Trace Id is missing

A Kelet-Ázsiából érkező digitális fenyegetések terjedelme és hatékonysága növekszik

Letöltés
Megosztás
Egy számítógép előtt ülő személy

Bevezetés

Számos új fejlemény szemlélteti a Kelet-Ázsiában gyorsan változó veszélyhelyzetet: Kína széles körű kibertéri- és befolyásolási műveleteket hajt végre, és az észak-koreai kiberfenyegetések szereplői egyre fejlettebbé válnak.

Először is a kínai államhoz kötődő kiberfenyegető csoportok különös figyelmet fordítanak a dél-kínai-tengeri régióra, és kiberkémkedést irányítanak az e tengeri területet behálózó kormányok és más kritikus fontosságú szervezetek ellen. Eközben Kína az amerikai védelmi ágazat célba vételével és az amerikai infrastruktúra tanulmányozásával jelzi, hogy Kína külkapcsolatai és katonai stratégiai céljai érdekében versenyelőnyök megszerzésére törekszik.

Másodsorban Kína az elmúlt évben sokkal hatékonyabbá vált abban, hogy befolyásolási műveletekkel vonja be a közösségi média felhasználóit . A kínai online kampányok már régóta a puszta mennyiségre támaszkodnak, és nem valós közösségimédia-fiókok hálózatain keresztül érik el és manipulálják a felhasználókat. 2022 óta azonban a Kínával szövetséges közösségimédia-hálózatok közvetlenül, valós felhasználókkal léptek kapcsolatba a közösségi médiában, konkrét jelölteket céloztak meg az amerikai választásokkal kapcsolatos tartalmakban, és amerikai szavazóknak adták ki magukat. Ezenkívül a kínai állam által támogatott többnyelvű, a közösségi médiát befolyásoló kezdeményezés legalább 40 nyelven szólította meg sikeresen a célközönséget, és több mint 103 millióra növelte a felhasználói számát.

Harmadrészt Kína az elmúlt évben tovább növelte befolyásszerzési kampányait, új nyelvekre és új platformokra terjeszkedett, hogy növelje globális jelenlétét. A közösségi médiában a kampányok több tucatnyi weboldalon több ezer nem hiteles fiókot telepítenek, amelyek mémeket, videókat és üzeneteket terjesztenek több nyelven. Az online hírközlésben a kínai állami média tapintatosan és hatékonyan pozicionálja magát a Kínáról szóló nemzetközi diskurzus mértékadó hangjaként, és különböző eszközökkel gyakorol befolyást a médiaorgánumokra világszerte. Az egyik kampány a Kínai Kommunista Párt (KKP) propagandáját terjesztette a több mint 35 országban élő kínai diaszpórát célzó helyi hírportálokon keresztül.

Végül Észak-Korea – amely Kínával ellentétben nem rendelkezik kifinomult befolyásolási képességekkel – továbbra is félelmetes kiber-veszélyforrás. Észak-Korea folyamatos érdeklődést mutat a hírszerzés és a taktikai fejlettség növelése iránt, többek között kihasználva az ellátási lánc sorozatos támadásait és a kriptovaluta-rablást.

Kína kiberműveletei ismét a Dél-kínai-tengerre és az Egyesült Államok kulcsfontosságú iparágaira összpontosítanak

2023 eleje óta a Microsoft Veszélyforrás-intelligencia három olyan területet azonosított, amelyekre a Kínával kapcsolatban álló kiberfenyegetés szereplői különösen összpontosítanak: a Dél-kínai-tenger, az Egyesült Államok védelmi ipari bázisa és az Egyesült Államok kritikus infrastruktúrája.

A kínai állam által támogatott célok stratégiai célokat tükröznek a Dél-kínai-tengeren

A kínai államhoz kötődő veszélyt jelentő szereplők folyamatos érdeklődést mutatnak a Dél-kínai-tenger és Tajvan iránt, ami tükrözi Kína széles körű gazdasági, védelmi és politikai érdekeit ebben a régióban.1 A konfliktusos területi követelések, a növekvő feszültségek a Tajvani-szoroson és az USA megnövekedett katonai jelenléte mind-mind motivációt jelenthetnek Kína offenzív kibertevékenységeihez.2

A Microsoft feltárta a Raspberry Typhoon (RADIUM) nevű elsődleges veszélyforrást jelentő csoportot, amely a Dél-kínai-tengert behálózó nemzeteket veszi célba. A Raspberry Typhoon következetesen kormányzati minisztériumokat, katonai egységeket és a kritikus infrastruktúrához, különösen a távközléshez kapcsolódó vállalati egységeket vesz célba. A Raspberry Typhoon 2023 januárja óta kitartóan támad. Amikor kormányzati minisztériumokat vagy infrastruktúrát vesz célba, a Raspberry Typhoon jellemzően hírszerzést és rosszindulatú programok lefuttatását végzi. Sok országban a célpontok a védelmi és hírszerzéssel kapcsolatos minisztériumoktól a gazdasági és kereskedelmi minisztériumokig terjednek.

A Tajvan szigetét célba vevő legjelentősebb fenyegető csoport a Flax Typhoon (Storm-0919). Ez a csoport elsősorban a távközlési, oktatási, informatikai és energetikai infrastruktúrát veszi célba, jellemzően egy egyedi VPN-berendezés segítségével, amely közvetlenül a célzott hálózaton belül létesít jelenlétet. Hasonlóképpen, a Charcoal Typhoon (CHROMIUM) a tajvani oktatási intézményeket, az energetikai infrastruktúrát és a csúcstechnológiai gyártást célozza. 2023-ban a Charcoal Typhoon és a Flax Typhoon egyaránt a tajvani hadsereggel szerződésben álló tajvani repülőgép-ipari vállalatokat vette célba.

