרנט וקידמה תעמולה של ה- CCP נגד פעילים פרו-דמוקרטיים.

מאז מרץ 2023 בערך, מספר נכסים החשודים כנכסי IO סיניים במדיה החברתית המערבית התחילו להיעזר בבינה מלאכותית יצרנית (AI) ליצירת תוכן חזותי. התוכן החזותי הזה, שאיכותו גבוהה יחסית, כבר הביא לרמות מעורבות גבוהות יותר של משתמשים אותנטיים ברשתות החברתיות. בתמונות אלה נמצאים סימני ההיכר של יצירת תמונות על בסיס פיזור (diffusion-powered image generation) ומושכות יותר את העין מהתוכן החזותי המגושם בקמפיינים קודמים. המשתמשים פרסמו מחדש את התמונות האלה לעתים קרובות יותר, למרות הסממנים הנפוצים של תמונה המיוצרת על-ידי AI – לדוגמה יותר מחמש אצבעות ביד של אדם.14

פרסומים במדיה החברתית, זה לצד זה, המציגים תמונות זהות של Black Lives Matter.
איור 2: גרפיקה של Black Lives Matter שהועלתה לראשונה על-ידי חשבון אוטומטי המזוהה עם ה- CCP הועלתה כעבר שבע שעות על-ידי חשבון שמתחזה למצביע שמרני בארצות הברית.
תמונת תעמולה של פסל החירות שנוצרה באמצעות AI.
איור 3: דוגמה של תמונה המיוצרת באמצעות AI שפורסמה על-ידי נכס החשוד כמשויך לפעילות IO סינית. ביד של פסל החירות המחזיקה את הלפיד יש יותר מחמש אצבעות. קבל מידע נוסף על תמונה זו בעמוד 6 של הדוח המלא.
מערך של קטגוריות משפיענים – עיתונאים, משפיעני לייף סטייל, עמיתים ומיעוטים אתניים – על רצף שנע בין הגלוי לסמוי
איור 4: יוזמה זו מתבססת על משפיענים המתחלקים לארבע קטגוריות רחבות לפי הרקע, קהלי היעד ואסטרטגיות הגיוס והניהול שלהם. לכל האנשים שכלולים בניתוח שלנו יש קשרים ישירים לתקשורת הלאומית הסינית (כגון העסקה, קבלת הזמנות תיירות או עסקאות כספיות אחרות). קבל מידע נוסף על תמונה זו בעמוד 7 של הדוח המלא

יוזמת המשפיענים של התקשורת הלאומית הסינית

אסטרטגיה נוספת שמביאה לרמת מעורבות משמעותית במדיה החברתית היא תפיסת “multilingual internet celebrity studios” (多语种网红工作室) של ה- CCP.15 מעל 230 עובדי מדיה של המדינה ממנפים את הכוח של קולות אותנטיים ומתחזים כמשפיענים עצמאיים ברשתות החברתיות בכל פלטפורמות המדיה החברתית המערביות הגדולות.16 ב- 2022 ו- 2023 משפיענים חדשים ממשיכים לצוץ כל שבע שבועות בממוצע. משפיענים אלה מגויסים, מאומנים, מקודמים וממומנים על-ידי הרדיו הבינלאומי של סין (CRI) וגורמים נוספים של המדיה הסינית הלאומית. הם מפיצים תעמולה של ה- CCP שמותאמת במומחיות לשפות שונות ומקבלת מעורבות משמעותית עם קהלי יעד ברחבי העולם, עם לפחות 103 מיליון עוקבים במשולב בפלטפורמות הרבות, שדוברים 40 שפות לפחות.

למרות שהמשפיענים מפרסמים לרוב תוכן לייף סטייל תמים, הטכניקה הזו מסווה תעמולה של ה- CCP המנסה לרכך את התדמית של סין בחו"ל.

