Trace Id is missing
Pereiti prie pagrindinio turinio
Security Insider

Didėja Rytų Azijos skaitmeninių grėsmių mastas ir veiksmingumas

Atsisiųsti
Bendrinti
Asmuo sėdi priešais kompiuterį

Įvadas

Kelios naujos tendencijos rodo, kad Rytų Azijoje sparčiai keičiasi grėsmių kraštovaizdis: Kinija vykdo plataus masto  kibernetines ir įtakos operacijas (IO) , o Šiaurės Korėjos kibernetinių grėsmių dalyviai demonstruoja vis didesnį rafinuotumą.

Pirma, su Kinijos valstybe susijusios kibernetinių nusikaltimų grupės ypač daug dėmesio skiria Pietų Kinijos jūros regionui, nukreipdamos kibernetinį šnipinėjimą į vyriausybes ir kitus svarbius subjektus, esančius šioje jūrų zonoje. Tuo tarpu tai, kad Kinija orientuojasi į JAV gynybos sektorių ir tikrina JAV infrastruktūrą mėginimus įgyti konkurencinį pranašumą Kinijos užsienio santykiams ir strateginiams kariniams tikslams.

Antra, per pastaruosius metus Kinija veiksmingiau įtraukė socialinės medijos naudotojus su IO. Kinijos internetinės įtakos kampanijos ilgą laiką rėmėsi dideliu kiekiu, kad pasiektų naudotojus per neautentiškų socialinės medijos paskyrų tinklus. Tačiau nuo 2022 m. Kinijai prijaučiantys socialinės medijos tinklai tiesiogiai bendravo su autentiškais vartotojais socialinėje medijoje, savo turinį apie JAV rinkimus nukreipė į konkrečius kandidatus ir prisistatė Amerikos rinkėjais. Atskirai Kinijos valstybinės daugiakalbės socialinės medijos nuomonės formuotojų iniciatyva sėkmingai pritraukė tikslinę auditoriją bent 40-čia kalbų ir padidino jos auditoriją iki daugiau nei 103 milijonų.

Trečia, Kinija praėjusiais metais toliau plečia savo IO kampanijas, didindama pastangas įtraukti naujų kalbų ir naujų platformų, kad padidintų savo pasaulinį pėdsaką. Socialiniuose tinkluose kampanijos naudoja tūkstančius neautentiškų paskyrų dešimtyse svetainių, platindamos memus, vaizdo įrašus ir žinutes keliomis kalbomis. Interneto naujienų žiniasklaidoje Kinijos valstybinė žiniasklaida taktiškai ir veiksmingai pozicionuoja save kaip autoritetingą balsą tarptautiniame diskurse apie Kiniją, naudodama įvairias priemones daryti įtaką žiniasklaidos priemonėms visame pasaulyje. Viena kampanija Kinijos komunistų partijos (KKP) propagandą skleidė per lokalizuotas naujienų svetaines, skirtas Kinijos diasporai daugiau nei 35 šalyse.

Galiausiai Šiaurės Korėja, kuriai, skirtingai nei Kinijai, trūksta rafinuotos įtakos veikėjos gebėjimų, tebėra didžiulė kibernetinė grėsmė. Šiaurės Korėja parodė nuolatinį susidomėjimą žvalgybinės informacijos rinkimu ir didėjančiu taktiniu sudėtingumu, be kita ko, pasitelkdama pakopines tiekimo grandinės atakas ir kriptovaliutų vagystes.

Kinijos kibernetinės operacijos atnaujina dėmesį Pietų Kinijos jūrai ir pagrindinėms Jungtinių Valstijų pramonės šakoms

Nuo 2023 m. pradžios „Microsoft“ grėsmių žvalgyba nustatė tris su Kinija susijusiems kibernetinių grėsmių veikėjams ypač svarbias sritis: Pietų Kinijos jūrą, JAV gynybos pramonės bazę ir JAV ypatingos svarbos infrastruktūrą.

Kinijos valstybės remiami taikiniai atspindi strateginius tikslus Pietų Kinijos jūroje

Su Kinijos valstybe susiję grėsmės veikėjai nuolat domisi Pietų Kinijos jūra ir Taivanu, o tai atspindi platų Kinijos ekonominių, gynybos ir politinių interesų spektrą šiame regione.1 Prieštaringos teritorinės pretenzijos, didėjanti įtampa abipus sąsiaurio ir didėjantis JAV karinių pajėgų buvimas gali būti Kinijos puolamosios kibernetinės veiklos motyvai.2

„Microsoft“ sekė „Raspberry Typhoon“ (RADIUM) kaip pagrindinę grėsmės sukėlėjų grupę, kuri taikosi į šalis, supančias Pietų Kinijos jūrą. „Raspberry Typhoon“ nuolat taikosi į vyriausybės ministerijas, karinius subjektus ir įmones, susijusias su ypatingos svarbos infrastruktūra, ypač telekomunikacijomis. Nuo 2023 m. sausio „Raspberry Typhoon“ veikia ypač atkakliai. Taikydamasi į vyriausybės ministerijas ar infrastruktūrą, „Raspberry Typhoon“ paprastai renka žvalgybinę informaciją ir atlieka kenkėjiškų programų vykdymą. Daugelyje šalių tikslai skiriasi – nuo gynybos ir žvalgybos ministerijų iki ekonomikos ir prekybos ministerijų.