A dél-kínai-tengeri régió térképe, amely országonként kiemeli a megfigyelt eseményeket
1. ábra: Megfigyelt események országonként a Dél-kínai-tengeren 2022 januárjától 2023 áprilisáig. A képpel kapcsolatban további információt a teljes jelentés 4. oldalán talál

A kínai fenyegető szereplők Guam felé fordítják figyelmüket, mivel az USA tengerészgyalogsági bázist épít

Több kínai székhelyű támadócsoport, nevezetesen a Circle Typhoon (DEV-0322), a Volt Typhoon (DEV-0391)és a Mulberry Typhoon (MANGANESE) továbbra is célba veszi az amerikai védelmi ipari bázist. Bár e három csoport célpontjai időnként fedik egymást, mégis eltérő infrastruktúrával és képességekkel rendelkező, különálló szereplőkről van szó.3

A Circle Typhoon széles körű kibertevékenységet folytat az amerikai védelmi ipari bázis ellen, beleértve az erőforrások fejlesztését, a gyűjtést, a kezdeti hozzáférést és a jogosultságokhoz való hozzáférést. A Circle Typhoon gyakran használ VPN-berendezéseket az informatikai és az amerikai székhelyű védelmi vállalkozók ellen. A Volt Typhoon számos amerikai védelmi vállalkozás ellen is végzett felderítéseket. Guam az egyik leggyakoribb célpontja ezeknek a kampányoknak, különösen az ott található műholdas kommunikációs és távközlési egységek.4

A Volt Typhoon gyakori taktikája a kis irodai és otthoni útvonalválasztók veszélyeztetése, jellemzően az infrastruktúra kiépítése céljából.5 Mulberry Typhoon az amerikai védelmi ipari bázist is célba vette, nevezetesen egy nulladik napi művelettel, amely eszközöket célzott meg.6 Guam fokozott célba vétele jelentős, tekintettel arra, hogy ez az USA fennhatósága alatt található terület, amely legközelebb található Kelet-Ázsiához, és kulcsfontosságú az USA régióbeli stratégiája szempontjából.

Kínai támadócsoportok az amerikai kritikus infrastruktúrát veszik célba

A Microsoft az elmúlt hat hónapban megfigyelte, hogy a kínai államhoz kötődő támadócsoportok több ágazatban és jelentős erőforrás-fejlesztés mellett az Egyesült Államok kritikus infrastruktúráját vették célba. A Volt Typhoon volt az elsődleges csoport e tevékenység mögött legalább 2021 nyara óta, és e tevékenység kiterjedése még mindig nem teljesen ismert.

A célzott ágazatok közé tartozik a közlekedés (például a kikötők és a vasút), a közművek (például az energia és a vízkezelés), az orvosi infrastruktúra (beleértve a kórházakat) és a távközlési infrastruktúra (beleértve a műholdas kommunikációt és az optikai rendszereket). A Microsoft úgy értékeli, hogy ez a kampány képessé teheti Kínát arra, hogy megzavarja az Egyesült Államok és Ázsia közötti kritikus infrastruktúrát és kommunikációt.7

A kínai székhelyű veszélyforrást jelentő csoport mintegy 25 szervezetet, köztük amerikai kormányzati szerveket vesz célba

Május 15-től kezdődően a Storm-0558, egy kínai székhelyű fenyegető szereplő hamis azonosító tokeneket használt, hogy hozzáférjen mintegy 25 szervezet, köztük amerikai és európai kormányzati szervek Microsoft ügyfél e-mail-fiókjaihoz.8 A Microsoft sikeresen blokkolta ezt a kampányt. A támadás célja az volt, hogy jogosulatlan hozzáférést szerezzenek az e-mail fiókokhoz. A Microsoft értékelése szerint ez a tevékenység összhangban volt a Storm-0558 kémtevékenységével. A Storm-0558 korábban amerikai és európai diplomáciai szervezeteket vett célba.

Kína a stratégiai partnereit is célba veszi

Ahogy Kína az Egy Övezet Egy Út (OBOR) stratégia révén bővítette kétoldalú kapcsolatait és globális partnerségeit, a kínai államhoz kötődő fenyegető szereplők párhuzamosan kiberműveleteket hajtottak végre magán- és állami szervezetek ellen világszerte. A kínai székhelyű támadócsoportok olyan országokat vesznek célba, amelyek összhangban vannak a KKP OBOR stratégiájával, beleértve a kazahsztáni, namíbiai, vietnami és egyéb egységeket.9 Eközben a széles körben elterjedt kínai fenyegető tevékenységek folyamatosan külföldi minisztériumokat vesznek célba Európában, Latin-Amerikában és Ázsiában – valószínűleg gazdasági, kémkedési vagy hírszerzési céllal.10 Ahogy Kína kiterjeszti globális befolyását, ezt követik a vele kapcsolatban álló támadócsoportok tevékenységei is. Nemrégiben, 2023 áprilisában a Twill Typhoon (TANTALUM) sikeresen veszélyeztetett afrikai és európai kormányzati gépeket, valamint humanitárius szervezeteket világszerte.

