Trace Id is missing

Az orosz fenyegető szereplők magasabb sebességre kapcsolnak, és felkészülnek a háborús kifáradás kihasználására

Letöltés
Megosztás
Kiberbefolyásolási műveletek
Bevezetés
Az orosz kibertámadási és befolyásolási szereplők az Ukrajna elleni háború során olyan alkalmazkodóképességről tettek tanúbizonyságot, amelyben új módszerekkel próbálkoztak a harctéri előny megszerzésére és Kijev belföldi és külső támogatásának kikezdésére. Ez a jelentés részletesen ismerteti a Microsoft által 2023 márciusa és októbere között megfigyelt kiberfenyegetéseket és rosszindulatú befolyásolási tevékenységeket. Ez idő alatt az ukrán katonai és polgári lakosság ismét célkeresztbe került, miközben a behatolás és a manipuláció veszélye világszerte megnőtt az Ukrajnát segítő és az orosz erőket háborús bűnökért felelősségre vonni kívánó szervezetek számára is.

Oroszország Ukrajna elleni háborújának fázisai 2022. január és 2023. június között

Az Ukrajna elleni orosz háború fázisait bemutató ábra
A képpel kapcsolatban további információt a teljes jelentés 3. oldalán talál

A Microsoft által a márciustól októberig tartó időszakban megfigyelt fenyegető műveletek az ukrán közvélemény demoralizálására irányuló kombinált akciókat és a kiberkémkedésre való fokozott összpontosítást jelezték. Az orosz katonai, kiberfenyegetési és propagandaszereplők összehangolt támadásokat intéztek az ukrán mezőgazdasági ágazat – azaz egy polgári infrastrukturális célpont – ellen a globális gabonaválság közepette. Az orosz katonai hírszerzéshez (GRU) köthető kiberfenyegetési szereplők kiberkémkedési tevékenységet folytattak az ukrán hadsereg és annak külföldi utánpótlási vonalai ellen. Miközben a nemzetközi közösség a háborús bűnök megbüntetésére törekedett, az orosz Külföldi Hírszerző Szolgálathoz (SZVR) és a Szövetségi Biztonsági Szolgálathoz (FSZB) kapcsolódó csoportok Ukrajnán belül és kívül is célba vették a háborús bűnöket vizsgáló nyomozókat.

A befolyásolási fronton a 2023. júniusi rövid lázadás és később Jevgenyij Prigozsin, a Wagner-csoport és a hírhedt Internet Research Agency trollhadsereg tulajdonosának halála kérdéseket vetett fel Oroszország befolyásolási képességeinek jövőjével kapcsolatban. A Microsoft a nyár folyamán olyan szervezetek széles körű műveleteit figyelte meg, amelyek nem kapcsolódtak Prigozsinhoz, ami jól mutatja, hogy Oroszország a jövőben nélküle is folytathat rosszindulatú befolyásolási kampányokat.

A Microsoft Veszélyforrás-intelligencia és Incidenselhárítás csapatai értesítették az érintett ügyfeleket és kormányzati partnereket, és együttműködtek velük az ebben a jelentésben leírt fenyegető tevékenységek mérséklése érdekében.

Az orosz erők inkább a hagyományos fegyverekkel próbálnak kárt okozni Ukrajnában, ezzel együtt azonban a kiberfenyegetési és befolyásolási műveletek is komoly fenyegetést jelentenek a számítógépes hálózatok biztonságára és a polgári életre Ukrajna szövetségesei számára a régióban, a NATO-ban és világszerte. Amellett, hogy biztonsági termékeinket világszerte frissítjük ügyfeleink megelőző védelme érdekében, ezeket az információkat is megosztjuk, hogy folyamatos éberségre ösztönözzünk mindenkit a globális információs tér integritását veszélyeztető fenyegetésekkel szemben.

Az orosz kinetikus, kiberfenyegetési és propagandaerők idén nyáron az ukrán mezőgazdaság elleni támadásokra összpontosítottak. A katonai csapások olyan mennyiségű gabonát semmisítettek meg, amellyel több mint 1 millió embert lehetett volna egy éven át élelmezni, miközben az oroszbarát média olyan narratívákat terjesztett, amelyek a humanitárius veszteségek ellenére igazolni próbálták a célpontok elleni támadásokat.1