„Flax Typhoon“ (Storm-0919) yra labiausiai pastebima grėsmių grupė, nusitaikiusi į Taivano salą. Ši grupė pirmiausia orientuojasi į telekomunikacijas, švietimą, informacines technologijas ir energetikos infrastruktūrą, paprastai pasitelkdama pasirinktinį VPN prietaisą, kad tiesiogiai įsitvirtintų tiksliniame tinkle. Panašiai „Charcoal Typhoon“ (CHROMAS) nukreiptas į Taivano švietimo įstaigas, energetikos infrastruktūrą ir aukštųjų technologijų gamybą. 2023 metais tiek „Charcoal Typhoon“, tiek „Flax Typhoon“ nusitaikė į Taivano aviacijos ir kosmoso pramonės subjektus, kurie bendradarbiauja su Taivano kariuomene.

Pietų Kinijos jūros regiono žemėlapis, pažymintis pastebėtus įvykius pagal šalis
1 pav. Nuo 2022 m. sausio mėn. iki 2023 m. balandžio mėn. stebėti įvykiai Pietų Kinijos jūroje pagal šalis. Sužinokite daugiau apie šį vaizdą visos ataskaitos 4 puslapyje

JAV statant jūrų pėstininkų korpuso bazę, Kinijos grėsmių sukėlėjai nukreipia dėmesį į Guamą

Kelios Kinijoje įsikūrusios grėsmių sukėlėjų grupės ir toliau taikosi į JAV gynybos pramonės bazę: „Circle Typhoon“ (DEV-0322), „Volt Typhoon“ (DEV-0391) ir „Mulberry Typhoon“ (MANGANAS). Nors šių trijų grupių tikslai kartais sutampa, jie yra skirtingi veikėjai, turintys skirtingą infrastruktūrą ir galimybes.3

„Circle Typhoon“ vykdo įvairią kibernetinę veiklą, nukreiptą prieš JAV gynybos pramonės bazę, įskaitant išteklių kūrimą, rinkimą, pradinę prieigą ir prieigą prie kredencialų. „Circle Typhoon“ dažnai naudoja VPN prietaisus IT ir JAV įsikūrusiems gynybos rangovams. „Volt Typhoon“ taip pat vykdė žvalgybą prieš daugybę JAV gynybos rangovų. Guamas yra vienas iš dažniausių šių kampanijų taikinių, ypač ten įsikūrę palydovinio ryšio ir telekomunikacijų subjektai.4

Dažna „Volt Typhoon“ taktika apima mažų biurų ir namų kelvedžių sugadinimą, paprastai infrastruktūrai statyti.5 „Mulberry Typhoon“ taip pat taikosi į JAV gynybos pramoninę bazę, ypač taikydamasi į nulinės dienos išnaudojimo įrenginius.6 Atsižvelgiant į tai, kad Guamas yra arčiausiai Rytų Azijos esanti JAV teritorija, kuri yra labai svarbi JAV strategijai regione, vis dažnesnis taikymasis į Guamą yra reikšmingas.

Kinijos grėsmių sukėlėjų grupės taikosi į JAV kritinę infrastruktūrą

Per pastaruosius šešis mėnesius „Microsoft“ stebėjo su Kinijos valstybe susijusias grėsmių sukėlėjų grupes, kurios taikėsi į JAV ypatingos svarbos infrastruktūrą įvairiuose sektoriuose ir reikšmingą išteklių plėtrą. „Volt Typhoon“ buvo pagrindinė šios veiklos grupė bent jau nuo 2021 m. vasaros, o šios veiklos mastas vis dar nėra visiškai žinomas.