A KKP-hez kapcsolódó közösségimédia-műveletek növelik a felhasználók hatékony bevonását

A KKP-hez kapcsolódó titkos befolyásolási műveletek mostanra a korábban megfigyeltnél nagyobb mértékben kezdtek el sikeresen kapcsolatba lépni a célközönséggel a közösségi médiában, ami az online befolyásolási műveletek eszközeinek fejlettebb szintjét és művelését jelenti. A 2022-es amerikai félidős választások előtt a Microsoft és iparági partnerei megfigyelték, hogy a KKP-hez kapcsolódó közösségimédia-fiókok amerikai szavazóknak álcázták magukat – egy új terület a KKP-hez kapcsolódó befolyásoló műveletek számára.11 Ezen fiókok felhasználói amerikaiaknak adták ki magukat a politikai spektrum minden szegmensében, és válaszoltak a valódi felhasználók hozzászólásaira.

Ezek a fiókok mind viselkedésükben, mind tartalmukban számos jól dokumentált kínai befolyásoló taktikát, technikát és eljárást (TTP) mutatnak. Példák: a kezdeti szakaszban mandarin nyelven tettek közzé tartalmakat, majd más nyelvre váltottak, és a közzététel után azonnal kapcsolatba léptek más, Kínához kötődő tartalmakkal, valamint „seed and amplifier” (mag és erősítő) interakciós mintát alkalmaztak.12 A KKP-hez kötődő szereplők korábbi befolyásolási műveleti kampányaival ellentétben, amelyek könnyen észrevehető, számítógépen generált azonosítókat, megjelenítő neveket és profilképeket használtak13, ezeket a kifinomultabb fiókokat valódi emberek működtetik, akik fiktív vagy lopott személyazonosságokat használnak, hogy elrejtsék a fiókok KKP-hez való kötődését.

Ebben a hálózatban a közösségimédia-fiókok hasonló viselkedést mutatnak, mint a Közbiztonsági Minisztérium egy elit csoportja, a 912-es Különleges Munkacsoport által végzett tevékenység. Az amerikai igazságügyi minisztérium szerint a csoport egy olyan közösségimédia-trollfarmot működtetett, amely több ezer hamis online személyiséget hozott létre, és a KKP propagandáját terjesztette a demokráciapárti aktivisták ellen.

Körülbelül 2023 márciusa óta a nyugati közösségi médiában egyes feltételezett kínai befolyásolási műveletek segítségével elkezdtek vizuális tartalmakat létrehozni a generatív mesterséges intelligencia (MI) segítségével. Ez a viszonylag magas színvonalú vizuális tartalom máris magasabb szintű érdeklődést váltott ki a valódi közösségimédia-felhasználókból. Ezek a képek a diffúzió-alapú képgenerálás jegyeit viselik, és sokkal figyelemfelkeltőbbek, mint a korábbi kampányok kínos vizuális tartalma. A felhasználók gyakrabban osztották meg újra és újra ezeket a képeket annak ellenére is, hogy látható módon mesterséges intelligencia segítségével hozták létre őket – például egy ember kezén ötnél több ujj van.14

Egymás melletti, azonos Black Lives Matter-képeket ábrázoló, közösségi médiában megjelenő bejegyzések.
2. ábra: A Black Lives Matter grafikát először egy KKP-hez kapcsolódó automatizált fiók töltötte fel, majd hét órával később egy amerikai konzervatív szavazónak álcázott fiók is feltöltötte.
Egy mesterséges intelligencia által létrehozott propagandakép a Szabadság-szoborról.
3. ábra: Példa egy mesterséges intelligencia által létrehozott képre, amelyet egy feltételezett kínai befolyásszerző eszköz tett közzé. A Szabadság-szobor fáklyát tartó kéznek több mint öt ujja van. A képpel kapcsolatban további információt a teljes jelentés 6. oldalán talál.
Négy véleményvezér-kategória – újságírók, életmód-véleményvezérek, kortársak és etnikai kisebbségek – felsorolása a nyílt befolyásolóktól a rejtett befolyásolókig terjedő skálán
4. ábra: Ez a kezdeményezés négy nagy kategóriába sorolható véleményvezéreket foglal magába, akiket hátterük, célközönségük, toborzásuk és irányítási stratégiáik alapján csoportosíthatunk. Az elemzésünkben szereplő valamennyi személy közvetlen kapcsolatban áll a kínai állami médiával (például munkaviszony, utazási meghívók elfogadása vagy egyéb pénzbeli cserék révén). A képpel kapcsolatban további információt a teljes jelentés7. oldalán talál.

A kínai állami média véleményvezér-kezdeményezése

Egy másik stratégia, amely a közösségi médián való jelentős részvételre ösztönöz, a KKP „többnyelvű internetes hírességek stúdiói” (多语种网红工作室) nevű koncepciója.15 A hiteles hangok erejét kihasználva több mint 230 állami médiamunkás és társult munkatárs álcázza magát független közösségimédia-befolyásolónak az összes fontosabb nyugati közösségimédia-platformon.16 2022-ben és 2023-ban továbbra is átlagosan hét hetente debütálnak új véleményvezérek. A Nemzetközi Kínai Rádió (China Radio International, CRI) és más kínai állami médiaszervezetek által toborzott, képzett, támogatott és finanszírozott véleményvezérek szakértelemmel lokalizált KKP-propagandát terjesztenek, amely a célközönséget a világ minden táján jelentősen bevonja, és összesen legalább 103 millió embert ér el több platformon, legalább 40 nyelven.