Júniustól szeptemberig a Microsoft Veszélyforrás-intelligencia olyan hálózati behatolást, adatkiszivárogtatást, sőt pusztító kártevőket is megfigyelt, amelyeket az ukrán mezőgazdasági iparhoz és a gabonával kapcsolatos szállítási infrastruktúrához kapcsolódó szervezetek ellen vetettek be. Júniusban és júliusban az Aqua Blizzard (korábban ACTINIUM) adatokat lopott el egy olyan cégtől, amely a terméshozamok nyomon követését segíti. A Seashell Blizzard (korábban IRIDIUM) a Microsoft által WalnutWipe/SharpWipe néven észlelt kezdetleges pusztító kártevő egy változatát használta az élelmiszeripari, illetve agrárágazati hálózatok ellen.2

Az ukrán mezőgazdaság ellen irányuló orosz digitális propagandatevékenységek tételes részletezése

Ábra az ukrán mezőgazdaság ellen irányuló orosz digitális propagandatevékenységekről
A képpel kapcsolatban további információt a teljes jelentés 4. oldalán talál

Júliusban Moszkva kilépett a Fekete-tengeri gabonakezdeményezés nevű humanitárius kezdeményezésből, amely segített elhárítani a globális élelmiszerválságot, és az első évben több mint 725 000 tonna búzát szállított Afganisztán, Etiópia, Kenya, Szomália és Jemen lakosságának.3 Moszkva lépését követően az oroszbarát média és a Telegram-csatornák azonnal nekiláttak a gabonakezdeményezés rossz hírét kelteni, és igazolni Moszkva döntését. A propagandacsatornák a gabonafolyosót a kábítószer-kereskedelem álcájaként festették le vagy a titkos fegyverszállítás eszközeként állították be, hogy ezzel is aláássák az egyezmény humanitárius jelentőségét.

Több 2023-as jelentésben is rámutattunk arra, hogy a GRU-val feltételezhetően kapcsolatban álló legitim vagy álhacktivista csoportok hogyan dolgoztak azon, hogy felerősítsék Moszkva ellenfelekkel szembeni ellenszenvét, és felnagyítsák az oroszbarát kibererők számát.4 5 6 Idén nyáron azt is megfigyeltük, hogy hacktivista szereplők a Telegramon olyan üzeneteket terjesztettek, amelyek megpróbálták igazolni az ukrajnai polgári infrastruktúra elleni katonai támadásokat és az Ukrajna külföldi szövetségesei ellen irányuló elosztott szolgáltatásmegtagadásos (DDoS-) támadásokat. A Microsoft folyamatosan figyelemmel kíséri a hacktivista csoportok és a nemzetállami szereplők összefonódását, így további betekintést nyerhetünk mindkét szervezet működési ütemébe és abba, hogy tevékenységeik hogyan egészítik ki egymás céljait.

Eddig három olyan csoportot azonosítottunk – a Solntsepek, az InfoCentr és a Cyber Army of Russia –, amelyek együttműködnek a Seashell Blizzarddal. A Seashell Blizzard kapcsolata a hacktivisták szervezeteivel inkább a rövid távú felhasználás, mintsem az ellenőrzés eszköze lehet, mivel a hacktivisták kiberfenyegetési képességének átmeneti felfutása egybeesik a Seashell Blizzard támadásaival. Rendszeresen előfordul, hogy a Seashell Blizzard elindít egy pusztító támadást, amelyet a Telegramon a hacktivista csoportok nyilvánosan magukra vállalnak. A hacktivisták ezután visszatérnek az általuk általában végrehajtott alacsony léptékű akciókhoz, például a DDoS-támadásokhoz vagy az ukrán személyes adatok kiszivárogtatásához. A hálózat olyan agilis infrastruktúrát jelent, amelyet az APT felhasználhat tevékenységének előmozdítására.

Az oroszbarát hacktivizmus alakulását bemutató diagram

Az oroszbarát hacktivizmus alakulását bemutató diagram
A képpel kapcsolatban további információt a teljes jelentés 5. oldalán talál

Az orosz erők nemcsak olyan akciókat hajtanak végre, amelyek sérthetik a nemzetközi jogot, hanem az ellenük eljáró bűnügyi nyomozókat és ügyészeket is célba veszik.

A Microsoft telemetriája feltárta, hogy az Oroszország katonai és külföldi hírszerző szerveihez kapcsolódó szereplők idén tavasszal és nyáron az ukrán igazságügyi és nyomozói hálózatokat, valamint a háborús bűnök kivizsgálásában részt vevő nemzetközi szervezetek hálózatait célozták meg és törték fel.