Tiksliniai sektoriai yra transportas (pvz., uostai ir geležinkeliai), komunalinės paslaugos (pvz., energijos ir vandens valymas), medicinos infrastruktūra (įskaitant ligonines) ir telekomunikacijų infrastruktūra (įskaitant palydovinį ryšį ir šviesolaidines sistemas). „Microsoft“ skaičiavimais ši kampanija galėtų suteikti Kinijai galimybių sutrikdyti kritinę infrastruktūrą ir ryšius tarp Jungtinių Valstijų ir Azijos.7

Kinijoje įsikūrusi grėsmės sukėlėjų grupė taikosi į maždaug 25 organizacijas, įskaitant JAV vyriausybės subjektus

Nuo gegužės 15 d. Kinijoje veikiantis grėsmės sukėlėjas „Storm-0558“ naudojo suklastotus autentifikavimo raktus, kad pasiektų maždaug 25 organizacijų, įskaitant JAV ir Europos vyriausybines įstaigas, „Microsoft“ klientų el. pašto paskyras.8 „Microsoft“ sėkmingai užblokavo šią kampaniją. Atakos tikslas buvo gauti neteisėtą prieigą prie el. pašto paskyrų. „Microsoft“ vertinimu, ši veikla atitiko „Storm-0558“ šnipinėjimo tikslus. Anksčiau „Storm-0558“ taikėsi į JAV ir Europos diplomatinius subjektus.

Kinija taip pat taikosi į savo strateginius partnerius

Kinijai sustiprinus dvišalius santykius ir pasaulines partnerystes per „Juostos ir kelio“ iniciatyvą (BRI), su Kinijos valstybe susiję grėsmės sukėlėjai lygiagrečiai vykdė kibernetines operacijas prieš privačius ir viešuosius subjektus visame pasaulyje. Kinijoje įsikūrusios grėsmių sukėlėjų grupės taikosi į šalis, kurios atitinka KKP BRI strategiją, įskaitant subjektus Kazachstane, Namibijoje, Vietname ir kt.9 O plačiai paplitusi Kinijos grėsmės sukėlėjų veikla nuosekliai nukreipta prieš užsienio ministerijas, įsikūrusias visoje Europoje, Lotynų Amerikoje ir Azijoje, greičiausiai siekiant ekonominio šnipinėjimo ar žvalgybos duomenų rinkimo tikslų.10 Kinijai plečiant savo pasaulinę įtaką, turėtų suintensyvėti susijusių grėsmių sukėlėjų grupių veikla. Dar 2023 m. balandį „Twill Typhoon“ (TANTALUM) sėkmingai pažeidė vyriausybines mašinas Afrikoje ir Europoje, taip pat humanitarines organizacijas visame pasaulyje.

Su KKP suderintos socialinės medijos operacijos didina veiksmingą auditorijos įtraukimą

Su KKP susijusios slaptos įtakos operacijos dabar pradėjo sėkmingai bendrauti su tiksline auditorija socialinėje medijoje labiau nei anksčiau, atspindėdamos aukštesnį interneto IO išteklių rafinuotumo ir kultivavimo lygį. Prieš 2022 m. JAV vidurio kadencijos rinkimus „Microsoft“ ir pramonės partneriai stebėjo su KKP susijusias socialinių tinklų paskyras, apsimetinėjančias JAV rinkėjais – tai nauja teritorija su KKP susijusiam IO.11 Šios paskyros apsimetinėjo amerikiečiais visame politiniame spektre ir reagavo į tikrų vartotojų komentarus.

Tiek elgesio, tiek turinio požiūriu šiose paskyrose matoma daug gerai dokumentuotų kinų IO taktikų, metodų ir procedūrų (TTP). Pavyzdžiai: paskyrų skelbimas mandarinų kalba ankstyvosiose stadijose prieš pereinant prie kitos kalbos, įtraukimas į kitų Kinijoje suderintų išteklių turinį iš karto po paskelbimo bei „pasėjimo ir sustiprinimo“ sąveikos modelio naudojimas.12 Skirtingai nuo ankstesnių IO kampanijų, kurias vykdė su KKP susiję veikėjai, naudoję lengvai atpažįstamus kompiuterio sukurtus pseudonimus, rodomus vardus ir profilio nuotraukas13, šias sudėtingesnes paskyras valdo tikri žmonės, kurie naudoja fiktyvias ar pavogtas tapatybes, kad nuslėptų paskyrų ryšį su KKP.

Socialinių tinklų paskyros šiame tinkle pasižymi panašiu elgesiu į veiklą, kurią, kaip pranešama, vykdo elitinė grupė Viešojo saugumo ministerijoje (MPS), vadinama 912 Specialiąja darbo grupe. Pasak JAV teisingumo departamento, ši grupuotė valdė socialinės medijos trolių ūkį, kuris sukūrė tūkstančius suklastotų internetinių asmenų ir skleidė KKP propagandą, nukreiptą prieš prodemokratinius aktyvistus.