Bár a véleményvezérek többnyire ártalmatlan életmódtartalmakat tesznek közzé, ez a technika a KKP-hez kötődő propagandát leplezi, amely Kína külföldi megítélését igyekszik enyhíteni.

Úgy tűnik, hogy a kínai állami média véleményvezér-toborzási stratégiája két különböző csoportot céloz meg: az újságírói tapasztalattal rendelkezőket (különösen az állami médiumoknál), valamint az idegen nyelvi programokon frissen végzetteket. A Kínai Médiacsoport (a CRI és a CGTN anyavállalata) leginkább a legjobb kínai idegen nyelvű iskolák, mint a Pekingi Külföldi Tanulmányok Egyetemének vagy a Kínai Kommunikációs Egyetemnek a végzőseit alkalmazza. Akiket nem közvetlenül az egyetemekről toboroznak, azok gyakran korábbi újságírók és fordítók, akik az állami médiához való tartozás minden egyértelmű jelét eltávolítják profiljukból, miután véleményvezérré váltak.

Song Siao laoszi nyelvű véleményvezér életmóddal kapcsolatos internetes videónaplót vezet Kína gazdasági fellendüléséről a COVID-19 világjárvány közepette.
5. ábra: Song Siao laoszi nyelvű véleményvezér életmóddal foglalkozó internetes videónaplót vezet Kína gazdasági fellendüléséről a COVID-19 világjárvány közepette. A saját maga által forgatott videóban meglátogat egy pekingi autókereskedést, és beszélget a helyiekkel. A képpel kapcsolatban további információt a teljes jelentés 8. oldalán talál
Techy Rachel, egy angol nyelvű véleményvezér közösségi bejegyzése.
6. ábra: Techy Rachel – egy angol nyelvű véleményvezér, aki jellemzően a kínai innovációkról és technológiáról készít bejegyzéseket – eltér a tartalmi témáitól, és hozzászól a kínai kémléggömb (Chinese spy balloon) vitájához. Más kínai állami médiumokhoz hasonlóan tagadja, hogy a léggömböt kémkedésre használták volna. A képpel kapcsolatban további információt a teljes jelentés 8. oldalán talál

A véleményvezérek világszerte legalább 40 nyelven érik el a felhasználókat

Az államhoz kötődő véleményvezérek által beszélt nyelvek földrajzi eloszlása Kína növekvő globális befolyását és regionális prioritásait tükrözi. A kínai kivételével az ázsiai nyelveket – például hindi, szingaléz, pastu, laoszi, koreai, maláj és vietnami – beszélő véleményvezérek alkotják a legnagyobb számú véleményvezér-csoportot. Az angol nyelvű véleményvezérek száma a második legnagyobb.
Öt kördiagram, amely a kínai állami média véleményvezéreit nyelvek szerinti bontásban mutatja be.
7. ábra: A kínai állami média véleményvezérei nyelv szerinti bontásban. A képpel kapcsolatban további információt a teljes jelentés 9. oldalán talál

Kína célközönsége világszerte

A véleményvezérek hét közönségteret (nyelvi csoportosítást) céloznak meg, amelyek földrajzi régiókra bonthatók. Az angol vagy kínai nyelvű közönségterek esetében nincsenek ábrák.

A kínai befolyásolási műveletek több kampányban bővítik globális hatókörüket

Kína 2023-ban tovább bővítette online befolyásolási műveleteinek skáláját, új nyelveken és új platformokon éri el a felhasználókat. Ezek a műveletek ötvözik a nagymértékben ellenőrzött nyílt állami médiaapparátust a rejtett vagy homályos közösségimédia-eszközökkel, beleértve a botokat is, amelyek a KKP által preferált történeteket mossák és erősítik.17

A Microsoft észlelt egy ilyen, 2022 januárjában kezdődött és e cikk írásakor is folyamatban lévő, a KKP-hez kötődő kampányt, amely a Safeguard Defenders nevű spanyol nem kormányzati szervezetet („civil szervezetet”) vette célba, miután az több mint 50 tengerentúli kínai rendőrőrs létezését tárta fel.18 A kampány több mint 1800 fiókot használt több közösségimédia-platformon és több tucat weboldalon, hogy a KKP-hez kötődő mémeket, videókat és üzeneteket terjesszen, amelyek az Egyesült Államokat és más demokráciákat kritizálták.

Ezek a fiókok új nyelveken (holland, görög, indonéz, svéd, török, ujgur stb.) és új platformokon (többek között a Fandango, Rotten Tomatoes, Medium, Chess.com és VK) küldtek üzeneteket. A művelet nagyságrendje és kitartása ellenére a bejegyzések ritkán váltanak ki érdemi elköteleződést a felhasználókból, ami az említett kínai hálózatok tevékenységének kezdetleges jellegére utal.