Ezek a kiberműveletek növekvő feszültségek közepette történtek Moszkva és olyan csoportok között, mint amilyen például a Nemzetközi Büntetőbíróság (ICC), amely márciusban elfogatóparancsot adott ki Putyin orosz elnök ellen háborús bűncselekmények vádjával.7

Áprilisban a GRU-val kapcsolatban álló Seashell Blizzard megtámadott egy háborús bűnökkel kapcsolatos ügyekkel foglalkozó ügyvédi irodai hálózatot. Az FSZB-hez köthető Aqua Blizzard júliusban behatolt egy jelentős ukrajnai nyomozószerv belső hálózatába, majd szeptemberben az ottani feltört fiókok segítségével adathalász e-maileket küldött több ukrán távközlési cégnek.

Az SVR-hez kapcsolódó Midnight Blizzard (korábban NOBELIUM) szereplői júniusban és júliusban feltörték egy globális hatáskörrel rendelkező jogi szervezet dokumentumait és hozzáfértek azokhoz, mielőtt a Microsoft Incidenskezelés beavatkozott a behatolás szervizelése érdekében. Ez a tevékenység annak az agresszívabb erőfeszítésnek volt része, amellyel ez a szereplő a diplomáciai, védelmi, közpolitikai és informatikai szektorbeli szervezetek feltörésére törekszik világszerte.

A Microsoft által az érintett ügyfeleknek március óta kiadott biztonsági értesítések áttekintése során kiderült, hogy a Midnight Blizzard több mint 240 szervezethez próbált hozzáférni, elsősorban az Egyesült Államokban, Kanadában és más európai országokban, változó sikerrel.8

A célba vett szervezetek közel 40 százaléka  kormányzati, kormányközi vagy politikával foglalkozó elemzőközpont volt.

Az orosz fenyegető szereplők különböző technikákat alkalmaztak a kezdeti hozzáférés megszerzésére és a célzott hálózatokon belüli jelenlét fenntartására. A Midnight Blizzard minden elképzelhető módszert bevetett: a szórásos jelszófeltörést, a harmadik felektől szerzett hitelesítő adatokat, a Teamsen keresztül folytatott meggyőző pszichológiai manipulációs kampányokat és a felhőszolgáltatások visszaélésszerű használatát a felhőkörnyezetekbe való behatoláshoz.9 Az Aqua Blizzard sikeresen integrálta a HTML-csempészést is a kezdeti hozzáférés érdekében végzett adathalászati kampányaiba, hogy csökkentse a vírusirtók és az e-mail-kezelő szoftverek biztonsági ellenőrzései által történő észlelés valószínűségét.

A Seashell Blizzard kihasználta a szegélyhálózati kiszolgálórendszereket, például az Exchange és a Tomcat kiszolgálókat, és ezzel egyidejűleg a DarkCrystalRAT backdoor programot tartalmazó kalóz Microsoft Office szoftvert használta fel a kezdeti hozzáférés megszerzéséhez. A backdoor lehetővé tette a támadó számára, hogy betöltsön egy általunk Shadowlinknek nevezett második lépcsős kártékony kódot és egy Microsoft Defendernek álcázott szoftvercsomagot, amely telepíti a TOR szolgáltatást az eszközre, és a TOR-hálózaton keresztül titokban hozzáférést biztosít a támadónak.10

A TOR szolgáltatásnak szoftveres eszközre a Shadowlink általi telepítését bemutató ábra
A képpel kapcsolatban további információt a teljes jelentés  6. oldalán talál

Az orosz haderő 2023 tavaszán indított offenzívája óta a GRU-hoz és az FSZB-hez kapcsolódó kiberszereplők az ukrán kommunikációs és katonai infrastruktúrából történő hírszerzésre összpontosítják erőfeszítéseiket a harci zónákban.

Márciusban a Microsoft Veszélyforrás-intelligencia a Seashell Blizzardot olyan potenciális adathalász-csalikkal és -csomagokkal hozta összefüggésbe, amelyek az ukrán katonai kommunikációs infrastruktúra egyik fontos elemét voltak hivatottak megcélozni. A további lépésekre nem volt rálátásunk. Az Ukrán Biztonsági Szolgálat (SZBU) szerint a Seashell Blizzardnak az ukrán katonai hálózatokhoz való hozzáférésre irányuló egyéb kísérletei olyan kártevőket tartalmaztak, amelyek lehetővé tették volna számukra, hogy információkat gyűjtsenek a csatlakoztatott Starlink-műholdterminálok konfigurációjáról és az ukrán katonai egységek helyzetéről.11 12 13