נראה שאסטרטגיית גיוס המשפיענים הסינית ברשתות החברתיות כוללת שתי קבוצות מובחנות של אנשים: אלה עם ניסיון עבודה בעיתונות (בפרט בגופי תקשורת לאומיים) ובוגרי תוכניות של שפות זרות שסיימו לאחרונה את לימודיהם. בפרט,נראה ש- China Media Group (חברת האב של CRI ו- CGTN) מגייסת ישירות בוגרי בתי ספר לשפות זרות בסין כמו אוניברסיטת לימודי חו"ל של בייג'ינג ואוניברסיטת התקשורת של סין. אלה שלא גויסו ישירות מאוניברסיטאות הם לעתים קרובות עיתונאים ומתרגמים לשעבר, שמסירים כל סממן מפורש של שיוך לתקשורת הלאומית מהפרופילים שלהם לאחר 'מיתוג מחדש' כמשפיענים.

Song Siao, משפיען דובר לאו, מפרסם וולוג בנושא לייף סטייל ומשוחח על ההתאוששות הכלכלית בסין במהלך מגפת הקורונה העולמית.
איור 5: Song Siao, משפיען דובר לאו, מפרסם וולוג בנושא לייף סטייל ומשוחח על ההתאוששות הכלכלית בסין במהלך מגפת הקורונה העולמית. בסרטון שצילם בעצמו, הוא מבקר בסוכנות רכב בבייג'ינג ומשוחח עם תושבי המקום. קבל מידע נוסף על תמונה זו בעמוד 8 של הדוח המלא
פרסום במדיה חברתית של Techy Rachel, משפיענית בשפה אנגלית.
איור 6: Techy Rachel, משפיענית בשפה האנגלית שמפרסמת בדרך כלל בנושא טכנולוגיה וחידושים סיניים, חורגת מהנושאים הקבועים בתוכן שלה כדי לחוות דעה בדיון על בלוני הריגול הסיניים. בדומה לגופי תקשורת לאומיים אחרים בסין, היא מכחישה שהבלון נועד לריגול. קבל מידע נוסף על תמונה זו בעמוד 8 של הדוח המלא

המשפיענים מגיעים לקהלים ברחבי העולם ב- 40 שפות לפחות.

ההתפלגות הגיאוגרפית של השפות שבהן מדברים המשפיענים המזוהים עם המדינה מייצגת את ההשפעה המתרחבת של סין בעולם ואת סדר העדיפות של אזורים. קבוצת המשפיענים הגדולה ביותר מורכבת ממשפיענים שמדברים בשפות אסייתיות מלבד סינית – כמו הינדי, סינהלה, פשטו, לאו, קוריאנית, מלאית ווייטנאמית. קבוצת המשפיעים השנייה בגודלה מורכבת ממשפיענים דוברי אנגלית.
חמישה תרשימי עוגה שמציגים את ההתפלגות של משפיעני המדיה הלאומית של סין לפי שפה.
איור 7: התפלגות של משפיעני המדיה הלאומית של סין לפי שפה. קבל מידע נוסף על תמונה זו בעמוד 9 של הדוח המלא

סינית מתמקדת בקהלים ברחבי העולם

המשפיענים מתמקדים בשבעה מרחבי קהל (קיבוצי שפה) שמופרדים לאזורים גיאוגרפיים. לא מוצגים תרשימים למרחבי קהל בשפה אנגלית או סינית.

התפוצה של פעולות IO סיניות מתרחבת בעולם במספר קמפיינים

סין המשיכה להרחיב את היקף פעולות ה- IO שלה באינטרנט בשנת 2023 על-ידי פנייה לקהלים בשפות ובפלטפורמות חדשות. פעולות אלה משלבות מנגנון גלוי ומבוקר במיוחד של מדיה לאומית לצד נכסי מדיה חברתית סמויים או מוסווים, כולל בוטים שמכבסים ומחזקים את הנרטיבים המועדפים של ה- CCP.17

Microsoft הבחינה בקמפיין כזה המזוהה עם ה- CCP שהתחיל בינואר 2022 וממשיך להתנהל בזמן כתיבת מאמר זה, שמתמקד בארגון לא ממשלתי (NGO) בספרד, Safeguard Defenders, לאחר שחשף את קיומן של יותר מ- 50 תחנות משטרה סיניות מחוץ לגבולות סין.18 הקמפיין הזה פרס מעל 1,800 חשבונות במספר פלטפורמות מדיה חברתית ובעשרות אתרים כדי להפיץ ממים, סרטונים והודעות המשויכים ל- CCP ומבקרים את ארצות הברית ומדינות דמוקרטיות אחרות.