30 ismerős technológiai márka logóinak sorozata egy 16 nyelvből álló listával együtt
8. ábra: Több platformon és több nyelven is észleltek KKP-hez kötődő befolyásoló műveleti tartalmakat. A képpel kapcsolatban további információt a teljes jelentés 10. oldalán talál
Egymás mellé helyezett példák a tajvani nyelvű videós propagandák képernyőfelvételeiből
9. ábra: Egy tajvani nyelvű videó nagyszámú megosztása, amely a tajvani kormányt arra szólítja fel, hogy „adja meg magát” Pekingnek. A megjelenések és a részesedések közötti nagy különbség erősen utal az összehangolt befolyásolási műveletekre. A képpel kapcsolatban további információt a teljes jelentés 10. oldalán talál

A KKP hírportálok burkolt globális hálózata

Egy másik digitális médiakampány, amely a KKP-hez kötődő befolyásolási műveletek kibővített terjedelmét mutatja, egy több mint 50, túlnyomórészt kínai nyelvű hírportálból álló hálózat, amely támogatja a KKP kinyilvánított célját, hogy a kínai nyelvű médiának mérvadó hangja legyen világszerte.19 Annak ellenére, hogy nagyrészt független, sehová nem tartozó weboldalaknak tűnnek, amelyek a világ különböző kínai diaszpóra-közösségeit szolgálják ki, úgy ítéljük meg, hogy nagy valószínűséggel ezek a weboldalak a KKP-nek a United Front Work Department (UFWD) osztályához tartoznak – ez a szerv felelős a KKP határon túli befolyásolásának erősítéséért: különösen a „tengerentúli kínaiakkal” való kapcsolattartás révén – a technikai mutatók, a weboldali regisztrációs adatok és a közös tartalom alapján.20
Világtérkép több mint 20 kínai weboldal logójával a globális kínai diaszpórát megcélzó weboldalakról.
10. ábra: A globális kínai diaszpórát megcélzó, a médiastratégia részeként számon tartott weboldalak térképe.  A képpel kapcsolatban további információt a teljes jelentés 11. oldalán talál

Mivel számos ilyen webhely IP-címe közös, a Microsoft Defender Intelligens veszélyforrás-felderítés segítségével a tartományfelbontások lekérdezésével több webhelyet fedezhetünk fel a hálózaton belül. A weboldalak közül sokan osztoznak a front-end webes HTML-kódon, amelyben még a kódba ágyazott webfejlesztői megjegyzések is gyakran azonosak a különböző weboldalakon. Az oldalak közül több mint 30 ugyanazt az alkalmazásprogramozási felületet (API) és tartalomkezelő rendszert használja, amely a Kínai Hírszolgálat (China News Service, CNS) „százszázalékos tulajdonú leányvállalatától”, az UFWD-médiaügynökségtől származik.21 A kínai Ipari és Információs Technológiai Minisztérium feljegyzéseiből továbbá kiderül, hogy az UFWD-hez kapcsolódó technológiai vállalat és egy másik vállalat legalább 14 híroldalt regisztrált ebben a hálózatban.22 A leányvállalatok és harmadik fél médiavállalatok ilyen módon történő felhasználásával az UFWD globális közönséget érhet el, miközben elrejti közvetlen részvételét.

Ezek a weboldalak független hírszolgáltatóknak adják ki magukat, miközben gyakran ugyanazokat a kínai állami médiacikkeket közlik újra, gyakran azt állítva, hogy ők a tartalom eredeti forrása. Miközben a honlapok széles körben foglalkoznak nemzetközi hírekkel és általános kínai állami médiacikkeket tesznek közzé, a politikailag érzékeny témák túlnyomórészt a KKP által preferált történetekhez igazodnak. Ezen a weboldal-hálózaton belül például több száz cikk népszerűsíti azokat a hamis állításokat, amelyek szerint a COVID-19 vírus az Egyesült Államok Fort Detrick-i biológiai kutatólaboratóriumában előállított biológiai fegyver.23 A honlapok gyakran terjesztik kínai kormánytisztviselők nyilatkozatait és az állami média cikkeit is, amelyek szerint a COVID-19 vírus nem Kínából, hanem az Egyesült Államokból származik. Ezek a weboldalak jól példázzák, hogy a KKP ellenőrzése milyen mértékben keresztülhatolt a kínai nyelvű médiavilágon, így a párt elnyomhatja az érzékeny témákról szóló kritikus tudósításokat.

Akkorddiagram több weboldal által közzétett, egymást átfedő cikkel.
11. ábra: A weboldalak a helyi sajátosságoknak megfelelően jelennek meg, de azonos tartalommal bírnak. Ez az akkorddiagram több weboldal által közzétett, egymást átfedő cikkeket mutat. A képpel kapcsolatban további információt a teljes jelentés 12. oldalán talál
Képernyőképek arról, hogy a Kínai Hírszolgálat egyik cikkét hogyan tették közzé újra az olasz, magyar, orosz és görög célközönséget megcélzó weboldalakon
12. ábra: A Kínai Hírszolgálat és más kínai állami sajtó „A WHO nyilatkozata leleplezi az amerikai biolaboratóriumokat Ukrajnában” címmel tett közzé egy cikket. Ezt a cikket ezután a magyar, svéd, nyugat-afrikai és görögországi közönséget megcélzó weboldalakon tették közzé. A képpel kapcsolatban további információt a teljes jelentés 12. oldalán talál

A kínai állami média globális hatósugara

Bár a fent leírt kampány figyelemre méltó a ködösítése miatt, a KKP által irányított média globális nézettségének túlnyomó többségét a jóhiszemű kínai állami média honlapjai teszik ki. Azáltal, hogy idegen nyelvekre terjeszkedik24, kínai állami médiairodákat nyit külföldön25 és ingyenes Pekingbarát tartalmakat szolgáltat,26 a KKP kiterjeszti „diskurzus hatalmának” (话语权) hatókörét úgy, hogy propagandát juttat a világ országainak hírmédiájába.27
A KKP nyílt propaganda ökoszisztémájának pillanatfelvételét bemutató szervezeti ábra.
13. ábra: A KKP nyílt propaganda ökoszisztémájának részét képező funkciókat és entitásokat bemutató szervezeti ábra. A képpel kapcsolatban további információt a teljes jelentés 13. oldalán talál

A kínai állami média honlapjaira irányuló forgalom mérése

A Microsoft AI for Good Lab részlege egy olyan indexet fejlesztett ki, amely a Kínán kívüli felhasználók által a kínai kormány többségi tulajdonában lévő üzletekbe irányuló forgalom mérésére szolgál. Az index az ezeket az oldalakat látogató forgalom arányát méri az internet teljes forgalmához képest, hasonlóan a 2022 júniusában bevezetett orosz propagandaindexhez (RPI).28

A kínai állami média látogatottságát öt tartomány uralja, amelyek a kínai állami média összes oldalletöltésének mintegy 60%-át teszik ki.

