Trace Id is missing
דלג לתוכן הראשי
Insider בנושא אבטחה

גורמי האיום הרוסים מתבצרים ומתכוננים להשתלט על התשישות מהלחמה

הורד
שתף
פעולות המשפיעות על תחום הסייבר
מבוא
גורמי סייבר והשפעה רוסים הפגינו יכולת הסתגלות לאורך המלחמה באוקראינה, תוך שהם מנסים דרכים חדשות להשיג יתרון בשדה הקרב ולהחליש את המקורות התמיכה הביתיים והחיצוניים של קייב. דוח זה יפרט את איום הסייבר ואת פעילות ההשפעה המרושעת ש- Microsoft צפתה בהם בין מרץ לאוקטובר 2023. במהלך זמן זה, הצבא האוקראיני והאוכלוסיה האזרחית היו שוב תחת הכוונת, בעוד של הסיכון לפלישה ומניפולציה גדל בקרב ישויות ברחבי העולם שמסייעות לאוקראינה ושואפות להטיל את האחריות על הכוחות הרוסיים בגין פשעי מלחמה.

שלבים של המלחמה הרוסית באוקראינה מינואר 2022 עד יוני 2023

תרשים שמציג שלבים של המלחמה הרוסית באוקראינה
קבל מידע נוסף על תמונה זו בעמוד 3 של הדוח המלא

פעולות האיומים ש- Microsoft צפתה בהם במהלך תקופה זו בין מרץ לאוקטובר שיקפו פעולות משולבות של דכדוך הציבור האוקראיני ועליה במיקוד בריגול סייבר. גורמי הצבא, הסייבר והתעמולה הרוסיים כיוונו מתקפות מרוכזות נגד מגזר החקלאות האוקראיני - יעד של תשתית אזרחית - בתוך משבר תבואה גלובלי. גורמי איום סייבר שמקושרים למודיעין הצבא הרוסי (GRU) נטו לפעולות ריגול סייבר נגד הצבא האוקראיני וקווי האספקה הזרים שלו. בשעה שהקהילה הבינלאומית ביקשה להעניש על פשעי מלחמה, קבוצות שמקושרות למודיעין הזר של רוסיה (SVR) ולשירותי האבטחה הפדרליים (FSB) הציבו ליעד חוקרי פשעי מלחמה בתוך אוקראינה ומחוצה לה.

בחזית ההשפעה, המרד הקצר של יוני 2023 ולאחר מותו של יבגני פריגוז’ין, הבעלים של כוח וגנר ושל רווחת טרולים בסוכנות מחקר אינטרנטי ידועה לשמצה, העלו את השאלה לגבי העתיד של יכולות ההשפעה של רוסיה. במהלך קיץ זה, Microsoft צפתה בפעולות נרחבות על-ידי ארגונים שלא היו מחוברים לפריגוז’ין, אשר תיארו את העתיד של רוסיה של קמפייני השפעה מרושעים בלעדיו.

צוותי בינת האיומים של Microsoft ותגובה לתקריות יידעו לקוחות מושפעים ושותפי ממשלות, ועבדו איתם, כדי להקל על פעילות האיום שמתוארת בדוח זה.

הכוחות הרוסיים מסתמכים יותר על נשקי קונבנציונלי כדי להסב נזק באוקראינה, אך פעולות סייבר והשפעה נותרות איום דחוף לאבטחה של רשתות מחשבים וחיי האזרחים בקרב בעלות הברית של אוקראינה באזור, חברות נאט”ו וברחבי העולם. בנוסף לעדכון מוצרי האבטחה שלנו כך שיגנו באופן יזום על הלקוחות שלנו ברחבי העולם, אנחנו משתפים מידע זה כדי לעודד דריכות מתמשכת נגד איומים לתקינות של מרחב המידע הגלובלי.

כוחות התנועה, הסייבר והתעמולה הרוסיים התכנסו נגד מגזר החקלאות של אוקראינה הקיץ. תקיפות צבאיות השמידו כמויות עצומות של תבואה שהיו יכולות להאכיל מעל מיליון אנשים במשך שנה, בעוד שמדיה פרו-רוסית עודדה נרטיבים שמצדיקים את הייעוד למרות המחיר ההומניטרי.1

החל מיוני ועד ספטמבר, בינת האיומים של Microsoft צפתה בחדירה לרשת, שליפת נתונים ואפילו תוכנה זדונית הרסנית שנפרסו נגד ארגונים שקשורים לענף החקלאות האוקראיני ולתשתית משלוח שקשורה לתבואה. ביוני וביולי, קבוצת Aqua Blizzard (נקראה בעבר ACTINIUM) גנבה נתונים מחברה שמסיימת למעקב אחר תנובת יבולים. קבוצת Seashell Blizzard (נקראה בעבר IRIDIUM) השתמשת במשתנים של תוכנה זדונית הרסנית בסיסית ש- Microsoft זיהתה כ- WalnutWipe/SharpWipe נגד רשתות של מגזר המזון/חקלאות.2