המסרים בחשבונות אלה היו בשפות חדשות (הולנדית, יוונית, אינדונזית, שוודית, טורקית, אויגורית ועוד) ובפלטפורמות חדשות, (ביניהן Fandango‏, Rotten Tomatoes‏, Medium‏, Chess.com ו- VK). למרות קנה המידה הרחב וההתמדה של פעולה זו, הפרסומים שלה לא זוכים לעתים קרובות למעורבות משמעותית ממשתמשים אותנטיים, מה שמדגיש את אופיה הבסיסי של הפעילות של רשתות סיניות אלה.

מערך של 30 סמלי לוגו מוכרים של מותגי טכנולוגיה מוכרים, מוצגים לצד רשימה של 16 שפות
איור 8: תוכן IO המשויך ל- CCP זוהה בפלטפורמות ובשפות רבות. קבל מידע נוסף על תמונה זו בעמוד 10 של הדוח המלא
דוגמאות זו לצד זו של לכידת מסך של תעמולת וידאו בשפה טייוואנית
איור 9: שיתופים בכמות גדולה של פרסומי סרטון בשפה טייוואנית שקורא לממשלת טייוואן 'להיכנע' לבייג'ינג. ההפרש הגדול בין חשיפות לשיתופים מציין במידה רבה פעילות IO מתואמת. קבל מידע נוסף על תמונה זו בעמוד 10 של הדוח המלא

רשת עולמית מוסווית של אתרי חדשות של ה- CCP

קמפיין נוסף במדיה דיגיטלית שממחיש את ההיקף המורחב של פעולות IO המזוהות עם ב- CCP הוא רשת של מעל 50 אתרי חדשות שרובם בשפה סינית שתומכים במטרה המוצהרת של ה- CCP להיות הקול הרשמי של כל המדיה בשפה הסינית בעולם.19 למרות שאתרים אלה מציגים את עצמם כאתרי עצמאיים ללא שיוך פוליטי שמשרתים קהילות שונות של הפזורה הסינית בעולם, אנחנו מעריכים ברמת בטחון גבוהה שאתרים אלה משויכים ל- United Front Work Department (‏UFWD) (מחלקת העבודה של החזית המאוחדת) של ה- CCP – ארגון האחראי לחיזוק ההשפעה של ה- CCP מעבר לגבולות סין: בפרט באמצעות קשרים עם 'סינים בחו"ל' – על פי סממנים טכניים, פרטי רישום של אתרים ותוכן משותף.20
מפת עולם עם מעל 20 סמלי לוגו של אתרי אינטרנט סיניים המתמקדים בפזורה הסינית בעולם.
איור 10: מפת אתרי אינטרנט שמתמקדים בפזורה הסינית בעולם המוערכים כחלק מאסטרטגיית מדיה זו.  קבל מידע נוסף על תמונה זו בעמוד 11 של הדוח המלא

מכיוון שרבים מאתרים אלה משתפים כתובות IP, שאילתות של רזולוציית תחומים באמצעות בינת איומים של Microsoft Defender איפשרו לנו לגלות אתרים נוספים ברשת זו. רבים בין האתרים חולקים קוד HTML של הקצה הקדמי באינטרנט, שבו אפילו ההערות של מפתח האינטרנט שמוטבעות בקוד זהות לעתים קרובות בין האתרים השונים. מעל 30 מהאתרים האלה ממנפים את אותו ממשק תיכנות יישומים (API) ואת אותה מערכת CMS של 'חברת בת בבעלות מלאה' של שירות החדשות של סין (CNS), סוכנות מדיה של ה- UFWD.21 רשומות ממשרד התעשייה וטכנולוגיית המידע הסיני ממשיכות ומגלות שחברת טכנולוגיה זו המזוהה עם ה- UFWD וחברות אחרות רשמו לפחות 14 אתרי חדשות ברשת זו.22 על-ידי שימוש בחברות בת ובחברות מדיה של צד שלישי בדרך זו, ה- UFWD יכולה להגיע לקהל עולמי תוך הסוואת המעורבות הישירה שלה.