A kínai média látogatottságát bemutató grafikon
A képpel kapcsolatban további információt a teljes jelentés 14. oldalán talál

Az index rávilágíthat a kínai állami médiumok relatív sikerének földrajzi elhelyezkedése szerinti tendenciáira az idők folyamán. A Délkelet-ázsiai Nemzetek Szövetségének (ASEAN) tagállamai közül például Szingapúr és Laosz kiemelkedik a kínai állami média honlapjainak több mint kétszer akkora relatív látogatottságával, mint a harmadik helyen álló Brunei. A Fülöp-szigetek áll a legutolsó helyen, ahol 30-szor kevesebb látogatója van a kínai állami média honlapjainak, mint Szingapúrban és Laoszban. Szingapúrban, ahol a mandarin hivatalos nyelv, a kínai állami média magas látogatottsága tükrözi Kína befolyását a mandarin nyelvű hírekre. Laoszban a kínaiul beszélők száma jóval kevesebb, ami a kínai állami média viszonylagos sikerét tükrözi az ország környezetében.

Képernyőkép a leglátogatottabb tartomány, a PhoenixTV honlapjáról.
14. ábra: A leglátogatottabb tartomány, a PhoenixTV honlapja, az összes oldalletöltés 32%-ával. A képpel kapcsolatban további információt a teljes jelentés 14. oldalán talál

Az egyre kifinomultabb észak-koreai kiberműveletek hírszerzési információkat gyűjtenek, és bevételt termelnek az államnak

Az észak-koreai kiberfenyegetés szereplői olyan kiberműveleteket hajtanak végre, amelyek célja (1) hírszerzési információk gyűjtése az állam vélt ellenfeleinek: Dél-Korea, az Egyesült Államok és Japán tevékenységeiről, (2) hírszerzési információkat gyűjtenek más országok katonai képességeiről, hogy javítsák saját képességeiket, és (3) kriptovaluta-alapokat gyűjtenek az állam számára. Az elmúlt évben a Microsoft nagyobb átfedéseket figyelt meg a különböző észak-koreai fenyegető szereplők és az egyre fejlettebb észak-koreai tevékenységet folytató csoportok célpontjai között.

Észak-Korea kiberprioritásai a tengeri technológiai kutatásra helyezik a hangsúlyt a víz alatti drónok és járművek tesztelése közepette

Az elmúlt évben a Microsoft Veszélyforrás-intelligencia egyre nagyobb átfedéseket figyelt meg az észak-koreai fenyegetőszereplők célpontjai között. Például három észak-koreai fenyegető szereplő – Ruby Sleet (CERIUM), Diamond Sleet (ZINC) és Sapphire Sleet (COPERNICIUM) – 2022 novembere és 2023 januárja között a tengerészeti és hajóépítési ágazatot vette célba. A Microsoft korábban nem figyelt meg ilyen mértékű átfedéseket a különböző észak-koreai tevékenységi csoportok célpontjai között, ami arra utal, hogy a tengeri technológiák kutatása akkoriban kiemelt prioritást jelentett az észak-koreai kormány számára. 2023 márciusában Észak-Korea állítólag két stratégiai cirkálórakétát lőtt ki egy tengeralattjáróról a Japán-tenger (más néven Keleti-tenger) felé, figyelmeztetésként a dél-koreai-amerikai Freedom Shield hadgyakorlat előtt. Még abban és az azt követő hónapban Észak-Korea állítólag két Haeil víz alatti támadó drónt tesztelt az ország keleti partjainál a Japán-tenger felé. Ezekre a tengeri katonai képességek tesztelésére nem sokkal azután került sor, hogy három észak-koreai kibercsoport hírszerzési céllal tengeri védelmi egységeket vett célba.

Fenyegető szereplők veszélyeztetik a védelmi vállalatokat, miközben az észak-koreai rezsim kiemelt fontosságú adatgyűjtési követelményeket határoz meg

2022 novembere és 2023 januárja között a Microsoft egy második esetben is átfedéseket észlelt a célpontok között: a Ruby Sleet és a Diamond Sleet védelmi cégeket veszélyeztetett. A két fenyegető szereplő két németországi és izraeli székhelyű fegyvergyártó vállalatot veszélyeztetett. Ez arra utal, hogy az észak-koreai kormány egyszerre több fenyegetést végrehajtó csoportot bíz meg azért, hogy az ország katonai képességeinek javításért magas prioritású adatgyűjtéseket teljesítsen. 2023 januárja óta a Diamond Sleet védelmi vállalatokat is veszélyeztetett Brazíliában, Csehországban, Finnországban, Olaszországban, Norvégiában és Lengyelországban.
Tortadiagram Észak-Korea által leginkább megcélzott védelmi ipar országonként
15. ábra: Észak-Korea célzott védelmi ipara országonkénti bontásban, 2022 márciusától 2023 márciusáig

