Trace Id is missing

Gli attori di minacce russi sono in trincea, pronti a sfruttare la stanchezza del conflitto

Scarica
Condividi
Operazioni di influenza informatica
Introduzione
Gli operatori di influenza e minacce informatiche russi hanno dimostrato la capacità di adattarsi al corso della guerra in Ucraina, provando nuovi modi per conquistare vantaggi sul campo di battaglia e fiaccare il sostegno nazionale ed esterno di Kyiv. In questo report vengono fornite informazioni dettagliate sulle minacce informatiche e sulle attività di influenza maligna osservate da Microsoft tra marzo e ottobre 2023. In quei mesi, militari e civili ucraini sono stati di nuovo presi di mira, mentre il rischio di intrusione e manipolazione è aumentato fino a raggiungere le entità a livello mondiale che supportano l'Ucraina e cercano di dimostrare i crimini di guerra perpetrati dalle forze armate russe.

Fasi della guerra russa in Ucraina da gennaio 2022 a giugno 2023

Grafico che mostra le fasi della guerra russa in Ucraina
Scopri di più su questa immagine a pagina 3 del report completo

Le azioni di minaccia osservate da Microsoft da marzo a ottobre riflettevano operazioni combinate per demoralizzare il popolo ucraino e una maggiore attenzione allo spionaggio informatico. I militari e gli attori di minacce informatiche e propaganda russi hanno sferrato attacchi concertati contro il settore agricolo ucraino, un'infrastruttura civile target, in una crisi dei cereali globale. Gli attori di minacce informatiche affiliati con l'intelligence militare russa (GRU) hanno partecipato a operazioni di spionaggio informatico contro l'esercito ucraino e i suoi approvvigionamenti provenienti dall'estero. Mentre la comunità internazionale cercava di punire i crimini di guerra, gruppi collegati ai servizi SVR (Servizio informazioni estero) e FSB (Servizio federale per la sicurezza) hanno attaccato gli investigatori dei crimini di guerra all'interno e all'esterno dell'Ucraina.

Sul fronte dell'influenza, la breve ribellione del giugno 2023 e la successiva morte di Evgenij Prigožin, comandante del Gruppo Wagner e della famigerata "fabbrica di troll" dell'Internet Research Agency, ha fatto sorgere interrogativi sul futuro delle capacità di influenza della Russia. Durante questa estate, Microsoft ha osservato vaste operazioni di organizzazioni non collegate a Prigožin, mostrando il futuro delle campagne di influenza maligna della Russia senza di lui.

I team di Microsoft Threat Intelligence e di risposta agli incidenti hanno informato e aiutato i clienti e i partner governativi colpiti per limitare l'attività delle minacce descritta in questo report.

Le forze russe si affidano maggiormente alle armi convenzionali per infliggere danni in Ucraina, ma le operazioni informatiche e di influenza rimangono una minaccia urgente alla sicurezza delle reti informatiche e della vita civile per gli alleati dell'Ucraina locali, della NATO e a livello mondiale. Oltre ad aggiornare i nostri prodotti della sicurezza per difendere in modo proattivo i nostri clienti su scala globale, vogliamo fornire queste informazioni per incoraggiare una vigilanza costante contro le minacce all'integrità dello spazio dell'informazione globale.

Le forze cinetiche, informatiche e di propaganda russe si sono unite per sferrare un attacco contro il settore dell'agricoltura ucraino questa estate. Gli interventi militari hanno distrutto una quantità di cereali che avrebbe potuto sfamare più di 1 milione di persone per un anno, mentre i media pro-Russia hanno giustificato la cosa per lo scopo da raggiungere nonostante i costi umanitari.1

Da giugno a settembre, Microsoft Threat Intelligence ha osservato penetrazione delle reti, esfiltrazione di dati e perfino malware distruttivi distribuiti ai danni di organizzazioni legate all'industria agricola ucraina e all'infrastruttura dei trasporti correlati ai cereali. A giugno e luglio, Aqua Blizzard (in precedenza ACTINIUM) ha rubato dati da un'azienda che assiste con il monitoraggio delle coltivazioni. Seashell Blizzard (in precedenza IRIDIUM) ha usato varianti di malware distruttivi rudimentali che Microsoft rileva come WalnutWipe/SharpWipe contro le reti del settore alimentare/agricolo.2

Analisi delle attività di propaganda digitale russa dirette contro l'agricoltura ucraina