אתרים אלה מכריזים על עצמם כספקי חדשות עצמאיים, אך מפרסמים תכופות את אותם מאמרי התקשורת הסיניים וטוענים לעתים קרובות שהם המקור של התוכן. בעוד שהאתרים סוקרים באופן נרחב חדשות בינלאומיות ומפרסמים מאמרים סיניים גנריים, הנושאים הפוליטיים הרגישים מיישרים קו באופן גורף עם הנרטיבים המועדפים על ה- CCP. לדוגמה, כמה מאות של מאמרים ברשת אתרים זו מקדמים טענות שקריות על כך שנגיף הקורונה הוא נשק ביולוגי שיוצר במעבדת מחקר של צבא ארה"ב בפורט דטריק.23 האתרים גם מפיצים לעתים קרובות הצהרות מגורמים רשמיים בממשלת סין ומאמרים של התקשורת הלאומית שטוענים שנגיף הקורונה נוצר בארצות הברית ולא בסין. האתרים האלה מדגימים את היקף השליטה של ה- CCP בסביבת המדיה בשפה הסינית, מה שמאפשר למפלגה להשתיק דיווחים קריטיים בנושאים רגישים.

תרשים Chord של מאמרים חופפים שמתפרסמים באתרים רבים.
איור 11: האתרים מציגים את עצמם כייחודיים למיקומים שלהם, אך מפרסמים תוכן זהה. תרשים Chord שמציג מאמרים חופפים שמתפרסמים באתרים רבים. קבל מידע נוסף על תמונה זו בעמוד 12 של הדוח המלא
תמונות מסך של פרסומים חוזרים של מאמר משירות החדשות הסיני באתרי אינטרנט המתמקדים בקהלים באיטליה, בהונגריה, ברוסיה וביוון
איור 12: שירות החדשות בסין וגופי מדיה לאומית סינית נוספים פרסמו מאמר שכותרות 'הצהרה מארגון הבריאות העולמי חושפת מעבדות ביולוגיות אפלות של ארה"ב באוקראינה'. המאמר התפרסם במספר אתרים, והתמקד בקהלים בהונגריה, בשוודיה, במערב אפריקה וביוון. קבל מידע נוסף על תמונה זו בעמוד 12 של הדוח המלא

התפוצה העולמית של המדיה הלאומית של סין

בעוד שהקמפיין המתואר למעלה מצטיין במידת ההסוואה שלו, רוב הצפיות בעולם במדיה של ה- CCP מתבצעות דרך אתרי מדיה רשמיים של סין. באמצעות התרחבות לשפות זרות,24פתיחה של לשכות מדיה סינית בחו"ל25 ואספקת תוכן ידידותי לבייג'ינג ללא תשלום,26ה- CCP מרחיבה את התפוצה של 'כוח הדיאלוג' (话语权) שלה ומחדירה תעמולה למדיית החדשות במדינות ברחבי העולם.27
תרשים ארגוני המייצג תמונה של אקוסיסטמת התעמולה הגלויה של ה- CCP.
איור 13: תרשים ארגוני המייצג תמונה של הפונקציות והישויות המהוות חלק מאקוסיסטמת התעמולה הגלויה של ה- CCP. קבל מידע נוסף על תמונה זו בעמוד 13 של הדוח המלא

מדידת תעבורה לאתרי מדיה לאומית של סין

מעבדת AI for Good של Microsoft פיתחה אינדקס למדידת זרימת התעבורה של משתמשים מחוץ לסין לגופים שרובם בבעלות ממשלת סין. האינדקס מודד את חלק התעבורה שעוברת באתרים אלה בהשוואה לתעבורה הכוללת באינטרנט, כמו אינדקס התעמולה הרוסית (RPI) שהושק ביוני 2022.‏28

חמישה תחומים שולטים בצריכת המדיה הלאומית הסינית, ומרכיבים כ- 60% מכל הצפיות בדפים של המדיה הלאומית הסינית.