Nuo maždaug 2023 m. kovo kai kurie įtariami Kinijos interneto operatorių aktyvai Vakarų socialinėje medijoje pradėjo pasitelkti generatyvinį dirbtinį intelektą (DI) vaizdiniam turiniui kurti. Šis palyginti aukštos kokybės vaizdinis turinys jau sulaukė didesnio autentiškų socialinės medijos vartotojų susidomėjimo. Šie vaizdai pasižymi difuzinio vaizdo generavimo bruožais ir yra patrauklesni nei mažiau vykęs vaizdinis turinys ankstesnėse kampanijose. Nepaisant dažnai pasitaikančių DI generavimo ženklų – pavyzdžiui, daugiau nei penkių pirštų ant žmogaus rankos – vartotojai šiuos vaizdus pakartotinai skelbė dažniau.14

Vienas šalia kito rodomi įrašai socialiniuose tinkluose, kuriuose rodomi identiški „Black Lives Matter“ vaizdai.
2 pav. „Black Lives Matter“ diagramą, kurią pirmą kartą įkėlė su KKP susijusi automatinė paskyra, po septynių valandų įkėlė paskyra, kurioje buvo apsimetinėjama JAV konservatyvių pažiūrų rinkėju.
Dirbtinio intelekto sukurtas propagandinis Laisvės statulos vaizdas.
3 pav. DI sugeneruoto vaizdo, paskelbto įtariamo kiniško IO ištekliaus, pavyzdys. Laisvės statulos ranka, laikanti deglą, turi daugiau nei penkis pirštus. Sužinokite daugiau apie šį vaizdą visos ataskaitos 6 puslapyje.
Keturių įtaką darančių asmenų kategorijų – žurnalistų, gyvenimo būdo nuomonės formuotojų, bendraminčių ir etninių mažumų – visuma nuo atviro iki slapto veikimo
4 pav. Šią iniciatyvą sudaro nuomonės formuotojai, kurie skirstomi į keturias plačias kategorijas, atsižvelgiant į jų kilmę, tikslinę auditoriją, įdarbinimą ir valdymo strategijas. Visi į mūsų analizę įtraukti asmenys turi tiesioginių ryšių su Kinijos valstybine žiniasklaida (pvz., per įdarbinimą, priimdami kvietimus keliauti ar kitus piniginius mainus). Sužinokite daugiau apie šį vaizdą visos ataskaitos 7 puslapyje.

Kinijos valstybinės žiniasklaidos nuomonės formuotojų iniciatyva

Kita strategija, pritraukianti prasmingą įsitraukimą į socialinę žiniasklaidą, yra KKP „daugiakalbių interneto įžymybių studijų“ koncepcija (多语种网红工作室).15 Pasinaudodami tikrų balsų galia, daugiau nei 230 valstybinės žiniasklaidos darbuotojų ir filialų visose pagrindinėse Vakarų socialinės medijos platformose maskuojasi kaip nepriklausomi socialinės medijos nuomonės formuotojai.16 2022 m. ir 2023 m. nauji nuomonės formuotojai ir toliau debiutuoja vidutiniškai kas septynias savaites. Šie nuomonės formuotojai, kuriuos samdo, apmoko, reklamuoja ir finansuoja „China Radio International“ (CRI) ir kitos Kinijos valstybinės žiniasklaidos priemonės, skleidžia profesionaliai lokalizuotą KKP propagandą, kuri pasiekia prasmingą įsitraukimą su tikslinėmis auditorijomis visame pasaulyje, pasiekdama bendrą mažiausiai 103 milijonų sekėjų skaičių keliose platformose, ir kalba bent 40 kalbų.

Nors nuomonės formuotojai dažniausiai skelbia nekenksmingą gyvenimo būdo turinį, šis metodas maskuoja su KKP suderintą propagandą, kuria siekiama sušvelninti Kinijos įvaizdį užsienyje.

Atrodo, kad Kinijos valstybinės žiniasklaidos nuomonės formuotojų įdarbinimo strategijoje dalyvauja dvi skirtingos asmenų grupės: tie, kurie turi darbo žurnalistikoje patirties (konkrečiai valstybinėse žiniasklaidos priemonėse), ir neseniai baigę užsienio kalbų programas. Visų pirma „China Media Group“ (CRI ir CGTN patronuojančioji įmonė), atrodo, tiesiogiai įdarbina geriausių kinų užsienio kalbų mokyklų, tokių kaip Pekino užsienio studijų universitetas ir Kinijos komunikacijos universitetas, absolventus. Tie, kurie nėra tiesiogiai įdarbinti iš universitetų, dažnai yra buvę žurnalistai ir vertėjai, kurie pašalina bet kokius aiškius priklausymo valstybinei žiniasklaidai rodiklius iš savo profilių, kai „persivadina“ kaip nuomonės formuotojai.