פירוט של פעילויות התעמולה הדיגיטלית הרוסיות הופנו נגד החקלאות האוקראינית

מראה שפעילויות התעמולה הדיגיטלית הרוסיות הופנו נגד החקלאות האוקראינית
קבל מידע נוסף על תמונה זו בעמוד 4 של הדוח המלא

ביולי, מוסקבה פרשה מהסכם ייצוא החיטה האוקראיני, מאמץ הומניטרי שעזר למנוע משבר מזון עולמי ואפשר שינוע של מעל 725,000 טונות חיטה לאנשים באפגניסטן, באתיופיה, בקניה, בסומליה ובתימן בשנה הראשונה שלו.3 לאחר הפעולה של מוסקבה, כלי תקשורת פרו-רוסיים וערוצי טלגרם התערבו כדי להשמיץ את יוזמת התבואה ולספק הצדקה להחלטה של מוסקבה. ערוצי תקשורת תעמולתיים הציגו את מסדרון התבואה כחזית של סחר בסמים או שידרו שהמשמעות שלה הוא שינוע כלי נשק בהחבא, כדי לזלזל בחשיבות ההומניטרית של המבצע.

במספר דיווחים משנת 2023, הדגשנו כיצד קבוצות האקטיביסטים לגיטימיות או מדומות בעלות חשד לקשרים עם ה- GRU, עבדו כדי להגביר את חוסר הרצון של מוסקבה מהיריבים ולהפריז במספר כוחות הסייבר הפרו-רוסיים.4 5 6 בקיץ זה, אנו צופים גם באושיות האקטיביסטים בטלגרם שמפיצות הודעות שמנסות להצדיק תקיפות צבעיות על תשתית אזרחית באוקראינה ומיקדו מתקפות מניעת שירות מבוזרת (DDoS) נגד בעלות הברית של אוקראינה מחוץ למדינה. הניטור המתמשך של Microsoft אחר הצטלבות של קבוצות האקטיביסטים עם גורמי מדינת לאום מציע תובנות נוספו לקצב התפעולי של שתי הישויות והדרכים בהן הפעילויות שלהם השלימו את היעדים זו של זו.

עד היום, זיהינו שלוש קבוצות - Solntsepek, ‏InfoCentr ו- Cyber Army of Russia - אשר קיימו אינטראקציה עם Seashell Blizzard. מערכת היחסים של Seashell Blizzard אמצעי מדיה האקטיביסטים עשויה להיות מערכת יחסים לשימוש קצר טווח, בניגוד לשליטה, בהתבסס על שיאים זמניים של האקטיביסטים ביכולות סייבר מקבילות למתקפות של Seashell Blizzard. אחת לתקופה, Seashell Blizzard השיקה מתקפה הרסנית שקבוצות האקטיביסטים בטלגרם לקחו עליהן את הקרדיט מדי פעם. בשלב זה ההאקטיביסטים חזרו לפעולות בעלות מורכבות חוקתית שהם בדרך-כלל מבצעים כולל מתקפת DDoS או דליפות של מידע אישי אוקראיני. הרשת מייצגת תשתית גמישה שה- APT יכולים להשתמש בה כדי לקדם את הפעילות שלהם.

מעגל של האקטיביסטים פרו-רוסים

תרשים שמציג מעגל של האקטיביסטים פרו-רוסים
קבל מידע נוסף על תמונה זו בעמוד 5 של הדוח המלא

כוחות רוסים אינם מעורבים רק בפעולות שיכולות להיתקל בהסתבכות עם החוק הבינלאומי, אך גם הציבו כמטרה חוקרי פושעים ותובעים שבונים תיקים נגדם.

מדידת השימוש של Microsoft חשפה שגורמים שמקושרים לצבא הרוסי ולסוכנויות מודיעין זרות, הציבו כמטרה רשתות משפטיות וחקירה אוקראיניות ופלשו אליהן, ולרשתות ששייכות לארגונים בינלאומיים שקשורים בחקירות לגבי פשעי מלחמה, לאורך האביב והקיץ של שנה זו.

פעולות סייבר אלה התרחשו בין מתחים עולים ונבנים בין מוסקבה וקבוצות כגון בית המשפט הפלילי הבינלאומי (ICC - International Criminal Court) אשר הנפיק צו מעצר כנגד נשיא רוסיה פוטין בגין העמדות לדין על פשעי מלחמה במרץ.7

באפריל, קבוצת Seashell Blizzard שמקושרת ל- GRU פרצה רשת של משרד עורכי דין שהתמקד בתיקים של פשעי מלחמה. קבוצת Aqua Blizzard, שמשויכת ל- FSB, פרצה לרשת בינלאומית של גוף חקירות גדול באוקראינה בחודש יולי, לאחר מכן השתמש בחשבונות שנחשפו חסכנה שם כדי לשלוח הודעות דוא"ל לדיוג למספר חברות טלקום אוקראיניות בחודש ספטמבר.