גרפיקה המציגה את צריכת המדיה הסינית
קבל מידע נוסף על תמונה זו בעמוד 14 של הדוח המלא

האינדקס יכול להציג טרנדים בהצלחה היחסית של גופי המדיה הלאומית של סין לפי אזורים גיאוגרפיים לאורך זמן. לדוגמה, בין מדינות החברות באיגוד מדינות דרום-מזרח אסיה (ASEAN), סינגפור ולאוס בולטות, עם שיעור גדול יותר מפי שניים של תעבורה יחסית לאתרי מדיה לאומיים של סין בהשוואה לברוניי שנמצאת במקום השלישי. הפיליפינים נמצאים במקום האחרון, עם שיעור תעבורה קטן פי 30 לאתרי מדיה לאומיים של סין בהשוואה לסינגפור ולאוס. בסינגפור, שבה מנדרינית היא שפה רשמית, הצריכה הגבוהה של מדיה סינית לאומית משקפת את ההשפעה של סין על החדשות בשפה מנדרינית. בלאוס, מספר דוברי הסינית קטן בהרבה, מה שמשקף את ההצלחה היחסית של המדיה הסינית הלאומית על הסביבה במדינה.

תמונת מסך של דף הבית עם התחום בעל שיעור הביקורים הגבוה ביותר, PhoenixTV.
איור 14: דף הבית של התחום עם הביקורים הרבים ביותר, PhoenixTV, עם 32% מכל הצגות הדפים. קבל מידע נוסף על תמונה זו בעמוד 14 של הדוח המלא

פעולות סייבר של צפון קוריאה שהולכות ונעשות מתוחכמות יותר אוספות מידע ומייצרות הכנסות עבור המדינה.

גורמי איום סייבר מצפון קוריאה מקדמים פעילויות סייבר שמטרתן (1) לאסוף מידע על הפעילויות של היריבים הנתפסים של המדינה: דרום קוריאה, ארצות הברית ויפן (2) לאסוף מידע על היכולות הצבאיות של מדינות אחרות כדי לשפר את היכולות של צפון קוריאה ו- (3) לאסוף כספי מטבע דיגיטלי עבור המדינה. בשנה שעברה, Microsoft זיהתה חפיפה רבה יותר של התמקדות בין גורמי איום מובחנים של צפון קוריאה ועלייה בתחכום של קבוצות פעילות צפון קוריאניות.

העדפות הסייבר של צפון קוריאה מדגישות את המחקר הטכנולוגי הימי על הרקע של ניסויים בצוללות וכלי רכב לא מאוישים

בשנה שעברה, בינת האיומים של Microsoft זיהתה חפיפה רבה יותר של התמקדות בין גורמי האיום של צפון קוריאה. לדוגמה, שלושת גורמי האיום של צפון קוריאה – Ruby Sleet (‏CERIUM), ‏Diamond Sleet (‏ZINC) ו- Sapphire Sleet (‏COPERNICIUM) – התמקדו במגזר הימי ובמגזר הספנות בין נובמבר 2022 לינואר 2023. Microsoft לא ראתה בעבר רמה זו של חפיפה בהתמקדות בין קבוצות פעילות רבות של צפון קוריאה, מה שמציע שמחקר טכנולוגיה ימית היה בעדיפות גבוהה עבור ממשלת צפון קוריאה בזמנו. במרץ 2023, צפון קוריאה ירתה, לפי הדיווחים, שני טילי שיוט אסטרטגיים מצוללת לעבר ים סין (המכונה גם הים המזרחי) לאות הזהרה לקראת התרגיל הצבאי Freedom Shield המשותף לדרום קוריאה וארצות הברית. מאוחר יותר באותו חודש ובחודש הבא, צפון קוריאה ניסתה לכאורה שתי צוללות התקפיות לא מאוישות מסוג Haeil מחופה המזרחה של המדינה לעבר ים יפן. הבדיקות האלה של יכולות צבאיות ימיות אירעו זמן קצה לאחר ששלוש קבוצות סייבר צפון קוריאניות תקפו ישויות הגנה ימית לאיסוף מידע.