A Secret Blizzard (korábban KRYPTON) szintén arra törekedett, hogy hírszerzési támaszpontokat építsen ki az ukrán védelemmel kapcsolatos hálózatokban. A Microsoft Veszélyforrás-intelligencia az ukrán kormányzati számítógépes katasztrófaelhárító csoporttal (CERT-UA) együttműködve azonosította a Secret Blizzard DeliveryCheck és Kazuar nevű backdoor kártevőinek jelenlétét az ukrán védelmi erők rendszerein.14 A Kazuar több mint 40 funkciót biztosít, beleértve a hitelesítő adatok különböző alkalmazásokból, hitelesítési adatokból, proxykból és cookie-kból történő ellopását, valamint az operációs rendszer naplóiból származó adatok kinyerését.15  A Secret Blizzard kifejezetten törekedett arra, hogy ellopja a Signal Desktop üzenetküldő alkalmazás üzeneteit tartalmazó fájlokat, amelyek lehetővé tennék számukra, hogy elolvassák a privát Signal-csevegéseket.16

A Forest Blizzard (korábban STRONTIUM) ismét hagyományos kémkedési célpontjaira, az Egyesült Államok, Kanada és Európa védelmi vonatkozású szervezeteire összpontosít, amelyek katonai támogatása és kiképzése biztosítja az ukrán erők felszereltségét a harc folytatásához.

Március óta a Forest Blizzard újszerű és nehezen azonosítható technikákat alkalmazó adathalász üzenetek segítségével próbált meg hozzáférést szerezni a védelmi szervezetekbe. Augusztusban például a Forest Blizzard olyan adathalász e-mailt küldött egy európai védelmi szervezet fióktulajdonosainak, amely a CVE-2023-38831 sebezhetőség kihasználását kísérelte meg. A CVE-2023-38831 a WinRAR szoftver egy biztonsági rése, amely lehetővé teszi a támadók számára tetszőleges kód futtatását, amikor a felhasználó megpróbál egy jóindulatú fájlt megtekinteni egy ZIP-archívumon belül.

A szereplő olyan legitim fejlesztői eszközöket is felhasznál, mint a Mockbin és a Mocky, hogy átvegye az irányítást és a vezérlést. Szeptember végén a szereplő a GitHub és a Mockbin szolgáltatással visszaélve folytatott adathalászati kampányt. A CERT-UA és más kiberbiztonsági cégek szeptemberben hozták nyilvánosságra a tevékenységet, megjegyezve, hogy a szereplő felnőtteknek szóló szórakoztató oldalakat használt fel, ahol az áldozatokat egy olyan hivatkozásra való kattintásra, illetve egy olyan fájl megnyitására csábította, amely átirányította őket a rosszindulatú Mockbin-infrastruktúrára.17 18A Microsoft szeptember végén azt észlelte, hogy a szóban forgó szereplő egy technológiai témájú oldal használatára tért át. A szereplők minden esetben egy kártékony hivatkozást tartalmazó adathalász e-mailt küldtek, amely egy kártékony Mockbin-URL-címre irányította az áldozatot, és letöltött egy kártékony LNK- (parancsikon-) fájlt tartalmazó, Windows-frissítésnek álcázott zip-fájlt. Az LNK-fájl ezután letöltött és végrehajtott egy másik PowerShell-szkriptet a környezetben való fennmaradás megteremtéséhez és további műveletek, például adatlopás elvégzése érdekében.

Képernyőfotós példa a Forest Blizzard által a védelmi szervezeteknek küldött adathalászati PDF-csalira.

A fenyegető szereplő az Európai Parlament munkatársának adja ki magát
E-mail-melléklet: 'Agenda 28 Aug - 03 Sep 2023' for European Parliament meetings. (Az Európai Parlament 2023. augusztus 28. - szeptember 3. közötti időszakra vonatkozó napirendje.) Press Service communication (A sajtószolgálat közleménye). 160 KB bulletin.rar
5. ábra: Képernyőfotó: példa a Forest Blizzard által a védelmi szervezeteknek küldött adathalászati PDF-csalira.  A képpel kapcsolatban további információt a teljes jelentés 8. oldalán talál

2023 folyamán az MTAC folyamatosan észlelte a Storm-1099 aktivitását, amely egy Oroszországhoz kötődő befolyásolási szereplő, amely 2022 tavasza óta kifinomult oroszbarát befolyásolási tevékenységet folytat Ukrajna nemzetközi támogatói ellen.