Az orosz kormányzati és védelmi iparágak továbbra is Észak-Korea célpontjai a hírszerzésben

Az utóbbi időben több észak-koreai fenyegető szereplő is célba vette az orosz kormányt és a védelmi ipart, miközben egyidejűleg anyagi támogatást nyújtott Oroszországnak az ukrajnai háborúban.32 2023 márciusában a Ruby Sleet veszélyeztetett egy oroszországi űrkutatási intézetet. Emellett az Onyx Sleet (PLUTONIUM) március elején egy oroszországi egyetemhez tartozó készüléket is megsértett. Ettől függetlenül egy Opal Sleet (OSMIUM) nevű támadófiók ugyanebben a hónapban adathalász e-maileket küldött orosz diplomáciai kormányzati szervek fiókjainak. Az észak-koreai fenyegető szereplők kihasználhatják a lehetőséget, hogy hírszerzési tevékenységet folytassanak orosz szervezetek ellen, mivel az ország az ukrajnai háborúra összpontosít.

Észak-koreai csoportok egyre kifinomultabb műveleteket mutatnak be kriptovaluta-rablás és ellátási lánc elleni támadások révén

A Microsoft értékelése szerint az észak-koreai tevékenységet folytató csoportok egyre kifinomultabb műveleteket hajtanak végre kriptovaluta-rablások és ellátási lánc elleni támadások révén. 2023 januárjában a Szövetségi Nyomozó Iroda (FBI) a 2022 júniusában a Harmony Horizon Bridge ellen elkövetett 100 millió USD-nyi kriptovaluta-rablást nyilvánosan a Jade Sleet (DEV-0954), más néven Lazarus Group/APT3833 számlájára írta. Továbbá a Microsoft Citrine Sleet (DEV-0139) nevéhez köti a 2023. márciusi 3CX ellátási lánc elleni támadást, amely egy amerikai székhelyű pénzügyi technológiai vállalat korábbi, 2022-es ellátási láncának sérülését használta ki. Ez volt az első alkalom, hogy a Microsoft megfigyelte, hogy egy tevékenységet folytató csoport egy meglévő ellátási lánc sérülését használja fel egy másik ellátási lánc elleni támadás végrehajtásához, ami jól mutatja az észak-koreai kiberműveletek fejlődését.

Az Emerald Sleet a bevált spearphishing taktikát alkalmazza: szakértőket csalogat, akiket rávesznek, hogy külpolitikai észrevételeiket megosszák

Emerald Sleet (THALLIUM) továbbra is a Microsoft által az elmúlt évben nyomon követett, legaktívabb észak-koreai fenyegető szereplő. Az Emerald Sleet továbbra is gyakori spearphishing e-maileket küld a Koreai-félsziget szakértőinek világszerte, hírszerzési céllal. 2022 decemberében a Microsoft Veszélyforrás-intelligencia részletesen bemutatta az Emerald Sleet adathalászkampányait, amelyek befolyásos észak-koreai szakértőket céloztak meg az Egyesült Államokban és az Egyesült Államokkal szövetséges országokban. A Microsoft megállapította, hogy az Emerald Sleet a rosszindulatú fájlok vagy rosszindulatú weboldalakra mutató linkek helyett egy egyedülálló taktikát alkalmaz: neves tudományos intézményeknek és civil szervezeteknek adja ki magát, hogy az áldozatokat szakértői meglátásokkal és Észak-Korea külpolitikájával kapcsolatos kommentárokkal csábítsa válaszadásra.

Képességek: Befolyásolás

Észak-Korea az elmúlt évben korlátozott befolyásolási műveleteket hajtott végre a videómegosztó közösségimédia-platformokon, mint a YouTube és a TikTok.34 A YouTube-on az észak-koreai véleményvezérek többnyire lányok és nők, lehet akár tizenegy éves is köztük. Ők internetes videónaplót vezetnek mindennapi életükről, és pozitív történetekkel népszerűsítik a rezsimet. A véleményvezérek egy része angolul beszél a videóiban, hogy minél nagyobb globális közönséget érjen el. Az észak-koreai véleményvezérek sokkal kevésbé hatékonyak, mint a kínai állami média által támogatott véleményvezér-kezdeményezés.

Mi vár ránk, amikor a geopolitikai feszültségek a kibertevékenységet és a befolyásoló műveleteket erősítik?

Kína az elmúlt években tovább bővítette kiberképességeit, és sokkal célratörőbbnek bizonyult befolyásolási kampányaiban. A közeljövőben Észak-Korea továbbra is a térségbeli politikai, gazdasági és védelmi érdekeivel kapcsolatos célpontokra összpontosít. A KKP geopolitikai céljainak ellenfelei és támogatói ellen is egyre szélesebb körű kiberkémkedésre számíthatunk minden kontinensen. Bár a Kínában működő fenyegető csoportok továbbra is lenyűgöző kiberképességeket fejlesztenek ki és használnak fel, nem észleltük, hogy Kína kombinálná a kiber- és befolyásolási műveleteket – ellentétben Iránnal és Oroszországgal, amelyek hacker- és kiszivárogtató kampányokat folytatnak.

A más rosszindulatú befolyást gyakorló szereplőkhöz nem hasonlítható mértékben működő, Kínával szövetséges befolyást gyakorló szereplők a következő hat hónapban több kulcsfontosságú tendenciát és eseményt is kihasználhatnak.