גורמי האיום פוגעים בחברות תעשייה צבאית על רקע דרישת המשטר הצפון קוריאני לאיסוף מידע בעדיפות גבוהה

מנובמבר 2022 עד ינואר 2023, Microsoft זיהתה מופע שני של התמקדות חופפת, כאשר Ruby Sleet ו- Diamond Sleet פגעו בחברות ממגזר תעשיית ההגנה. שני גורמי האיום פגעו בשתי חברות לייצור נשק בגרמניה ובישראל. הנתון הזה מצביע על כך שממשלת צפון קוריאה מטילה על מספר קבוצות של גורמי איום בבת אחת לעמוד בדרישות איסוף המידע בעדיפות גבוהה כדי לשפר את היכולות הצבאיות של המדינה. מאז ינואר 2023, Diamond Sleet פגעה גם בחברות תעשייה צבאית בברזיל, בצ'כיה, בפינלנד, בנורווגיה ובפולין.
תרשים עוגה שמציג את תעשיות ההגנה שצפון קוריאה מתמקדת בהן בשיעור הגבוה ביותר, לפי מדינה
איור 15: צפון קוריאה תוקפת את תעשיית ההגנה לפי מדינה, החל ממרץ 2022 עד מרץ 2023

התעשיות הצבאיות והממשלתיות הרוסיות ממשיכות להוות מטרה לאיסוף מודיעין על-ידי צפון קוריאה

גורמי איום רבים של צפון קוריאה תקפו לאחרונה את הממשלה ואת תעשיית ההגנה של רוסיה, תוך מתן תמיכה חומרית בו זמנית לרוסיה במלחמתה באוקראינה.32 במרץ 2023, Ruby Sleet פגעה במכון לחקר החלל ברוסיה. בנוסף, Onyx Sleet (‏PLUTONIUM) פגעה במכשיר ששייך לאוניברסיטה ברוסיה בתחילת מרץ. בנפרד, חשבון של תוקפים המשויך ל- Opal Sleet (‏OSMIUM) שלח דוא"ל דיוג לחשבונות המשויכים לישויות ממשלתיות דיפלומטיות ברוסיה באותו חודש. ייתכן גורמי איום בצפון קוריאה מנצלים את ההזדמנות לבצע איסוף מודיעין על רשויות רוסיות עקב ההתמקדות של המדינה במלחמה באוקראינה.

קבוצות בצפון קוריאה מראות פעולות מתוחכמות יותר באמצעות גניבת מטבעות דיגיטליים ומתקפות על שרשראות אספקה

Microsoft מעריכה קבוצות פעילות צפון קוריאניות מבצעות פעולות ברמת תחכום עולה באמצעות גניבת מטבעות דיגיטליים ומתקפות על שרשראות אספקה. בינואר 2023, משרד החקירות הפדרלי (FBI) ייחס באופן ציבורי את השוד ביוני 2022 של $100 מיליון USD במטבעות מבוזרים מ- Harmony’s Horizon Bridge ל- Jade Sleet (DEV-0954), המכונה גם Lazarus Group/APT38.33 יתר על כן, Microsoft מייחסת את מתקפות שרשרת האספקה של 3CX במרץ 2023 שמינפה פגיעה קודמת בשרשרת האספקה של חברת טכנולוגיה פיננסית שממוקמת בארצות הברית ב- 2022 ל- Citrine Sleet (DEV-0139). זו הייתה הפעם הראשונה שבה Microsoft הבחינה בקבוצת פעילות משתמשת בפגיעה בשרשרת אספקה קיימת כדי לבצע מתקפה נוספת על שרשרת אספקה, מה שמצביע על התחכום העולה של פעולות הסייבר של צפון קוריאה.

Emerald Sleet מיישמת טקטיקת דיוג בדוקה ומנוסה בכך שהיא מפתה מומחים להציע תובנות בנוגע למדיניות זרה

קבוצת Emerald Sleet ‏(THALLIUM) נותרת גורם האיום הפעיל ביותר של צפון קוריאה ש- Microsoft עוקבת אחריו בשנה האחרונה. Emerald Sleet ממשיכה לשלוח הודעות דוא"ל לדיוג (spearphishing) לעתים קרובות למומחים לחצי האי הקוריאני ברחבי העולם למטרות איסוף מודיעין. בדצמבר 2022, בינת האיומים של Microsoft פירטה את קמפייני הדיוג של Emerald Sleet שמתמקדים במומחים בעלי שם לצפון קוריאה בארצות הברית ובבעלות הברית שלה. במקום לשלוח קבצים זדוניים או קישורים לאתרים זדוניים, Microsoft גילתה ש- Emerald Sleet משתמשת בטקטיקה ייחודית: היא מתחזה למוסדות אקדמיים ומוסדות לא ממשלתיים מכובדים כדי לפתות את הקורבנות לפרט תובנות של מומחים ולהציע פרשנות לגבי מדיניות של גורמים זרים בנוגע לצפון קוריאה.