Attività di propaganda digitale russa dirette contro l'agricoltura ucraina
Scopri di più su questa immagine a pagina 4 del report completo

A luglio, Mosca si è ritirata dalla Black Sea Grain Initiative, un accordo umanitario che ha aiutato a far fronte a una crisi alimentare globale e ha consentito il trasporto di oltre 725.000 tonnellate di grano per distribuirlo alle popolazioni in Afghanistan, Etiopia, Kenya, Somalia e Yemen il suo primo anno.3 Dopo l'azione di Mosca, i media e i canali Telegram pro-Russia hanno cominciato una campagna denigratoria contro l'iniziativa del grano giustificando la decisione di Mosca. Gli organi di propaganda hanno descritto il corridoio del grano come un fronte per il traffico di droga o il trasferimento segreto di armi, per sminuire il significato umanitario dell'accordo.

In diversi report del 2023, abbiamo evidenziato come gruppi di hacktivisti o pseudo-hacktivisti con connessioni sospette al GRU hanno amplificato il malcontento di Mosca rispetto agli avversari e gonfiato il numero di forze informatiche pro-Russia.4 5 6 Questa estate, abbiamo osservato hacktivisti su Telegram condividere messaggi che tentano di giustificare gli assalti militari alle infrastrutture civili in Ucraina e gli attacchi DDoS (Distributed Denial-of-Service) contro gli alleati dell'Ucraina all'estero. Il monitoraggio continuo da parte di Microsoft dell'intersezione dei gruppi di hacktivisti con gli attori di attacchi stato-nazione offre ulteriori dati analitici sul ritmo delle operazioni delle entità e sui modi in cui le loro attività si integrano per portare a termine i loro obiettivi.

Finora, abbiamo individuato tre gruppi, Solntsepek, InfoCentr e Cyber Army of Russia, che interagiscono con Seashell Blizzard. La relazione di Seashell Blizzard con organi di stampa hacktivisti potrebbe essere solo per l'uso a breve termine, anziché per controllo, in base ai picchi temporanei di attività informatica degli hacktivisti in concomitanza con gli attacchi di Seashell Blizzard. Periodicamente, Seashell Blizzard lancia un attacco distruttivo che i gruppi di hacktivisti su Telegram rivendicano pubblicamente. Successivamente, gli hacktivisti tornano alle loro solite azioni meno complesse, come attacchi DDoS o fughe di informazioni personali ucraine. La rete rappresenta un'infrastruttura agile che l'APT può usare per promuovere la sua attività.

Panoramica dell'hacktivismo pro-Russia

Grafico che mostra una panoramica dell'hacktivismo pro-Russia
Scopri di più su questa immagine a pagina 5 del report completo

Le forze russe non sono impegnate solo in azioni che potrebbero entrare in conflitto con le leggi internazionali, ma anche in attività contro gli investigatori e inquirenti che indagano su di loro.

La telemetria di Microsoft ha rivelato che gli attori collegati all'esercito russo e alle agenzie di intelligence straniere hanno colpito e violato le reti legali e investigative ucraine, e quelle di delle organizzazioni internazionali coinvolte nelle indagini sui crimini di guerra, durante la primavera e l'estate di quest'anno.

Queste operazioni informatiche si sono verificate nel contesto delle crescenti tensioni tra Mosca e gruppi come l'International Criminal Court (ICC), che ha emesso un mandato d'arresto per il Presidente russo Putin per le accuse di crimini di guerra a marzo.7

Ad aprile, Seashell Blizzard collegato alla GRU ha compromesso la rete di uno studio legale che si occupa di casi di crimini di guerra. A luglio, Aqua Blizzard, attribuito all'FSB, ha violato la rete interna di un importante organo investigativo in Ucraina, per poi usare gli account compromessi per inviare email di phishing a diverse aziende di telecomunicazioni ucraine a settembre.

Gli attori SVR di Midnight Blizzard (in precedenza NOBELIUM) hanno compromesso ed effettuato l'accesso ai documenti di un'organizzazione legale con responsabilità globali a giugno e luglio prima che il servizio Risposta agli incidenti Microsoft intervenisse per rispondere all'intrusione. Questa attività rientrava in una strategia più aggressiva di questo attore finalizzata alla violazione di organizzazioni diplomatiche, di difesa, ordine pubblico e del settore IT a livello mondiale.