Először is, a videót és a vizuális médiát felhasználó műveletek egyre inkább normává válnak. A KKP-hez kapcsolódó hálózatok már régóta használnak mesterséges intelligencia által létrehozott profilképeket, idén pedig már mesterséges intelligencia által generált művészeti alkotásokat használnak a vizuális mémekhez. Az államilag támogatott szereplők továbbra is igénybe veszik a privát tartalomstúdiókat és PR-cégeket, hogy igény szerint megrendelésre propagandát szervezzenek.35

Másodszor, Kína továbbra is a hiteles felhasználók bevonására törekszik, időt és erőforrásokat fektetve a közösségi médián belüli kapcsolatok ápolására. A komoly kulturális és nyelvi ismeretekkel és kiváló minőségű videótartalommal rendelkező véleményvezérek a sikeres közösségimédia-megjelenések úttörőivé váltak. A KKP e taktikák némelyikét – beleértve a közösségi média felhasználóival való interakciót és a kulturális ismeretek bemutatását – a rejtett közösségimédia-kampányok megerősítésére alkalmazza.

Harmadszor, Tajvan és az Egyesült Államok valószínűleg továbbra is a kínai befolyásolási műveletek első két prioritási területe marad, különösen a 2024-ben mindkét országban esedékes választások miatt. Tekintettel arra, hogy a közelmúltban a KKP-hez közel álló befolyásos szereplők már célba vették az amerikai választásokat, szinte biztos, hogy ezt ismét meg fogják tenni. Az amerikai szavazókat megszemélyesítő közösségimédia-eszközök valószínűleg magasabb szintű kifinomultságot mutatnak majd, és aktívan szítanak viszályt faji, társadalmi-gazdasági és ideológiai vonalak mentén olyan tartalmakkal, amelyek hevesen kritizálják az Egyesült Államokat.

  1. [1]
  2. [2]

    Az új Fülöp-szigeteki támaszpontok növelik az USA katonai jelenlétét a régióban, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    Jelenleg nincs elegendő bizonyíték a csoportok összekapcsolására.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; Ezek a statisztikák a 2023. áprilisi adatokat tükrözik.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520;Az ilyen befolyásoló szereplőket néha „Spamouflage Dragon” vagy „DRAGONBRIDGE” néven ismerik.
  18. [18]
  19. [19]
  20. [20]

    További információ: A Microsoft Veszélyelemzési Központ keretrendszere a befolyásolási jellemzők meghatározásához. https://go.microsoft.com/fwlink/?linkid=2262095; A kínai diaszpórát a kínai kormány általánosan „tengerentúli kínaiaknak” vagy 华侨 (huaqiao) nevezi, ami a Kínai Népköztársaságon kívül élő, kínai állampolgársággal vagy örökséggel rendelkező emberekre utal. Részletesebben a kínai diaszpóra pekingi értelmezéséről lásd: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    A kínai kormány ezt a narratívát a COVID-19 világjárvány kezdetén vetette be, lásd: https://go.microsoft.com/fwlink/?linkid=2262170; A hálózaton belüli, ezt az állítást népszerűsítő weboldalak közé tartoznak: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Ukrajna védelme: A kiberháború korai tanulságai, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    A xuexi qiangguo másik értelmezése „Tanulmányozd Xi-t, erősítsd az országot”. A név egy szójáték Xi Jinping családnevére. A kínai kormányok, egyetemek és vállalatok erőteljesen támogatják az alkalmazás használatát, időnként megszégyenítve vagy megbüntetve a beosztottakat a ritka használatért, lásd: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    A lap tulajdonosa a Shanghai United Media Group, amely viszont a Sanghaji Kommunista Pártbizottság tulajdonában van: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    A KKP korábban olyan magánszektorbeli vállalatokba fektetett be, amelyek SEO-manipulációs technikák, hamis like-ok és követők és egyéb szolgáltatások révén segítik a befolyásolási kampányokat. A közbeszerzési dokumentumok ilyen ajánlatokat tartalmaznak, lásd: https://go.microsoft.com/fwlink/?linkid=2262522

Kiberbefolyásolási műveletek Kelet-Ázsia nemzetállamokkal kapcsolatos jelentések Nemzetállamokkal kapcsolatos jelentések Adathalászat Fenyegető szereplők

Kapcsolódó cikkek

A Volt Typhoon az egyesült államokbeli kritikus infrastruktúrát veszi célba a szárazföldön élő technikákkal

A kínai állam által támogatott Volt Typhoon nevű fenyegető szereplőt megfigyelték, hogy lopakodó technikákat használ az egyesült államokbeli kritikus infrastruktúrák célba vételére, kémkedésre és sérült környezetekben való tartózkodásra.
További információ

Propaganda a digitális korban: Hogyan rombolják a bizalmat a kiberbefolyásolási műveletek?

Áttekintheti a kiberbefolyásolási műveletek világát, amelyben a nemzetállamok olyan propagandát terjesztenek, amely az egészséges demokrácia egyik alapfeltételének számító megbízható információkat fenyegeti.
További információ

Irán a nagyobb hatékonyság érdekében kiberalapú befolyásolási műveleteket kezd alkalmazni

A Microsoft Veszélyforrás-intelligencia megnövekedett számú iráni, kiberalapú befolyásolási műveleteket leplezett le. Betekintést nyerhet a veszélyforrásokba az új technikák részleteiből, és megtudhatja, hol állhat fenn esetleges jövőbeni fenyegetettség.
További információ

A Microsoft Biztonság követése