היכולות: השפעה

צפון קוריאה ביצעה מספר מוגבל של פעולות השפעה בפלטפורמות מדיה חברתית לשיתוף וידאו כמו YouTube ו- TikTok בשנה האחרונה.34 משפיענים מצפון קוריאה ב- YouTube הם בעיקר נערות ונשים, אחת מהן בת 11 בלבד. הן מפרסמות וולוגים על חיי היום-יום שלהן ומקדמות נרטיבים חיוביים לגבי המשטר. חלק מהמשפיעניות דוברות אנגלית בסרטונים, במטרה להגיע לקהל רחב יותר בעולם. המשפיעניות של צפון קוריאה הרבה פחות יעילות מיוזמת המשפיענים המגובה במדיה הסינית הלאומית.

מבט קדימה על רקע המתיחות הגיאופוליטית שדוחפת פעילות סייבר ופעולות השפעה

סין ממשיכה להרחיב את יכולות הסייבר שלה בשנים האחרונות וגילתה שאיפות הרבה יותר גדולות בקמפייני ה- IO שלה. בתקופה הקרובה, צפון קוריאה תמשיך להתמקד במטרות הקשורות לאינטרסים הפוליטיים, הכלכליים והצבאיים שלה באזור. אנחנו יכולים לצפות לריגול סייבר רחב יותר נגד היריבים והתומכים כאחד של היעדים הגיאופוליטיים של ה- CCP בכל היבשות. בזמן שקבוצות איום המבוססות בסין ממשיכות לפתח יכולות סייבר מרשימות ולהפעיל אותן, לא ראינו שסין משלבת פעולות סייבר עם פעולות השפעה – בניגוד לאיראן ורוסיה, שמבצעות קמפיינים של פריצה והדלפה.

גורמי ההשפעה המזוהים עם סין פועלים בקנה מידה שלא משתווה לגורמי השפעה זדוניים אחרים ומכוונים לנצל מספר מגמות ואירועים מרכזיים בחצי השנה הבאה.

תחילה, הפעולות שמנצלות מדיה חזותית ווידאו הופכות לנורמה. רשתות המזוהות עם ה- CCP משתמשות זה זמן רב בתמונות פרופיל שמיוצרות באמצעות AI ובשנה זו אימצו גרפיקה המיוצרת באמצעות AI לממים חזותיים. גורמים במימון מדינה ימשיכו גם הם להשתמש בחברות תוכן פרטיות ובחברות יחסי ציבור כדי לייצר תעמולה לפי דרישה.35

שנית, סין תמשיך לשאוף למעורבות של קהל אותנטי, ותשקיע זמן ומשאבים בנכסי מדיה חברתית מתורבתים. משפיענים בעלי ידע לשוני ותרבותי מעמיק ותוכן וידאו איכותי היו חלוצים ביצירה מוצלחת של מעורבות במדיה החברתית. ה- CCP תיישם חלק מהטקטיקות האלה, כולל אינטראקציה עם משתמשים ברשתות החברתיות והפגנת ידע תרבותי כדי לחזק את הקמפיינים המוסווים שלה במדיה חברתית.

שלישית, טייוואן וארצות הברית יישארו, ככל הנראה, שתי המטרות המועדפות לפעולות IO סיניות, בייחוד לאור הבחירות המתקרבות בשתי המדינות ב- 2024. לאור העובדה שגורמי השפעה המזוהים עם ה- CCP התמקדו בבחירות בארצות הברית בעבר הלא רחוק, כמעט אין ספק שהם יעשו זאת שוב. נכסים במדיה החברתית שמתחזים למצביעים מארצות הברית יפגינו ככל הנראה רמות תחכום גבוהות יותר ויזרעו באופן פעיל מחלוקת בתחומים סוציו-אקונומיים, אידאולוגיים ובתחומי הגזע באמצעות תוכן שמבקר בחריפות את ארצות הברית.