Da un'analisi delle notifiche di Microsoft Security emesse per i clienti interessati da marzo è emerso che Midnight Blizzard ha perseguito l'accesso a più di 240 organizzazioni dislocate prevalentemente negli Stati Uniti, in Canada e in altri Paesi europei, con vari gradi di successo.8

Quasi il 40%  delle organizzazioni colpite era formato da gruppi di esperti governativi, intergovernativi o dedicati alle politiche.

Gli attori di minacce russi hanno usato varie tecniche per ottenere l'accesso iniziale e stabilire la persistenza nelle reti colpite. Midnight Blizzard ha adottato un approccio kitchen sink, usando password spraying, credenziali acquisite da terze parti, campagne di ingegneria sociale credibili tramite Teams e uso improprio di servizi cloud per infiltrarsi in ambienti cloud.9 Aqua Blizzard ha integrato l'HTML smuggling in campagne di phishing per l'accesso iniziale per ridurre la probabilità di rilevamento attraverso firme antivirus e controlli di sicurezza delle email.

Seashell Blizzard ha sfruttato i sistemi di server perimetrali come Exchange e Tomcat e, contemporaneamente, software di Microsoft Office pirati nascondendo la backdoor DarkCrystalRAT per ottenere l'accesso iniziale. La backdoor ha consentito all'attore di caricare un payload di secondo livello chiamato Shadowlink, un pacchetto software mascherato da Microsoft Defender che installa il servizio TOR in un dispositivo e dà all'attore di minacce un accesso surrettizio tramite la rete TOR.10

Diagramma che mostra come Shadowlink installa il servizio TOR in un dispositivo software
Scopri di più su questa immagine a pagina 6 del report completo 

Da quando le forze russe hanno iniziato la loro offensiva della primavera 2023, gli attori informatici affiliati a GRU e FSB hanno concentrato i loro sforzi sulla raccolta di informazioni dall'infrastruttura militare e delle comunicazioni ucraina nelle zone di guerra.

Da marzo, Microsoft Threat Intelligence ha collegato Seashell Blizzard a potenziali esche per il phishing e pacchetti che sembravano progettati appositamente per attaccare un importante componente dell'infrastruttura per le comunicazioni militari ucraina. Non abbiamo avuto visibilità sull'azione di follow-up. Secondo il Servizio di sicurezza dell'Ucraina (SBU), gli altri tentativi di Seashell Blizzard di accedere alle reti militari ucraine includevano malware che gli avrebbero consentito di raccogliere informazioni sulle configurazioni dei terminali satellite Starlink collegati e individuare la posizione delle unità militari ucraine.11 12 13

Secret Blizzard (in precedenza KRYPTON) si è anche assicurato dei punti di appoggio per la raccolta di informazioni nelle reti correlate alla difesa ucraina. In collaborazione con il team governativo di risposta alle emergenze informatiche dell'Ucraina (CERT-UA), Microsoft Threat Intelligence ha individuato la presenza di malware di backdoor DeliveryCheck e Kazuar di Secret Blizzard nei sistemi delle forze di difesa ucraine.14 Kazuar consente più di 40 funzioni tra cui il furto di credenziali da una serie di applicazioni, dati di autenticazione, proxy e cookie, e il recupero dati da registri di sistemi operativi.15 Secret Blizzard era particolarmente interessato a rubare file con messaggi dell'applicazione di messaggistica Signal Desktop, con cui avrebbe potuto leggere le chat Signal private.16

Forest Blizzard (in precedenza STRONTIUM) ha rinnovato l'attenzione sui suoi tradizionali target di spionaggio, organizzazioni correlate alla difesa negli Stati Uniti, in Canada e in Europa, il cui supporto e addestramento militare sta permettendo alle forze ucraine di continuare a combattere.

Da marzo, Forest Blizzard ha tentato di ottenere l'accesso iniziale alle organizzazioni di difesa tramite messaggi di phishing che incorporavano tecniche nuove ed elusive. Ad esempio, ad agosto Forest Blizzard ha inviato un'email di phishing che incorporava un exploit per CVE-2023-38831 ai proprietari di account in un'organizzazione di difesa europea. CVE-2023-38831 è una vulnerabilità della sicurezza nel software WinRAR che permette agli utenti malintenzionati di eseguire codice arbitrario quando un utente prova a visualizzare un file benigno all'interno di un archivio ZIP.