קבוצת גורמי ה- SVR שנקראת Midnight Blizzard (נקראה בעבר NOBELIUM) פרצה וניגשה למסמכים של ארגון משפטי בעל תחומי אחריות גלובליים ביוני ויולי לפני ההתערבות של תגובת Microsoft לתקריות לתיקון הפלישה. הפעילות הייתה חלק מדחיפה אגרסיבית יותר שבוצעה על-ידי גורם זה כדי לפרוץ לארגונים דיפלומטיים, ארגוני הגנה, מדיניות ציבורית וארגונים של מגזר ה- IT ברחבי העולם.

סקירה של הודעות האבטחה של Microsoft שהונפקו ללקוחות מושפעים מאז מרץ, חשפו ש- Midnight Blizzard חיפשה גישה למעל 240 ארגונים בעיקר בארה”ב, בקנדה ובמדינות אירופאיות אחרות, ברמה משתנה של הצלחה.8

כמעט 40%  מהארגונים המיועדים היו ממשלתיים, בין-ממשלתיים או קבוצות דיון שהתמקדו במדיניות.

גורמי איום רוסים השתמשו בטכניקות מגוונות כדי להשיג גישה ראשונית ולבסס התמדה ברשתות שמהוות יעד. Midnight Blizzard נקטה בגישה נקודתית, באמצעות מתקפת Password Spray, פרטי כניסה שנרכשו מצדדים שלישיים, קמפיינים אמינים של הנדסה חברתית באמצעות Teams ושימוש לרעה של שירותי ענן כדי לחדור לסביבות ענן.9 Aqua Blizzard שילבה בהצלחה הברחת HTML בקמפיינים ראשוניים של דיוג גישה כדי להפחית את הסבירות של זיהוי על-ידי חתימות אנטי-וירוס ובקרות אבטחה של דוא"ל.

Seashell Blizzard ניצלה מערכות שרתים היקפיות כגון שרתי Exchange ו- Tomcat ומינפה בו-זמנית תוכנת Microsoft Office פיראטית שהתמקמה בדלת האחורית של DarkCrystalRAT כדי להשיג גישה ראשונית. הדלת האחורית אפשרה לגורם לטעון תוכן מנה בשלב שני שאנחנו קוראים לו Shadowlink, חבילת תוכנות שמתחזה ל- Microsoft Defender, אשר מתקינה אל שירות TOR במכשיר ומעניקה לגורם האיום גישה חשאית דרך רשת TOR.10

דיאגרמה שמציגה כיצד Shadowlink מתקינה את שירות TOR במכשיר תוכנה
קבל מידע נוסף על תמונה זו בעמוד 6 של הדוח המלא 

מאז שהכוחות הרוסים השיקו המתקפה שלהם באביב 2023, גורמי סייבר שמשויכים ל- GRU ול- FSB ריכזו את מאמציהם באיסוף מודיעין מאמצעי תקשורת ומתשתית צבאית אוקראינים באזורי קרב.

החל ממרץ, בינת האיומים של Microsoft חיברה בין Seashell Blizzard לפיתויי דיוג פוטנציאליים ולחבילות שנראה שהן מותאמות לייעוד של רכיב חשוב בתשתית התקשורת של צבא אוקראינה. לא הייתה לנו נראות כלשהו על פעולת המשך. בהתאם לשירות הביטחון האוקראיני (SBU), ניסיונות אחרים של Seashell Blizzard לגשת לרשתות של צבא אוקראינה כללו תוכנה זדונית שהייתה מאפשרת להם לאסוף מידע לגבי התצורות של מסופי לוויין Starlink מקושרים ולאסוף את המיקום של יחידות של צבא אוקראינה.111213

גם קבוצת Secret Blizzard (נקראה בעבר KRYPTON) עברה לדריסות רגל של איסוף מודיעין מאובטח ברשתות שקשורות להגנה האוקראינית. בשותפות עם Government Computer Emergency Response Team של אוקראינה (CERT-UA), בינת האיומים של Microsoft זיהתה את הנוכחות של התוכנה הזדונית DeliveryCheck ו- Kazuar בדלת האחורית של Secret Blizzard במערכות של כוחות ההגנה האוקראינים.14 Kazuar מאפשרת יותר מ- 40 פונקציות כולל גניבת פרטי כניסה ממגוון אפליקציות, נתוני אימון, שרתי Proxy וקבצי Cookie, ואחזור נתונים מרישומי מערכת הפעלה.15 Secret Blizzard התעניינה במיוחד בגניבת קבצים שמכילים הודעות מאפליקציית העברת ההודעות Signal לשולחן עבודה, שתאפשר להם לקרוא צ'אטים פרטיים של Signal.16