  1. [1]
  2. [2]

    בסיסים חדשים בפיליפינים מגבירים את הנוכחות הצבאית של ארצות הברית באזור, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    כרגע יש ראיות מספיקות כדי לקשור את הקבוצות יחד.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; נתונים סטטיסטיים אלה משקפים את הנתונים נכון לאפריל 2023.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; גורמי השפעה מעין אלה מכונים לעתים:Spamouflage Dragon או DRAGONBRIDGE.
  18. [18]
  19. [19]
  20. [20]

    ראה: המסגרת של מרכז ניתוח האיומים של Microsoft לקביעת ייחוסי השפעה. https://go.microsoft.com/fwlink/?linkid=2262095; הפזורה הסינית מכונה לעתים קרובות כ'הסינים שבחו"ל' או 华侨‏ (huaqiao) על-ידי ממשלת סין, כינוי המתייחס לאנשים בעלי אזרחות או מורשת סינית שמתגוררים מחוץ ל- PRC. לפרטים נוספים על הפרשנות של בייג'ינג לגבי הפזורה הסינית, ראה: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    ממשלת סין הפיצה את העלילה הזו בתחילת מקפת הקורונה העולמית, ראה: https://go.microsoft.com/fwlink/?linkid=2262170; אתרים ברשת זו שמקדמים טענה זו כוללים: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    הגנה על אוקראינה: לקחים מוקדמים ממלחמת הסייבר, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    פירוש אחר של xuexi qiangguo הוא "ללמוד על Xi, לחזק את המדינה". השם הזה הוא משחק מילים על שם המשפחה של Xi Jinping. ממשלות, אוניברסיטאות ועסקים בסין מקדמים במידה רבה את השימוש באפליקציה זו, ולפעמים מביישים או מענישים את הפקודים שלהם בגין שימוש לעתים רחוקות, ראה: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    The Paper (העיתון) נמצא בבעלות קבוצת המדיה המאוחדת של שנגחאי (Shanghai United Media Group), שבתורה שייכת לוועדת המפלגה הקומוניסטית של שנגחאי: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    ה- CCP השקיעה בעבר בחברות במגזר הפרטי שמסייעות לקמפייני IO באמצעות טכניקות תמרון SOE, לייקים ועוקבים מזויפים ושירותים אחרים. מסמכי רכש חושפים ניסיונות כאלה, ראה: https://go.microsoft.com/fwlink/?linkid=2262522

פעולות המשפיעות על תחום הסייבר דוחות לגבי מדינת לאום במזרח אסיה דוחות מדינת לאום דיוג גורמי איום

מאמרים קשורים

Volt Typhoon שם לו למטרה תשתית אמריקאית קריטית באמצעות טכניקות שימוש בכלים קיימים

גורם האיום תחת חסות מדינת סין, Volt Typhoon, נצפה משתמש בטכניקות חמקניות כדי להציב כמטרה תשתית אמריקאית קריטית, לבצע ריגול ולשכון בסביבות חשופות לסכנה.
למידע נוסף

תעמולה בעידן הדיגיטלי: כיצד פעולות סייבר בעלות השפעה מפוררות אמון

סקור את העולם של פעולות סייבר בעלות השפעה, בהן מדינות לאום מפיצות תעמולה שנועדה לאיים אל מידע אמין של דמוקרטיות שמבקשות להמשיך ולשגשג.
למידע נוסף

איראן פונה לפעולות השפעה תומכות סייבר לקבלת אפקט גדול יותר

בינת האיומים של Microsoft חושפת עלייה בפעולות השפעה תומכות סייבר שיוצאות מאיראן. קבל תובנות לגבי איומים עם פרטים לגבי טכניקות חדשות והיכן קיים הפוטנציאל לאיומים עתידיים.
למידע נוסף

עקוב אחר Microsoft