L'attore sfrutta anche strumenti di sviluppo leciti come Mockbin e Mocky per il comando e il controllo. Dalla fine di settembre, l'attore ha condotto una campagna di phishing usando in modo improprio i servizi GitHub e Mockbin. CERT-UA e altre società di cybersecurity hanno divulgato l'attività a settembre, segnalando che l'attore ha usato pagine d'intrattenimento per adulti per convincere le vittime a fare clic su un link o ad aprire un file che le avrebbe reindirizzate all'infrastruttura dannosa Mockbin.17 18Microsoft ha osservato un aumento nell'utilizzo di una pagina a tema tecnologia a fine settembre. In ogni caso, gli attori hanno inviato un'email di phishing contenente un link dannoso che reindirizzava la vittima a un URL Mockbin e scaricava un file ZIP con un file LNK (scelta rapida da tastiera) dannoso mascherato come aggiornamento di Windows. Il file LNK avrebbe poi scaricato ed eseguito un altro script PowerShell per stabilire la persistenza e condurre azioni successive come il furto di dati.

Esempio di screenshot di PDF esca associato al messaggio di phishing di Forest Blizzard delle organizzazioni di difesa.

Attore di minacce mascherato da operatore del Parlamento europeo
Allegato email: "Agenda 28 ago - 03 set 2023" per riunioni del Parlamento europeo. Comunicazione per il servizio stampa. 160 KB bulletin.rar
Figura 5: Esempio di screenshot di PDF esca associato al messaggio di phishing di Forest Blizzard delle organizzazioni di difesa.  Scopri di più su questa immagine a pagina 8 del report completo

Nel corso del 2023, MTAC ha continuato l'osservazione di Storm-1099, un attore di influenza affiliato alla Russia responsabile di una sofisticata operazione di influenza pro-Russia rivolta ai sostenitori internazionali dell'Ucraina dalla primavera del 2022.

Forse meglio conosciuto per l'operazione di disinformazione russa tramite siti Web su larga scala soprannominata "Doppelgänger" dal gruppo di ricerca EU DisinfoLab,19le attività di Storm-1099 includono anche importanti organi di stampa come Reliable Recent News (RRN), progetti multimediali come la serie animata anti-Ucraina "Ukraine Inc." e dimostrazioni concrete che uniscono il mondo fisico e quello digitale. Anche se l'attribuzione è incompleta, i tecnologi politici russi ben finanziati, i propagandisti e gli specialisti di PR con legami dimostrabili con lo stato russo hanno condotto e supportato diverse campagne di Storm-1099.20

L'operazione Doppelgänger di Storm-1099 è ancora in corso, nonostante società di tecnologie ed enti di ricerca continuino a segnalare e tentare di ridurre la sua copertura.21 Mentre questo attore era solito attaccare l'Europa occidentale (soprattutto la Germania), ora ha preso di mira anche Francia, Italia e Ucraina. Negli ultimi mesi Storm-1099 ha rivolto la propria attenzione anche verso gli Stati Uniti e Israele. Questa transizione è iniziata a gennaio 2023, tra le proteste su larga scala in Israele contro la revisione giudiziaria proposta, e si è intensificata dopo lo scoppio della guerra tra Israele e Hamas a inizio ottobre. Nuovi organi di stampa riflettono una crescente prioritizzazione della politica statunitense e le prossime elezioni presidenziali degli USA del 2024, mentre gli asset di Storm-1099 esistenti hanno energicamente diffuso la falsa notizia secondo cui Hamas avrebbe acquistato armi ucraine al mercato nero per i suoi attacchi del 7 ottobre in Israele.

Più di recente, a fine ottobre, MTAC ha osservato account che secondo Microsoft sono asset di Storm-1099 promuovere un nuovo tipo di falsificazione, oltre agli articoli e ai siti Web falsi sui social media. Si tratta di una serie di brevi clip di fake news, ufficialmente create da organi di stampa rispettabili, che diffondono propaganda pro-Russia per minare il supporto per l'Ucraina e Israele. Negli ultimi mesi è stato riscontrato un aumento nell'uso di questa tattica (che utilizza video di parodia per fare propaganda) da parte di attori pro-Russia, ma la promozione di Storm-1099 di tali contenuti video evidenzia solo le variegate tecniche di influenza e gli obiettivi di messaggistica di questo attore.