Forest Blizzard (נקראה בעבר STRONTIUM) חידשה את המיקוד ביעדי הריגול המסורתיים שלה, ארגונים שקשורים להגנה בארה”ב, קנדה ואירופה, שצבאותיהם תומכים באוקראינה ומתאמנים לשמירה על הכוחות האוקראינים מצוידים כדי שימשיכו במלחמה.

מאז חודש מרץ, Forest Blizzard ניסתה להשיג גישה ראשונית לארגוני הגנה באמצעות הודעות דיוג שכללו טכניקות חדשות וחמקניות. לדוגמה, באוגוסט Forest Blizzard שלחה הודעת דוא"ל לדיוג שכללה שימוש לרעה עבור CVE-2023-38831 למחזיקי חשבונות בארגון הגנה אירופאי. CVE-2023-38831 היא פגיעות אבטחה בתוכנת WinRAR שמאפשרת לתוקפים להוציא לפועל קוד שרירותי כאשר המשתמש מנסה להציג קוד לא מזיק בתוך ארכיון ZIP.

הגורם גם ממנף כלי פיתוח לגיטימיים כגון Mockbin ו- Mocky לצורף פקודה ובקרה. החל מסוף ספטמבר, הגורם ביצע קמפיין דיוג שהשתמש לרעה בשירותי GitHub ו-Mockbin. CERT-UA וחברות אבטחת סייבר אחרות פרסמו את הפעילות בספטמבר, כאשר ציינו שהגורם השתמש בדפי בידור למבוגרים כדי לפתות קרבנות ללחוץ על קישור או לפתוח קובץ שיפנה אותם לתשתית Mockbin זדונית.1718Microsoft צפתה בסיבוב על ציר באמצעות דף בנושא טכנולוגיה בסוף ספטמבר. בכל מקרה, הגורמים שלחו הודעת דוא"ל לדיוג שמכיל קישור זדוני שיפנה את הקרבן לכתובת URL של Mockbin להורדת קובץ zip שנמצא בחבילה עם קובץ LNK (קיצור) זדוני שמתחזה לקובץ Windows Update. לאחר מכן קובץ ה- LNK יוריד ויוציא לפועל קובץ Script אחר של PowerShell כדי לבסס פעולות עקביות שמבצעות מעקב כגון גניבת נתונים.

צילום מסך לדוגמה של קובץ PDF לפיתוי שמשויך לדיוג בארגוני הגנה שנעשה על-ידי קבוצת Forest Blizzard.

גורם איום שמתחזה לצוות הפרלמנט האירופי
קובץ מצורף להודעת דוא”ל: ’סדר יום 28 באוגוסט - 03 בספטמבר 2023’ עבור פגישות של הפרלמנט האירופי. תקשורת בשירות העיתונות. 160 KB bulletin.rar
איור 5: צילום מסך של קובץ PDF לפיתוי שמשויך לדיוג בארגוני הגנה שנעשה על-ידי קבוצת Forest Blizzard.  קבל מידע נוסף על תמונה זו בעמוד 8 של הדוח המלא

לאורך שנת 2023, MTAC המשיכה בתצפית על Storm-1099, גורם השפעה שמשויך לרוסיה ואחראי על פעולת השפעה מתוחכמת פרו-רוסית שהיעד שלה היה תומכים בינלאומיים באוקראינה מאביב 2022.

הפעילויות של EU DisinfoLab,‏19 Storm-1099, שאולי הידועה מכולן היא פעולת זיוף האתרים בקנה מידה עצום שאותה מכנה קבוצת חוקרים ”Doppelganger”, כוללות גם אמצעי תקשורת ייחודיים מסומנים כגון Reliable Recent News ‏(RRN), פרוייקטים של מולטימדיה כגון סדרה מאוירת נגד אוקראינה שנקראת “Ukraine Inc.,‎” והפגנות קרקעיות שמגשרות בין העולם הדיגיטלי לפיזי. על אף שהשיוך לא הושלם, אנשי טכנולוגיה, תעמולה ומומחי PR פוליטיים רוסים שמקבלים מימון רב, בעלי קשרים מוכחים למדינת רוסיה, ביצעו מספר קמפיינים של Storm-1099 ותמכו בהם.20