A Storm-1099 leginkább talán az EU DisinfoLab kutatócsoport által Doppelgangernek nevezett tömeges honlaphamisítási tevékenységéről ismert19, de a tevékenységei olyan saját márkás csatornákra is kiterjednek, mint amilyen például a Reliable Recent News (RRN), olyan multimédiás projektekre, mint például az Ukraine Inc. című ukránellenes rajzfilmsorozat, valamint a digitális és a fizikai világot összekötő helyszíni demonstrációkra is. Habár az azonosíthatóság nem teljes, az orosz állammal bizonyíthatóan kapcsolatban álló, jól finanszírozott orosz politikai technológusok, propagandisták és PR-szakemberek számos Storm-1099-es kampányt folytatnak és támogatnak.20

A Storm-1099 Doppelganger művelete e jelentés készítésének időpontjában még mindig teljes erővel zajlik annak ellenére, hogy a technológiai vállalatok és kutatóintézetek folyamatosan próbálják jelenteni és csökkenteni a hatását.21 Habár ez a szereplő elsősorban Nyugat-Európát – főként Németországot – támadja, Franciaországot, Olaszországot és Ukrajnát is célba vette. Az elmúlt hónapokban a Storm-1099 földrajzilag az Egyesült Államokra és Izraelre helyezte át a hangsúlyt. Ez az átmenet már 2023 januárjában elkezdődött, az Izraelben az igazságszolgáltatás tervezett átalakítása elleni nagyszabású tüntetések közepette, és az október eleji Izrael–Hamász háború kitörése után felerősödött. Az újonnan létrehozott saját márkás csatornák az amerikai politikára és a közelgő 2024-es amerikai elnökválasztásra helyeznek egyre nagyobb hangsúlyt, miközben a Storm-1099 a már meglévő eszközeivel erőteljesen terjeszti azt a hamis állítást, hogy a Hamász a feketepiacon szerzett ukrán fegyvereket az október 7-i izraeli támadásokhoz.

Az MTAC legutóbb október végén figyelt meg olyan fiókokat, amelyeket a Microsoft a Storm-1099 eszközeiként azonosított, és amelyek a közösségi médiában hamis cikkek és weboldalak mellett egy újfajta hamisítást is népszerűsítettek. Ezek egy sor rövid, látszólag neves hírcsatornák által készített hamis hírklipek, amelyek Oroszország-barát propagandát terjesztenek, hogy aláássák mind Ukrajna, mind Izrael támogatását. Noha ez a taktika – a videós hamisítványok felhasználása propagandaszövegek terjesztésére – az elmúlt hónapokban az oroszbarát szereplők által szélesebb körben megfigyelt gyakorlat, az, hogy a Storm-1099 ilyen videótartalmakat népszerűsít, rámutat a szereplő változatos befolyásolási technikáira és üzenetküldési céljaira.

Hamis Doppelganger-oldalakon közzétett cikkek

A Storm 1099 orosz kiberbefolyásolási fenyegető szereplő által folytatott kampányt a Microsoft figyelte és követte nyomon.
Megfigyelte és nyomon követte a Microsoft 2023. október 31-én. Hamis Doppelganger-webhelyeken közzétett cikkek; a Storm 1099 orosz, kiberbefolyásolási fenyegető szereplő által folytatott kampány.
A képpel kapcsolatban további információt a teljes jelentés 9. oldalán talál

A Hamász október 7-i izraeli támadásai óta az orosz állami média és az államhoz kötődő befolyásoló szereplők igyekeztek az Izrael–Hamász háborút arra kihasználni, hogy az Ukrajna-ellenes narratívákat és az USA-ellenes érzelmeket népszerűsítsék, és fokozzák a feszültséget minden fél között. Ez a tevékenység, bár a háborúra reagál, és általában korlátozott terjedelmű, kiterjed mind a nyílt, államilag támogatott médiára, mind pedig a több közösségi médiás platformon működő, Oroszországgal kapcsolatban álló rejtett közösségimédia-hálózatokra.

 

Az orosz propagandisták és az oroszbarát közösségimédia-hálózatok által terjesztett narratívák Izraelt próbálják szembeállítani Ukrajnával, és csökkenteni igyekeznek a Kijevnek nyújtott nyugati támogatást azáltal, hogy neves sajtóorgánumoknak kiadva magukat, manipulált videókban hamisan azt állítják, hogy Ukrajna látta el fegyverekkel a Hamász harcosait. Csak egyetlen példa az ilyen tartalmakra az a nem hiteles videó, amely azt állította, hogy Ukrajnából külföldi újoncokat, köztük amerikaiakat helyeztek át, hogy csatlakozzanak az Izraeli Védelmi Erők (IDF) Gázai övezetbeli műveleteihez, és amely több százezres nézettséget ért el a közösségi médiás platformokon. Ez a stratégia egyrészt az ukránellenes narratívákat juttatja el a széles közönséghez, másrészt pedig hamis narratívákkal próbál magasabb elérést szerezni a főbb hírekhez való igazodásával.