Laosietiškai kalbantis nuomonės formuotojas Song Siao skelbia gyvenimo būdo vaizdo tinklaraštį, kuriame aptariamas Kinijos ekonomikos atsigavimas COVID-19 pandemijos metu.
5 pav. Laosietiškai kalbantis nuomonės formuotojas Song Siao skelbia gyvenimo būdo vaizdo tinklaraštį, kuriame aptariamas Kinijos ekonomikos atsigavimas COVID-19 pandemijos metu. Pačio nufilmuotame vaizdo įraše jis apsilanko automobilių prekybos centre Pekine ir kalbasi su vietiniais gyventojais. Sužinokite daugiau apie šį vaizdą visos ataskaitos 8 puslapyje
Angliškai kalbančios nuomonės formuotojos Techy Rachel pranešimas socialiniame tinkle.
6 pav. Angliškai kalbanti nuomonės formuotoja Techy Rachel, paprastai skelbianti apie kinų inovacijas ir technologijas, nukrypsta nuo savo turinio temų, kad įsitrauktų į debatus dėl Kinijos šnipinėjimo baliono. Kaip ir kitos Kinijos valstybinės žiniasklaidos priemonės, ji neigia, kad balionas buvo naudojamas siekiant šnipinėti. Sužinokite daugiau apie šį vaizdą visos ataskaitos 8 puslapyje

Nuomonės formuotojai pasiekia auditoriją visame pasaulyje bent 40-čia kalbų

Geografinis kalbų, kuriomis kalba šie su valstybe susiję nuomonės formuotojai, pasiskirstymas atspindi didėjančią Kinijos pasaulinę įtaką ir regioninį prioritetų nustatymą. Nuomonės formuotojai, kalbantys Azijos kalbomis, išskyrus kinų, pvz., hindi, sinhalų, puštūnų, laosiečių, korėjiečių, malajų ir vietnamiečių, sudaro didžiausią nuomonės formuotojų skaičių. Angliškai kalbantys nuomonės formuotojai sudaro antrą pagal dydį nuomonės formuotojų skaičių.
Penkios skritulinės diagramos, vaizduojančios Kinijos valstybinės žiniasklaidos nuomonės formuotoją pagal kalbą.
7 pav. Kinijos valstybinės žiniasklaidos nuomonės formuotojai suskirstyti pagal kalbas. Sužinokite daugiau apie šį vaizdą visos ataskaitos 9 puslapyje

Kinija taikosi į auditorijas visame pasaulyje

Nuomonės formuotojai orientuojasi į septynias auditorijos erdves (kalbų grupes), kurios yra suskirstytos į geografinius regionus. Nerodomos anglų arba kinų kalba kalbančių auditorijos erdvių diagramos.

Kinijos IO plečia pasaulinę aprėptį keliose kampanijose

2023 m. Kinija dar labiau išplėtė savo internetinio IO mastą, pasiekdama auditoriją naujomis kalbomis ir naujose platformose. Šios operacijos jungia labai kontroliuojamą atvirą valstybinės žiniasklaidos aparatą su paslėptais ar neaiškiais socialinės medijos ištekliais, įskaitant robotus, kurie „plauna“ ir sustiprina pageidaujamus KKP naratyvus.17

„Microsoft“ pastebėjo vieną tokią su KKP suderintą kampaniją, prasidėjusią 2022 m. sausio mėn. ir vykdomą šio straipsnio rašymo metu, nukreiptą prieš Ispanijos nevyriausybinių organizacijų (NVO) apsaugos gynėjus, kai atskleidė daugiau nei 50 užjūrio Kinijos policijos nuovadų.18 Ši kampanija naudojo daugiau nei 1800 paskyrų keliose socialinės medijos platformose ir dešimtyse svetainių, kad skleistų su KKP suderintus memus, vaizdo įrašus ir pranešimus, kritikuojančius Jungtines Valstijas ir kitas demokratijas.

Šios paskyros susirašinėjo naujomis kalbomis (olandų, graikų, indoneziečių, švedų, turkų, uigūrų ir kt.) ir naujose platformose (įskaitant „Fandango“, „Rotten Tomatoes“, „Medium“, „Chess.com“ ir kt.). Nepaisant šios operacijos masto ir atkaklumo, jos pranešimai retai sulaukia prasmingo autentiškų vartotojų įsitraukimo, pabrėždami šių Kinijos tinklų veiklos pradinį pobūdį.