פעולת האתרים הכפולים (Doppelganger) של Storm-1099 נותרה בכוחה המלא נכון למועד דוח זה, למרות ניסיונות עקביים על-ידי חברות טכנולוגיה וישויות מחקר לדווח על המחקר שלה או להקל עליו.21 בעוד שגורם זה ייעד ברמה ההיסטורית את אירופה המערבית - באופן מדהים את גרמניה - הוא גם שם על המוקד את צרפת, איטליה ואוקראינה. בחודשים האחרונים Storm-1099 העבירה את המיקוד המקומי שלה לעבר ארצות הברית וישראל. מעבר זה התחיל כבר בינואר 2023, בעיצומן של מחאות בקנה מידה גדול בישראל נגד הרפורמה המשפטית המוצעת שהתעצמו לאחר המתקפה של מלחמת ישראל-חמאס בתחילת אוקטובר. אמצעי תקשורת מסומנים חדשים שנוצרו מהרהרים על קביעת סדר עדיפויות גדלה של פוליטיקה אמריקאית והבחירות הקרבות לנשיאות ארה”ב בשנת 2024, בעוד שנכסי Storm-1099 קיימים דחפו בכוח טענה שקרית שהחמאס רכש כלי נשק אוקראינים בשוק השחור לצורך מתקפות ה- 7 באוקטובר שהארגון ביצע בישראל.

לאחרונה, בסוף אוקטובר, MTAC צפתה בחשבונות Microsoft שהוערכו כנכסי Storm-1099, מקדמים סוג חדש של זיוף בנוסף למאמרים ואתרי אינטרנט מזויפים במדיה החברתית. ישנה סדרה של סרטוני חדשות מזויפים קצרים, שנצרו כביכול על-ידי אמצעי תקשורת ידועים לשמצה, אשר הפיצו תעמולה פרו-רוסית כדי לערער את התמיכה באוקראינה ובישראל. בעוד שטקטיקה זו - שימוש בזיופי סרטונים כדי לדחוף שורות תעמולה - היא טקטיקה שנצפתה בחודשים האחרונים על-ידי גורמים פרו-רוסים באופן נרחב יותר, הקידום של Storm-1099 של רגעי של סרטון מסוג תוכן בלבד מדגיש את טכניקות ההשפעה המגוונת של הגורם ואת מטרות העברת ההודעות שלו.

מאמרים מפורסמים בנושא אתרי כפילים מזויפים

הקמפיין שבוצע על-ידי גורם האיום הרוסי בעל השפעת סייבר Storm 1099, נצפה והיה תחת מעקב של Microsoft.
נצפו והיו תחת מעקב של Microsoft ב- 31 באוקטובר 2023. מאמרים שפורסמו בנושא אתרים כפולים; הקמפיין שבוצע על-ידי גורם האיום הרוסי בעל השפעת סייבר Storm 1099.
קבל מידע נוסף על תמונה זו בעמוד 9 של הדוח המלא

מאז המתקפה של חמאס על ישראל ב- 7 באוקטובר, מדיה בבעלות המדינה הרוסית וגורמי השפעה שמתואמים עם המדינה, שאפו לנצח את מלחמת ישראל-חמאס כדי לקדם נרטיבים אנטי-אוקראיניים, סנטימנט אנטי-ארה”ב והחמרה של המתח בין כל הצדדים. פעילות זו, בעוד שמדובר בתגובה למלחמה ובאופן כללי בעלת היקף מוגבל, כולל מדיה בחסות גלויה של המדינה ורשתות מדיה חברתית שמקושרות באופן חבוי לרוסיה שמשתרעות על-פני פלטפורמות מדיה חברתית מרובות.

 

נרטיבים שקודמו על-ידי פעילי תעמולה רוסים ורשתות מדיה חברתית פרו-רוסים מבקשים לעמת את ישראל נגד אוקראינה ולהפחית את התמיכה המערבית בקייב על-ידי טענת כזה שאוקראינה חימשה את לוחמי חמאס בזיופים של אמצעי תקשורת ידועים לשמצה וסרטונים שעברו מניפולציה. סרטון שקרי שטען שמגויסים זרים, כולל אמריקאים, הועברו מאוקראינה כדי להצטרף לפעולות צה”ל ברצועת עזה, אשר זכו למאות אלפי צפיות ברחבי פלטפורמות מדיה חברתית, הציע דוגמה אחת בלבד לתוכן מסוג זה. אסטרטגיה זו מניעה נרטיבים אנטי-אוקראינים לקהל רחב ומקדמת מעורבות על-ידי עיצוב נרטיבים שקריים שיהיו תואמים לסיפורי חדשות מתפתחים חשובים.