Articoli pubblicati su falsi siti Doppelgänger

La campagna condotta dall'attore di minacce di influenza informatica russo Storm-1099 è stata osservata e monitorata da Microsoft.
Osservata e monitorata da Microsoft il 31 ottobre 2023. Articoli pubblicati su falsi siti Doppelgänger; la campagna condotta dall'attore di minacce di influenza informatica russo Storm-1099.
Scopri di più su questa immagine a pagina 9 del report completo

Dagli attacchi di Hamas in Israele il 7 ottobre, gli organi di stampa dello stato russo e gli attori di influenza pro-Russia si sono impegnati a sfruttare la guerra tra Israele e Hamas per promuovere idee anti-ucraine, alimentare l'ostilità contro gli Stati Uniti e inasprire la tensione tra tutte le parti. Questa attività, seppure reattiva alla guerra e in genere di portata limitata, include organi di informazione dichiaratamente sponsorizzati dallo stato e reti di social media segretamente affiliati alla Russia che abbracciano varie piattaforme di social media.

 

I temi promossi dalla propaganda russa e dalle reti di social media pro-Russia cercano di mettere a confronto Israele e la Palestina e di indebolire il sostegno occidentale per Kyiv diffondendo false notizie secondo cui l'Ucraina avrebbe fornito le armi ai militanti di Hamas con video manipolati e parodie di organi di stampa rispettabili. Un video non autentico che sostiene che reclute straniere, anche americane, sono state trasferite dall'Ucraina per prendere parte alle operazioni dell'IDF (forze di difesa israeliane) nella Striscia di gaza, che ha raccolto centinaia di migliaia di visualizzazioni nelle varie piattaforme di social media, rappresenta solo un esempio di questo tipo di contenuti. Questa strategia alimenta le narrazioni anti-Ucraina per un ampio pubblico e promuove l'impegno plasmando false notizie prendendo spunto dalle principali notizie di cronaca.

 

La Russia, inoltre, aumenta l'attività di influenza digitale con la promozione di eventi reali. Gli organi di stampa russi hanno aggressivamente promosso contenuti provocatori che amplificano le proteste relative alla guerra tra Israele e Hamas in medio oriente e in Europa, anche tramite corrispondenti sul campo delle agenzie di stampa dello stato russo. Alla fine di ottobre 2023, le autorità francesi hanno affermato che quattro cittadini moldavi erano probabilmente responsabili dei graffiti raffiguranti le stelle di David rinvenuti in luoghi pubblici a Parigi. Stando a quel che si dice, due di loro hanno dichiarato di essere stati indirizzati da una persona di lingua russa, suggerendo una possibile responsabilità russa di tali graffiti. Le immagini dei graffiti sono state poi diffuse dagli asset di Storm-1099.22

 

Probabilmente la Russia vede un vantaggio geopolitico nel conflitto in corso tra Israele e Hamas, perché crede che quella guerra distragga l'Occidente dagli scontri in Ucraina. Secondo le tattiche usate più di frequente nel playbook di influenza della Russia, MTAC sostiene che tali attori continuano a promuovere la propaganda online e a sfruttare altri eventi internazionali di rilievo per alimentare le tensioni e tentare di ostacolare la capacità dell'Occidente di contrastare l'invasione russa dell'Ucraina.

La propaganda anti-Ucraina ha ampiamente pervaso l'attività di influenza russa già da prima dell'invasione su larga scala del 2022. Negli ultimi mesi, tuttavia, le reti di influenza pro-Russia e affiliate alla Russia si sono concentrate sull'uso di video come contenuti più dinamici per diffondere questi messaggi uniti allo spoofing di autorevoli organi di stampa per sfruttare la loro credibilità. MTAC ha osservato due campagne in corso condotte da attori pro-Russia sconosciuti che si servono dello spoofing di notizie mainstream e importanti social media per divulgare contenuti video manipolati. Come le precedenti campagne di propaganda russa, questa attività si concentra sul descrivere il Presidente ucraino Volodymyr Zelensky come un tossicodipendente corrotto e il sostegno dell'Occidente per Kyiv come qualcosa di deleterio per le popolazioni nazionali di quei Paesi. Il contenuto di queste due campagne cerca continuamente di minare il sostegno per l'Ucraina, ma adatta le narrazioni in base ai fatti di attualità, come l'implosione del sommergibile Titan nel giugno 2023 o la guerra tra Israele e Hamas per raggiungere più persone.