30 pažįstamų technologijų prekės ženklo logotipų rinkinys, pateikiamas kartu su 16 kalbų sąrašu
8 pav. Su KKP suderintas IO turinys aptiktas daugelyje platformų ir daugeliu kalbų. Sužinokite daugiau apie šį vaizdą visos ataskaitos 10 puslapyje
Šalia ekrano užfiksuoti taivanietiškos vaizdo propagandos pavyzdžiai
9 pav. Didelis vaizdo įrašų, kuriuose Taivano vyriausybė raginama „pasiduoti“ Pekinui, bendrinimų skaičius. Didelis skirtumas tarp parodymų ir bendrinimų labai rodo koordinuotą IO veiklą. Sužinokite daugiau apie šį vaizdą visos ataskaitos 10 puslapyje

Uždengtas pasaulinis KKP naujienų svetainių tinklas

Kita skaitmeninės medijos kampanija, iliustruojanti platesnį su KKP susijusių IO spektrą, yra daugiau nei 50 daugiausia kinų kalba kalbančių naujienų svetainių tinklas, palaikantis KKP teigiamą tikslą būti autoritetingu visų kinų kalba kalbančių žiniasklaidos priemonių balsu visame pasaulyje.19 Nepaisant to, kad svetainės pristatomos kaip nepriklausomos, nesusijusios su įvairiomis kinų diasporos bendruomenėmis visame pasaulyje, mes užtikrintai manome, kad šios svetainės yra susijusios su KKP Jungtinio fronto darbo departamentu (UFWD) – organu, atsakingu už KKP įtakos stiprinimą už Kinijos ribų, ypač palaikant ryšius su „užjūrio kinais“ – remiamės techniniais rodikliais, svetainės registracijos informacija ir bendrinamu turiniu.20
Pasaulio žemėlapis su daugiau nei 20 kinų svetainių logotipų, skirtų pasaulinei kinų diasporai.
10 pav. Svetainių, skirtų pasaulinei kinų diasporai, kurios laikomos šios medijos strategijos dalimi, žemėlapis.  Sužinokite daugiau apie šį vaizdą visos ataskaitos 11 puslapyje

Kadangi daugelis šių svetainių bendrai naudoja IP adresus, užklausos dėl domenų sprendimų naudojantis „Microsoft Defender“ grėsmių žvalgyba leido mums rasti daugiau svetainių tinkle. Daugelis svetainių bendrai naudoja išorinį žiniatinklio HTML kodą, kuriame netgi į kodą įterpti žiniatinklio kūrėjų komentarai dažnai yra identiški skirtingose svetainėse. Daugiau nei 30 svetainių naudoja tą pačią programų programavimo sąsają (API) ir turinio valdymo sistemą iš „visiškai priklausančios dukterinės“ Kinijos naujienų tarnybos (CNS), UFWD žiniasklaidos agentūros.21 Kinijos pramonės ir informacinių technologijų ministerijos įrašai taip pat atskleidžia, kad ši su UFWD susijusi technologijų įmonė ir kita įmonė užregistravo bent 14 naujienų svetainių šiame tinkle.22 Tokiu būdu naudodamasis dukterinėmis įmonėmis ir trečiųjų šalių medijos įmonėmis, UFWD gali pasiekti pasaulinę auditoriją, užmaskuodamas savo tiesioginį dalyvavimą.

Šios svetainės siekia būti nepriklausomais naujienų teikėjais, dažnai iš naujo skelbdamos tuos pačius Kinijos valstybinės žiniasklaidos straipsnius, dažnai tvirtindamos, kad yra originalus turinio šaltinis. Nors svetainės plačiai apima tarptautines naujienas ir skelbia bendrus Kinijos valstybinės žiniasklaidos straipsnius, politiškai jautrios temos daugiausia sutampa su pageidaujamais KKP naratyvais. Pavyzdžiui, keli šimtai šio interneto svetainių tinklo straipsnių skelbia klaidingus teiginius, kad COVID-19 virusas yra biologinis ginklas, pagamintas JAV karinėje biologinių tyrimų laboratorijoje Fort Detrike.23 Svetainėse taip pat dažnai platinami Kinijos vyriausybės pareigūnų pareiškimai ir valstybinės žiniasklaidos straipsniai, kuriuose teigiama, kad COVID-19 virusas atsirado Jungtinėse Amerikos Valstijose, o ne Kinijoje. Šios svetainės iliustruoja, kokiu mastu KKP kontrolė prasiskverbė į kinų kalba kalbančių žiniasklaidos priemonių aplinką, leidžiančią partijai paslėpti kritinius pranešimus apie jautrias temas.