 

רוסיה גם משנה פעילות השפעה דיגיטלית באמצעות קידום של אירועים בעולם האמיתי. אמצעי תקשורת רוסים קידמו באגרסיביות תוכן מסית שמחזק את המחאות שקשורות למלחמת ישראל-חמאס במזרח התיכון ובאירופה - כולל באמצעות התכתבויות ממשיות מסוכנויות חדשות של מדינת רוסיה. בסוף אוקטובר 2023, הרשויות הצרפתיות האשימו ארבעה אזרחים מולדביים שככל הנראה היו מקושרים ליצירת עותקי גרפיטי של מגן דוד בשטחים ציבוריים בפריז. נמסר ששניים מהמולדביים טענו שהם קיבלו הנחיה מאנשים ששימשו דוברים רוסים, מה שמרמז על אחריות רוסית לגרפיטי. תמונות של גרפיטי חוזקו במועד מאוחר יותר על-ידי נכסי Storm-1099.22

 

רוסיה ככל הנראה מעריכה שהקונפליקט המתמשך בין ישראל לחמאס נמצא ביתרון הגאופוליטי שלה, שכן היא מאמינה שהקונפליקט מסיח את דעת המערב מהמלחמה באוקראינה. לאחר טקטיקות שנמצאות בשימוש רב במדריך ההשפעה המבוסס של רוסיה, MTAC מעריכה שגורמים מסוג זה ימשיכו לזרוע תעמולה מקוונת ולמנף אירועים בינלאומיים גדולים אחרים כדי לעורר מתח ולנסות לעכב את היכולת של המערב להתנגד לפלישה של רוסיה לאוקראינה.

תעמולה נגד אוקראינה התפשטה באופן נרחב לפעילות השפעה רוסית מלפני הפלישה המלאה בשנת 2022. עם זאת, בחודשים האחרונים רשתות השפעה פרו-רוסיות ומשויכות לרוסיה התמקדו בשימוש בסרטון כאמצעי דינמי יותר להפצת הודעות אלה ביחד עם אמצעי תקשורת מוסמכים מזויפים למינוף המהימנות שלהם. MTAC צפתה בשני קמפיינים מתמשכים שבוצעו על-ידי גורמים פרו-רוסים לא ידועים שקשורים במותגי חדשות מיינסטרים ואמצעי בידור מזויפים כדי לדחוף תוכן וידאו. בדומה לקמפייני תעמולה רוסים קודמים, פעילות זו מתמקדת בתיאור ולדימיר זלנסקי, נשיא אוקראינה, כאדם מושחת ומכור לסמים ואת תמיכת המערב בקייב כמזיקות לאוכלוסיות המקומיות של אותן מדינות. התוכן בשני הקמפיינים שואף ללא הרף להפחית את התמיכה באוקראינה אף מאמץ נרטיבים לתיאום עם אירועי חדשות חדשים - כגון טביעת הצוללת טיטאן ביוני 2023 או מלחמת ישראל-חמאס כדי להגיע לקהלים נרחבים יותר.

תרשים שמציג סקירה כללית של סרטוני חדשות מזויפים

הצגת סקירה כללית של סרטוני חדשות מזויפים
קבל מידע נוסף על תמונה זו בעמוד 11 של הדוח המלא

אחד מהקמפיינים האלה שמתמקדים בווידאו מערבים סדרה של סרטוני וידאו מפוברקים שמפיצים נושאים ונרטיבים שקריים, אנטי-אוקראיניים שמשויכים לקרמלין תחת מסווה של דיווחי חדשות קצרים מאמצעי תקשורת מיינסטרים. MTAC צפתה לראשונה בפעילות זו באפריל 2022 כאשר ערוצי טלגרם פרו-רוסים פרסמו סרטון חדשו מזויף של ה- BBC, אשר טען שהצבא האוקראיני היה אחראי למתקפת טילים שגרמה למותם של עשרות אזרחים. הסרטון משתמש בסמל של ה- BBC, בערכת הצבעים ובאסתטיקה של הערוץ, וכלל כתוביות באנגלית שכללו שגיאות שנפוצות בעת תרגום משפות סלביות לאנגלית.

קמפיין זה המשיך לאורך שנת 2022 והואץ בקיץ 2023. במועד העיבוד של דוח זה, MTAC צפתה במעל לעשרות סרטוני מדיה מזויפים בקמפיין, כאשר אמצעי התקשורת שזויפו שתדירות הגבוהה ביותר היו חדשות BBC, אל-ג’זירה ו- EuroNews. ערוצי טלגרם בשפה הרוסית הדגישו לראשונה את סרטוני הווידאו לפני שהם הופצו לפלטפורמות מדיה חברתית מיינסטרים

צילומי מסך של סרטוני וידאו שמחקים את הסמל והאסתטיקה של חדשות BBC (משמאל) ו- EuroNews (ימין)