 

Oroszország a digitális befolyásolási tevékenységet valós események népszerűsítésével is kiegészíti. Az orosz csatornák agresszívan népszerűsítettek olyan gyújtó hangvételű tartalmakat, amelyek az Izrael és a Hamász közötti közel-keleti és európai háborúval kapcsolatos tiltakozásokat erősítették fel – többek között az orosz állami hírügynökségek helyszíni tudósítóin keresztül. 2023. október végén a francia hatóságok feltételezése szerint négy moldovai állampolgár valószínűleg kapcsolatban állt a párizsi közterületekre festett Dávid-csillagos graffitikkel. A jelentések szerint a moldovaiak közül ketten azt állították, hogy egy oroszul beszélő személy irányította őket, ami arra utal, hogy a graffitikért valószínűleg oroszok felelősek. A graffitikről készült képeket később a Storm-1099 eszközeivel jelentős hangsúllyal terjesztették.22

 

Oroszország valószínűleg úgy értékeli, hogy a napjainkban zajló Izrael–Hamász konfliktus az ő geopolitikai előnyét szolgálja, mivel úgy véli, hogy a konfliktus eltereli a Nyugat figyelmét az ukrajnai háborúról. Az MTAC úgy értékeli, hogy az ilyen szereplők az orosz befolyásolási stratégiában gyakran alkalmazott taktikákat követve folytatják az online propagandát, és más jelentős nemzetközi események kihasználásával próbálnak majd feszültséget kelteni, és megpróbálják hátráltatni a Nyugatot abban, hogy ellensúlyozza Oroszország Ukrajna elleni invázióját.

Az ukránellenes propaganda már a 2022-es teljes körű inváziót megelőzően is messzemenően áthatotta az orosz befolyásolási tevékenységet. Az elmúlt hónapokban azonban az oroszbarát és az Oroszországhoz kötődő befolyásolási hálózatok arra összpontosítottak, hogy a videót mint dinamikusabb médiumot használják ezen üzenetek terjesztésére, valamint arra, hogy mértékadó médiaorgánumokat hamisítsanak, hogy kihasználják azok hitelességét. Az MTAC két olyan folyamatban lévő kampányt figyelt meg, amelyet ismeretlen oroszbarát szereplők folytatnak, és amelyekben manipulált videótartalmak terjesztése érdekében a meghatározó hírszolgáltatói és szórakoztatóipari médiamárkákat hamisítják. A korábbi orosz propagandakampányokhoz hasonlóan ez a tevékenység is arra összpontosít, hogy Volodimir Zelenszkij ukrán elnököt korrupt drogfüggőnek, a Kijevnek nyújtott nyugati támogatást pedig az adott országok lakossága számára károsnak állítsa be. Mindkét kampány tartalma következetesen arra törekszik, hogy csökkentse Ukrajna támogatását, de a narratívákat úgy alakítja át, hogy azok igazodjanak az újonnan megjelenő hírekhez – például 2023 júniusában a Titan tengeralattjáró felrobbanásához vagy az Izrael és a Hamász közötti háborúhoz –, hogy szélesebb közönséget érjenek el.

A diagram a hamisított hírklipeket mutatja be – áttekintés

a hamisított hírklipek áttekintését tartalmazó ábra
A képpel kapcsolatban további információt a teljes jelentés 11. oldalán talál

Az egyik ilyen, videókra összpontosító kampány egy sor hamisított videót tartalmaz, amelyek hamis, ukránellenes, Kreml-közeli témákat és narratívákat terjesztenek a meghatározó médiumok rövid híreinek álcája alatt. Az MTAC először 2022 áprilisában figyelt fel erre a tevékenységre, amikor az oroszbarát Telegram-csatornák egy hamis BBC News-videót tettek közzé, amely azt állította, hogy az ukrán hadsereg felelős egy több tucat polgári áldozatot követelő rakétacsapásért. A videó a BBC logóját, színvilágát és arculatát használja, és olyan angol nyelvű feliratokat tartalmaz, amelyek a szláv nyelvekről angolra történő fordítás során gyakran előforduló hibákat mutatnak.