Diagramma che mostra una panoramica delle clip di notizie falsificate

che mostra una panoramica delle clip di notizie falsificate
Scopri di più su questa immagine a pagina 11 del report completo

Una di queste campagne basate su video riguarda una serie di video inventati che diffondono informazioni false, anti-Ucraina e pro-Russia mascherate da brevi reportage di organi di stampa mainstream. MTAC ha rilevato questa attività per la prima volta ad aprile 2022, quando dei canali Telegram pro-Russia hanno pubblicato un video falso della BBC News in cui si sosteneva che l'esercito ucraino fosse responsabile di un attacco missilistico con decine di vittime tra i civili. Il video presenta il logo, i colori e lo stile della BBC e include sottotitoli in inglese caratterizzati da errori tipici di quando si traduce un testo da una lingua slava all'inglese.

Questa campagna è andata avanti per tutto il 2022 e si è intensificata nell'estate del 2023. Al momento della stesura del presente report, MTAC ha riscontrato più di una dozzina di video falsificati nella campagna e scoperto che i principali bersagli di questa campagna di spoofing sono BBC News, Al Jazeera ed EuroNews. I canali Telegram di lingua russa hanno amplificato i video prima di diffonderli sulle piattaforme di social media mainstream

Screenshot di video che imitano il logo e lo stile di BBC News (a sinistra) ed EuroNews (a destra)

Nuove clip inventate contenenti informazioni false pro-Russia
Microsoft Threat Intelligence: Link a notizie falsificate sulla sconfitta dell'esercito ucraino, sull'attacco di HAMAS e sulla falsa responsabilità di Israele
Nuove clip inventate contenenti informazioni false pro-Russia. Screenshot di video che imitano il logo e lo stile di BBC News (a sinistra) ed EuroNews (a destra). Scopri di più su questa immagine a pagina 12 del report completo

Nonostante la loro copertura limitata, se fossero perfezionati o migliorati con il potere dell'intelligenza artificiale o amplificati da un messaggero più credibile, questi contenuti potrebbero comportare una minaccia credibile per futuri target. L'attore pro-Russia responsabile delle clip di notizie falsificate è sensibile agli attuali eventi globali e agile. Ad esempio, un video falsificato della BBC News ha dichiarato che l'organizzazione di giornalismo d'inchiesta Bellingcat ha scoperto che le armi usate dai militanti di Hamas erano state vendute al gruppo da ufficiali dell'esercito ucraino al mercato nero. Questo contenuto video rispecchiava minuziosamente le dichiarazioni pubbliche che l'ex Presidente russo Dmitry Medvedev aveva fatto il giorno prima che il video fosse pubblicato, dimostrando il grande allineamento della campagna con i messaggi del governo russo.23

A partire da luglio 2023, i canali di social media pro-Russa hanno iniziato a far circolare video di celebrità, falsamente modificati per diffondere la propaganda anti-Ucraina. I video, realizzati da un attore di influenza pro-Russia sconosciuto, sembrano sfruttare Cameo, un noto sito Web in cui le celebrità e altre figure pubbliche possono registrare e inviare videomessaggi personalizzati agli utenti che pagano una commissione. I brevi videomessaggi, che spesso mostrano le celebrità che implorano "Vladimir" di cercare aiuto per l'abuso di sostanze stupefacenti, sono modificati dall'attore sconosciuto includendo emoji e link. I video circolano nelle community dei social media pro-Russia e vengono amplificati da organi di informazione statali e affiliati allo stato, falsamente descritti come messaggi per il Presidente ucraino Volodymyr Zelensky. In alcuni casi, l'attore ha aggiunto i loghi degli organi di stampa e gli handle dei social media delle celebrità per trasformare il video in clip di notizie, come presunti appelli pubblici delle celebrità a Zelensky o post dei social media delle celebrità. Gli ufficiali del Cremlino e la propaganda sponsorizzata dallo stato russo promuovono da tempo la falsa notizia secondo cui il Presidente Zelensky non riesca a uscire dalla tossicodipendenza; tuttavia, questa campagna segna un nuovo approccio degli attori pro-Russia che cercano di diffondere la narrazione online.