סרטוני חדשות מפוברקים מכילים מידע כוזב שמיושר עם רוסיה
בינת איומים של Microsoft: קישורי חדשות מפוברקים מקשרים בין כשלים של צבא אוקראינה, מתקפת חמאס, והיעדר האחריות של ישראל
סרטוני חדשות מפוברקים מכילים מידע כוזב שמיושר עם רוסיה. צילומי מסך של סרטוני וידאו שמחקים את הסמל והאסתטיקה של חדשות BBC (משמאל) ו- EuroNews (ימין). קבל מידע נוסף על תמונה זו בעמוד 12 של הדוח המלא

על אף שהישג היד של תוכן זה היה מוגבל, הוא יכול היה להוות איום ממשי על יעדים עתידיים אם הוא ודן או שופר באמצעות העוצמה של בינה מלאכותית או חוזק על-ידי שליח מהימן יותר. הגורם הפרו-רוסי שאחרי לסרטוני החדשות המזויפים רגיש לאירועי עולם עדכניים שחולפים במהירות. לדוגמה, סרטון מזויף של חדשות BBC הציג טענה כוזבת שארגון עיתונאי חוקר בשם Bellingcat, חשף שכלי נשק שהיו בשימוש של לוחמי חמאס נמכרו לארגון על-ידי קציני הצבא האוקראיני באמצעות השוק השחור. תוכן הסרטון משקף היטב הצהרות ציבוריות שדווחו על-ידי הנשיא הרוסי לשעבר דמיטרי מדבדב יום אחד בלבד לפני שהסרטון הופץ, דבר שמדגים את התיאום החזק של הקמפיין עם העברת הודעות גלויה של ממשלת רוסיה.23

החל מיולי 2023, ערוצי מדיה חברתית פרו-רוסים התחילו להפיץ סרטוני וידאו של ידוענים, אשר נערכו באופן מטעה כדי לדחוף תעמולה נגד אוקראינה. נראה שהסרטונים - עבודה של גורם השפעה לא ידועה שמתואם עם רוסיה - מינפו את Cameo, אתר אינטרנט פופולרי שבו ידועים ודמויות ציבוריות אחרות יכולים להקליט ולשלוח הודעות וידאו אישיות למשתמשים שמשלמים דמי חברות. הודעות הווידאו הקצרות, אשר לעתים קרובות מציגות ידוענים שמפצירים ב”ולדימיר” שיפנה לקבלת עזרה בשל שימוש לרעה בחומרים, ערוכים על-ידי גורם לא ידוע שהוסיף סמלי emoji וקישורים. סרטוני וידאו הופצו באמצעות קהיליות מדיה חברתית פרו-רוסיות ומחוזקים על-ידי אמצעי תקשורת שמשויכים למדינה ובקידום המדינה, תיארו באופן שקרי הודעות לנשיא אוקראינה ולדימיר זלנסקי. במקרים מסוימים, הגורם הוסיף סמלים של אמצעי תקשורת ושמות משתמש במדיה חברתית של ידוענים כדי לגרום לווידאו להיראות כמו סרטוני חדשות מדיווחים של תחינות ציבוריות כביכול של ידוענים שפונים לזלנסקי או פרסומים במדיה החברתית של הידוענים עצמם. נציגים רשמיים של הקרמלין ותעמולה בחסות מדינת רוסיה קידמו זה זמן רב את הטענה שקרית של הנשיא זלנסקי נאבק בהתמכרות לחומרים; עם זאת, קמפיין זה מסמן גישה חדשה של גרומים פרו-רוסים להמשך הנרטיב במרחב המידע המקוון.

הווידאו הראשון בקמפיין, שנצפה בסוף יולי, כולל סמלי emoji של דגל אוקראינה, סימני מים מאמצעי המדיה האמריקאי TMZ וקישורים למרכז גמילה מהתמכרות לחומרים וקישור לדפי המדיה החברתית הרשמיים של הנשיא זלנסקי. החל מסוף אוקטובר 2023, ערוצי מדיה חברתית פרו-רוסים הפיצו שישה סרטוני וידאו נוספים. יש לציין שב- 17 באוגוסט, אמצעי תקשורת של חדשות בשם RIA Novosti שנמצא בבעלות המדינה הרוסית, פרסם מאמר שסוקר וידאו שמציג את השחקן האמריקאי ג’ון מקגינלי, כאילו היה מדובר בפניה אותנטית ממקגינלי לזלנסקי.24 מעבר למקגינלי, ידוענים שהתוכן שלהם מופיע בקמפיין כוללים את השחקנים אלייז’ה ווד, דין נוריס, קייט פלאנרי ופריסיליה פרסלי; המוזיקאי שאבו אודאג'יאן; והמתאגרף מייק טייסון. אמצעי תקשורים רוסים אחרים שמשויכים למדינה, כולל אמצעי התקשורת Tsargrad שארה”ב הטילה עליו סנקציות, גם הגבירו את התוכן של הקמפיין.25