Ez a kampány 2022 során folyamatosan zajlott, és 2023 nyarán felgyorsult. E jelentés összeállításának idején az MTAC több mint egy tucat hamisított médiás videót figyelt meg a kampányban, melyek a leggyakrabban a BBC News, az Al Jazeera és az EuroNews csatornákat hamisították. Először az orosz nyelvű Telegram-csatornák népszerűsítették a videókat, amelyek aztán elterjedtek a főbb közösségi médiás platformokon is

A BBC News (balra) és az EuroNews (jobbra) logóját és arculatát imitáló videókról készült képernyőképek

Hamisított hírklipek, amelyek Oroszországhoz kötődő dezinformációt tartalmaznak
Microsoft Veszélyforrás-intelligencia: Az álhírek kapcsolatba hozzák egymással Ukrajna katonai kudarcát, a Hamász támadását és Izrael állítólagos felelősségét
Álhírklipek, amelyek Oroszországhoz kötődő, félrevezető információt tartalmaznak. A BBC News (balra) és az EuroNews (jobbra) logóját és arculatát imitáló videókról készült képernyőképek. A képpel kapcsolatban további információt a teljes jelentés 12. oldalán talál

Bár ez a tartalom eddig csak korlátozott közönséget ért el, a későbbi célpontok számára hiteles fenyegetést jelenthet, ha a mesterséges intelligencia erejével finomítják vagy javítják, vagy egy hitelesebb közvetítő által felerősítik. A hamisított hírklipekért felelős oroszbarát szereplő érzékeny az aktuális világeseményekre, és rendkívül ravasz. Egy hamis BBC News-videó például valótlanul azt állította, hogy a Bellingcat oknyomozó újságírói szervezet felfedte, hogy a Hamász harcosai által használt fegyvereket ukrán katonai tisztviselők adták el a csoportnak a feketepiacon. A videó tartalma hűen tükrözte a Dmitrij Medvegyev volt orosz elnök által mindössze egy nappal a videó közzététele előtt tett nyilvános kijelentések tartalmát, ami azt mutatja, hogy a kampány szorosan illeszkedik az orosz kormány nyilvános üzeneteihez.23

2023 júliusától kezdve az oroszbarát közösségi médiacsatornákon hírességekről készült, megtévesztően szerkesztett videókat kezdtek el népszerűsíteni, hogy Ukrajna-ellenes propagandát terjesszenek velük. A videók, amelyek egy ismeretlen, Oroszországhoz kötődő befolyásos színész munkái, a jelek szerint a Cameo nevű népszerű weboldalt használják ki, ahol hírességek és más közszereplők személyre szabott videoüzeneteket rögzíthetnek és küldhetnek a felhasználóknak, akik fizetnek érte. A rövid videóüzeneteket, amelyekben gyakran hírességek kérlelik „Vladimirt”, hogy kérjen segítséget a szerfüggősége miatt, az ismeretlen színész emojikkal és hivatkozásokkal egészíti ki. A videók az oroszbarát közösségi médiás közösségekben terjednek, és az orosz államhoz kötődő és államilag működtetett médiumok felerősítik őket, és hamisan Volodimir Zelenszkij ukrán elnöknek szóló üzenetként tüntetik fel őket. Egyes esetekben a színész médiumok logóit és a hírességek közösségi médiás elérhetőségeit is szerepelteti a videókon, hogy azokat úgy állítsa be, mintha a hírességek Zelenszkijhez intézett állítólagos nyilvános felhívásairól szóló tudósításokból vagy a hírességek saját közösségi médiás bejegyzéseiből származnának. A Kreml tisztviselői és az orosz állam által támogatott propaganda már régóta terjeszti azt a hamis állítást, hogy Zelenszkij elnök kábítószer-függőséggel küzdene; ez a kampány azonban újszerű megközelítést jelent az oroszbarát szereplők részéről, akik az online információs térben igyekeznek erősíteni ezt a narratívát.

A kampány első, július végén megfigyelt videója ukrán zászlós emojikat és a TMZ amerikai médium vízjeleit tartalmazza, és hivatkozások vannak benne egy drogfüggőséggel foglalkozó rehabilitációs központra és Zelenszkij elnök egyik hivatalos közösségi oldalára is. 2023. október végéig az oroszbarát közösségi médiás csatornák hat másik videót is terjesztettek. Augusztus 17-én a RIA Novosztyi orosz állami hírügynökség egy cikket közölt egy John McGinley amerikai színészt bemutató videóról, mintha az McGinley hiteles felhívása lenne Zelenszkijhez.24 McGinley mellett olyan hírességek is szerepelnek a kampányban, mint Elijah Wood, Dean Norris, Kate Flannery és Priscilla Presley színészek, Shavo Odadjian zenész és Mike Tyson bokszoló. A kampány tartalmát más, az államhoz kötődő orosz médiaorgánumok, köztük az Egyesült Államok által szankcionált Tsargrad médiaorgánum is kiemelten terjesztette.25