Il primo video nella campagna, rilevato a fine luglio, presenta emoji della bandiera ucraina, filigrane dell'organo di stampa americano TMZ e link a un centro di recupero per tossicodipendenti e alle pagine dei social media ufficiali del Presidente Zelensky. Da fine ottobre 2023, i canali di social media pro-Russia hanno diffuso altri sei video. In particolare, il 17 agosto, l'organo di informazione di proprietà dello stato russo RIA Novosti ha pubblicato un articolo con un video che mostra l'attore americano John McGinley, come se fosse un appello autentico di McGinley rivolto a Zelensky.24 Oltre a McGinley, le celebrità i cui contenuti appaiono nella campagna includono gli attori Elijah Wood, Dean Norris, Kate Flannery e Priscilla Presley; il musicista Shavo Odadjian e il pugile Mike Tyson. Altri organi di stampa russi affiliati allo stato, tra cui il canale televisivo sanzionato dagli Stati Uniti Tsargrad, hanno amplificato ulteriormente i contenuti della campagna.25

Fermo immagine di video che mostrano celebrità che apparentemente promuovono la propaganda pro-Russia

fermo immagine di video che mostrano celebrità che apparentemente promuovono la propaganda pro-Russia
Scopri di più su questa immagine a pagina 12 del report completo

I militari russi stanno passando a una nuova fase della guerra di trincea statica, secondo il capo militare dell'Ucraina, cosa che fa pensare che il conflitto durerà ancora più a lungo.26 Kyiv richiederà un rifornimento costante di armi e il sostegno popolare per continuare la resistenza, ed è probabile che gli operatori di influenza e minacce informatiche russi intensificheranno gli sforzi per demoralizzare la popolazione ucraina e indebolire le fonti esterne di aiuto militare e finanziario per Kyiv.

Con l'avvicinarsi dell'inverno, potrebbero ricominciare gli attacchi militari alle centrali idriche ed elettriche in Ucraina, combinati ad altri attacchi distruttivi su quelle reti.27Le autorità di cybersecurity ucraine CERT-UA a settembre hanno annunciato che le reti energetiche ucraine erano sotto minaccia, e Microsoft Threat Intelligence ha rilevato degli artefatti di attività di minaccia del GRU alle reti del settore energetico dell'Ucraina da agosto a ottobre.28 Microsoft ha riscontrato almeno un utilizzo distruttivo dell'utilità Sdelete contro la rete di una società elettrica ucraina ad agosto.29

Fuori dai confini dell'Ucraina, le elezioni presidenziali degli Stati Uniti e altri importanti confronti politici nel 2024 potrebbero offrire agli attori di influenza maligna un'opportunità per mettere in atto le loro abilità relative ai video e all'intelligenza artificiale per ostacolare le figure elette che sostengono l'Ucraina.30

Microsoft sta lavorando su più fronti per proteggere i nostri clienti in Ucraina e in tutto il mondo da queste molteplici minacce. Nell'ambito della nostra Secure Future Initiative, stiamo integrando innovazioni nella difesa informatica basata sull'intelligenza artificiale e nell'ingegneria del software sicuro, impegnandoci a rafforzare le norme internazionali per proteggere i civili dalle minacce informatiche. 31 Inoltre, stiamo distribuendo risorse con una serie di principi di base per proteggere i votanti, i candidati, le campagne e le autorità elettorali a livello mondiale, mentre più di 2 miliardi di persone si preparano a partecipare ai processi democratici il prossimo anno.32

  1. [1]
  2. [2]

    Per informazioni tecniche sugli ultimi metodi di attacco distruttivi in Ucraina, vedi  https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    In base alle notifiche emesse dal 15 marzo 2023 al 23 ottobre 2023. 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]

Articoli correlati

Aumenta la portata e l'efficacia delle minacce digitali dell'Asia orientale

Approfondisci ed esplora le tendenze emergenti nel panorama di minacce in continua evoluzione dell'Asia orientale, in cui la Cina conduce operazioni IO e informatiche di vasta portata, mentre gli attori di minacce informatiche della Corea del Nord dimostrano una sempre maggiore complessità.
Scopri di più

L'Iran si sta rivolgendo a operazioni informatiche di influenza per un maggiore effetto

Microsoft Threat Intelligence ha svelato maggiori operazioni informatiche di influenza in uscita dall'Iran. Ottieni dettagli sulle minacce delle nuove tecniche e dove esiste la possibilità di future minacce.
Scopri di più

Le operazioni informatiche e di influenza della guerra nel campo di battaglia digitale dell'Ucraina

Microsoft Threat Intelligence esamina un anno di operazioni informatiche e di influenza in Ucraina, svela nuove tendenze nelle minacce informatiche e cosa aspettarsi mentre la guerra entra nel suo secondo anno.
Scopri di più

Segui Microsoft