Skliautinėje diagramoje pavaizduoti sutampantys kelių svetainių paskelbti straipsniai.
11 pav. Svetainės pateikiamos kaip unikalios, tačiau jų turinys yra identiškas. Šioje skliautinėje diagramoje pavaizduoti sutampantys kelių svetainių paskelbti straipsniai. Sužinokite daugiau apie šį vaizdą visos ataskaitos 12 puslapyje
Kinijos naujienų tarnybos straipsnio pakartotinio paskelbimo Italijos, Vengrijos, Rusijos ir Graikijos auditorijoms skirtose svetainėse ekrano kopijos
12 pav. Kinijos naujienų tarnyba ir kita Kinijos valstybinė žiniasklaida paskelbė straipsnį pavadinimu „PSO pareiškimas atskleidžia tamsias JAV biolaboratorijas Ukrainoje“. Tada šis straipsnis buvo paskelbtas svetainėse, skirtose auditorijoms Vengrijoje, Švedijoje, Vakarų Afrikoje ir Graikijoje. Sužinokite daugiau apie šį vaizdą visos ataskaitos 12 puslapyje

Kinijos valstybinės žiniasklaidos pasiekiamumas visame pasaulyje

Nors pirmiau aprašyta kampanija išsiskiria tuo, kad yra užmaskuota, tikros Kinijos valstybinės žiniasklaidos interneto svetainės sudaro didžiąją daugumą KKP vadovaujamos žiniasklaidos žiūrovų visame pasaulyje. Plėsdamasi į užsienio kalbas,24 atidarydama Kinijos valstybinius žiniasklaidos biurus užsienyje,25 ir teikdama nemokamą Pekinui palankų turinį,26 KKP plečia savo „diskurso galios“ (话语权) aprėptį, skleisdama propagandą viso pasaulio šalių naujienų žiniasklaidoje.27
Organizacinė schema, vaizduojanti atvirą KKP propagandos ekosistemą.
13 pav. Organizacinė schema, vaizduojanti funkcijas ir subjektus, sudarančius atvirą KKP propagandos ekosistemą. Sužinokite daugiau apie šį vaizdą visos ataskaitos 13 puslapyje

Srauto į Kinijos valstybinės žiniasklaidos svetaines matavimas

„Microsoft AI for Good Lab“ sukūrė indeksą, skirtą įvertinti srautą iš vartotojų už Kinijos ribų į Kinijos vyriausybei priklausančius naujienų sklaidos kanalus. Indeksas matuoja šiose svetainėse apsilankiusio srauto dalį bendrame interneto sraute, pvz., Rusijos propagandos indeksas (RPI), pristatytas 2022 m. Birželio mėn.28

Penkiuose domenuose dominuoja Kinijos valstybinė žiniasklaida, kuri sudaro apie 60 % visų Kinijos valstybinės žiniasklaidos puslapių peržiūrų.

Diagrama, rodanti Kinijos žiniasklaidos suvartojimą
Sužinokite daugiau apie šį vaizdą visos ataskaitos 14 puslapyje

Šis indeksas gali parodyti Kinijos valstybinių žiniasklaidos priemonių santykinės sėkmės tendencijas pagal geografiją laikui bėgant. Pavyzdžiui, iš Pietryčių Azijos valstybių asociacijos (ASEAN) valstybių narių išsiskiria Singapūras ir Laosas, kuriose Kinijos valstybinės žiniasklaidos svetainių lankomumas yra daugiau nei dvigubai didesnis nei trečioje vietoje esančiame Brunėjuje. Filipinai užima žemiausią vietą: Kinijos valstybinės žiniasklaidos svetaines pasiekia 30 kartų mažiau lankytojų nei Singapūras ir Laosas. Singapūre, kur mandarinų kalba yra oficiali kalba, didelis Kinijos valstybinės žiniasklaidos vartojimas atspindi Kinijos įtaką naujienoms mandarinų kalba. Laose kinų kalba kalbančiųjų yra daug mažiau, o tai atspindi santykinę Kinijos valstybinės žiniasklaidos sėkmę šalies aplinkoje.

Dažniausiai lankomo domeno „PhoenixTV“ pagrindinio puslapio ekrano kopija.
14 pav. Dažniausiai lankomo domeno „PhoenixTV“ pagrindinis puslapis, kuriame peržiūrima 32 % visų puslapių. Sužinokite daugiau apie šį vaizdą visos ataskaitos 14 puslapyje

Vis sudėtingesnės Šiaurės Korėjos kibernetinės operacijos renka žvalgybinę informaciją ir generuoja pajamas valstybei

Šiaurės Korėjos kibernetinių grėsmių sukėlėjai vykdo kibernetines operacijas, kuriomis siekiama (1) rinkti žvalgybinę informaciją apie numanomų valstybės priešininkų veiklą: Pietų Korėja, Jungtinės Valstijos ir Japonija (2) renka informaciją apie kitų šalių karinius pajėgumus, kad pagerintų savo pačių, ir (3) renka kriptovaliutų lėšas valstybei. Per pastaruosius metus „Microsoft“ pastebėjo didesnį tikslinių grupių persidengimą tarp skirtingų Šiaurės Korėjos grėsmių sukėlėjų ir Šiaurės Korėjos veiklos grupių sudėtingumo padidėjimą.