תמונות סטילס מסרטוני וידאו שמציגות ידוענים שמקדמים לכאורה תעמולה פרו-רוסית

תמונות סטילס מסרטוני וידאו שכוללות ידוענים שמקדמים לכאורה תעמולה פרו-רוסית
קבל מידע נוסף על תמונה זו בעמוד 12 של הדוח המלא

לוחמים רוסים עוברים לשלב חדש של לוחמת מחפורת סטטית, לפי הרמטכ”ל האוקראיני, מה שמרמז על קונפליקט ממושך אף יותר.26 קייב תזדקק לאספקה קבועה של כלי נשק ותמיכה פופולרית כדי להמשיך בהנגדות, ואנחנו ככל הנראה נראה אופרטורים רוסים של סייבר והשפעה מעצימים את המאמצים לגרום להורדת המורל של האוכלוסייה האוקראינית ולבזות את המקורות החיצוניים של סיוע צבאי וכלכלי של קייב.

בזמן שהחורף מתקרב, אנו עשויים לראות שוב מתקפות צבעיות שמכוונות לשירותי חשמל ומים באוקראינה, בשילוב עם מתקפות מחיקה (wiper) הרסניות על אותן רשתות.27 רשויות אבטחת הסייבר האוקראיניות CERT-UA, הכריזה בספטמבר שרשתות האנרגיה האוקראיניות היו תחת איום ממושך, ובינת האיומים של Microsoft צפתה בממצאים של פעילות האיום של GRU על רשתות מגזר האנרגיה האוקראיניות החל מאוגוסט ועד אוקטובר.28 Microsoft צפתה בשימוש הרסני אחד לפחות של שירות ה- Sdelete נגד רשת חברת החשמל האוקראינית באוגוסט.29

מחוץ לאוקראינה, הבחירות הנשיאותיות בארה”ב ותחרויות פוליטיות חשובות אחרות בשנת 2024 עשויות לספק לגורמי השפעה מרושעים הזדמנות להשתמש במיומנויות אמצעי הווידאו והבינה המלאכותית המתפתחת כדי להרחיק את התנודות הפוליטיות מנציגים נבחרים שמגנים על התמיכה באוקראינה.30

Microsoft פועלת בין חזיתות מרובות כדי להגן על הלקוחות שלנו באוקראינה וברחבי העולם מפני איומים אלה מרובי הפנים. במסגרת יוזמת העתיד המאובטח (Secure Future Initiative) שלנו, אנו משלבים קידומים בהגנת סייבר שמונעת על-ידי בינה מלאכותית והנדסת תוכנה מאובטחת, עם מאמצים לבצר נורמות בינלאומיים כדי להגן על אזרחים מפני איומי סייבר. 31 אנחנו גם פורסים משאבים לאורך ערכת הליבה של עקרונות כדי להגן על מצביעים, מועמדים, קמפיינים ורשויות בחירות ברחבי העולם, בשעה שיותר מ-2 מיליארד אנשים צפויים להיות מעורבים בתהליך דמוקרטי לעורך השנה הבאה.32

  1. [1]
  2. [2]

    לקבלת מידע טכני לגבי שיטות מתקפת השיבוש האחרונה באוקראינה, ראה https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    מבוסס על הודעות שהונפקו בין ה- 15 במרץ 2023 ל- 23 באוקטובר 2023. 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]

    לקבלת פרטים טכניים https://go.microsoft.com/fwlink/?linkid=2262377

  30. [30]
  31. [31]
  32. [32]

מאמרים קשורים

איומים דיגיטליים ממזרח אסיה גדלים בהיבטי הרוחב והיעילות

צלול פנימה וחקור מגמות עולות בנוף האיומים המתפתח של מזרח אסיה, היכן שסין מבצעת סייבר נרחב ופעולות השפעה (IO), בעוד שגורמי איום הסייבר של קוריאה הצפונית מפגינים תחכום מתפתח.
למידע נוסף

איראן פונה לפעולות השפעה תומכות סייבר לקבלת אפקט גדול יותר

בינת האיומים של Microsoft חושפת עלייה בפעולות השפעה תומכות סייבר שיוצאות מאיראן. קבל תובנות לגבי איומים עם פרטים לגבי טכניקות חדשות והיכן קיים הפוטנציאל לאיומים עתידיים.
למידע נוסף

פעולות הסייבר וההשפעה של המלחמה בשדה הקרב הדיגיטלי של אוקראינה

בינת האיומים של Microsoft בוחנת שנה של סייבר ופעולות השפעה באוקראינה, חושפת מגמות חדשות באיומי סייבר ולמה לצפות בשעה שהמלחמה נכנסת לשנתה השנייה.
למידע נוסף

עקוב אחר Microsoft