Állóképek olyan videókból, amelyekben látszólag oroszbarát propagandát népszerűsítő hírességek szerepelnek

állóképek olyan videókból, amelyekben látszólag oroszbarát propagandát népszerűsítő hírességek szerepelnek
A képpel kapcsolatban további információt a teljes jelentés 12. oldalán talál

Az orosz harcosok az ukrán katonai főparancsnok szerint a statikus lövészárok-háború új szakaszába lépnek, ami egy még elhúzódóbb konfliktust vetít előre.26 Kijevnek folyamatos fegyverutánpótlásra és társadalmi támogatásra lesz szüksége az ellenállás folytatásához, és valószínűleg azzal kell számolnunk, hogy az orosz kiberfenyegetési és befolyásolási szereplők fokozni fogják az ukrán lakosság demoralizálására és Kijev külső katonai és pénzügyi támogatási forrásainak leépítésére irányuló erőfeszítéseket.

A tél közeledtével az ukrajnai elektromos és vízművek újabb katonai csapások áldozatává válhatnak, a hálózatokat pedig megsemmisítő támadások érhetik.27A CERT-UA ukrán kiberbiztonsági hatóságok szeptemberben bejelentették, hogy az ukrán energiahálózatokat folyamatos fenyegetés veszélyezteti, a Microsoft Veszélyforrás-intelligencia pedig augusztus és október között a GRU fenyegető tevékenységének bizonyítékait figyelte meg az ukrán energiaszektor hálózatain.28 A Microsoft augusztusban legalább egy esetben észlelte az Sdelete segédprogramnak egy ukrán áramszolgáltató hálózata elleni pusztító használatát.29

Ukrajnán kívül a 2024-es amerikai elnökválasztás és más nagy politikai megmérettetések lehetőséget adhatnak a rosszindulatú befolyásolási szereplők számára, hogy a videós médiát és a kialakulóban lévő AI-képességeiket arra használják, hogy a politikai irányt az Ukrajnát támogató választott tisztségviselőktől másfelé térítsék.30

A Microsoft több fronton is azon dolgozik, hogy megvédje az ügyfeleit Ukrajnában és világszerte ezektől a sokrétű fenyegetésektől. A Biztonságos jövő kezdeményezés keretében kombináljuk a mesterséges intelligencia által támogatott kibervédelem és a biztonságos szoftverfejlesztés terén elért eredményeket a polgári lakosságot a kiberfenyegetésekkel szemben védő nemzetközi normák megerősítésére irányuló erőfeszítésekkel. 31 Az alapelvek mellett erőforrásokat is biztosítunk a választók, a jelöltek, a kampányok és a választási hatóságok védelmére világszerte, miközben az elkövetkező egy évben több mint 2 milliárd ember készül a demokratikus folyamatokban való részvételre.32

  1. [1]
  2. [2]

    Az Ukrajnában végrehajtott legújabb romboló támadási módszerekről szóló technikai információkért lásd: https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    A 2023. március 15. és 2023. október 23. között kiadott értesítések alapján. 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]

Kapcsolódó cikkek

A kelet-ázsiai digitális fenyegetettség még kiterjedtebbé és hatékonyabbá vált

Ismerje meg a kelet-ázsiai veszélyforrások újonnan kialakuló trendjeit. Kína széles körben indít kiber- és befolyásolási műveleteket (IO), miközben Észak-Korea kiberbűnözői egyre összetettebb módszerekkel támadnak.
További információ

Irán a nagyobb hatékonyság érdekében kiberalapú befolyásolási műveleteket kezd alkalmazni

A Microsoft Veszélyforrás-intelligencia megnövekedett számú iráni, kiberalapú befolyásolási műveleteket leplezett le. Betekintést nyerhet a veszélyforrásokba az új technikák részleteiből, és megtudhatja, hol állhat fenn esetleges jövőbeni fenyegetettség.
További információ

Az ukrajnai háború kiber- és befolyásolási műveletei a digitális csatatéren

A Microsoft Veszélyforrás-intelligencia megvizsgálja az ukrajnai kiber- és befolyásolási műveletek egy évét, feltárja a kiberfenyegetések új trendjeit, és hogy mire számíthatunk a háború második évében.
További információ

A Microsoft Biztonság követése