Šiaurės Korėjos kibernetiniai prioritetai – jūrinių technologijų tyrimai ir povandeninių dronų bei transporto priemonių bandymai

Pastaraisiais metais „Microsoft“ grėsmių žvalgyba pastebėjo didesnį Šiaurės Korėjos grėsmių sukėlėjų taikinių sutapimą. Pavyzdžiui, trys Šiaurės Korėjos grėsmių sukėlėjai – „Ruby Sleet“ (CERIUM), „Diamond Sleet“ (ZINC) ir „Sapphire Sleet“ (COPERNICIUM) – nuo 2022 m. lapkričio iki 2023 m. sausio taikėsi į jūrų ir laivų statybos sektorių. „Microsoft“ anksčiau nepastebėjo, kad kelios Šiaurės Korėjos veiklos grupės taip persidengia, o tai leidžia manyti, kad tuo metu jūrų technologijų tyrimai buvo svarbus Šiaurės Korėjos vyriausybės prioritetas. Pranešama, kad 2023 m. kovą Šiaurės Korėja išbandė dvi strategines sparnuotąsias raketas iš povandeninio laivo link Japonijos jūros (dar žinomos kaip Rytų jūra), kaip įspėjimą prieš Pietų Korėjos ir JAV vykdomas „Laisvės skydo“ karines pratybas. Vėliau tą patį mėnesį ir vėliau Šiaurės Korėja tariamai išbandė du „Haeil“ povandeninius atakos dronus prie rytinės šalies pakrantės Japonijos jūros link. Šie jūrinių karinių pajėgumų bandymai buvo atlikti netrukus po to, kai trys Šiaurės Korėjos kibernetinės grupės žvalgybos tikslais nusitaikė į jūrų gynybos subjektus.

Šiaurės Korėjos režimui nustačius didelio prioriteto duomenų rinkimo reikalavimus, grėsmių sukėlėjai kelia grėsmę gynybos įmonėms

Nuo 2022 m. lapkričio iki 2023 m. sausio „Microsoft“ pastebėjo antrą nusitaikymo sutapimo atvejį, kai „Ruby Sleet“ ir „Diamond Sleet“ pažeidė gynybos įmones. Šie du grėsmių sukėlėjai sukompromitavo dvi ginklų gamybos įmones, įsikūrusias Vokietijoje ir Izraelyje. Tai leidžia manyti, kad Šiaurės Korėjos vyriausybė vienu metu paskiria kelias grėsmių sukėlėjų grupes, kad jos atitiktų prioritetinius surinkimo reikalavimus ir pagerintų šalies karinius pajėgumus. Nuo 2023 m. sausio „Diamond Sleet“ taip pat pažeidė gynybos bendroves Brazilijoje, Čekijoje, Suomijoje, Italijoje, Norvegijoje ir Lenkijoje.
Skritulinė diagrama, rodanti gynybos pramonės šakas pagal šalis, į kurias labiausiai taikosi Šiaurės Korėja
15 pav. Šiaurės Korėjos taikymasis į gynybos pramonę pagal šalis nuo 2022 m. kovo iki 2023 m. kovo

Rusijos vyriausybė ir gynybos pramonė tebėra Šiaurės Korėjos taikiniai rinkti žvalgybinę informaciją

Keletas Šiaurės Korėjos grėsmių sukėlėjų neseniai nusitaikė į Rusijos vyriausybę ir gynybos pramonę, tuo pačiu metu teikdami materialinę paramą Rusijai jos kare Ukrainoje.32 2023 m. kovą „Ruby Sleet“ pažeidė aerokosminių tyrimų instituto Rusijoje saugą. Be to, kovo pradžioje „Onyx Sleet“ (PLUTONIS) pažeidė Rusijos universitetui priklausančio prietaiso saugą. Atskirai „Opal Sleet“ (OSMIUM) priskirta užpuoliko paskyra per tą patį mėnesį išsiuntė sukčiavimo el. laiškus į paskyras, priklausančias Rusijos diplomatiniams valdžios subjektams. Šiaurės Korėjos grėsmių sukėlėjai gali pasinaudoti galimybe rinkti žvalgybinę informaciją apie Rusijos subjektus, nes šalis daugiausia dėmesio skiria karui Ukrainoje.

Šiaurės Korėjos grupės pasižymi sudėtingesnėmis kriptovaliutų vagysčių ir tiekimo grandinės atakų operacijomis

„Microsoft“ vertina, kad Šiaurės Korėjos veiklos grupės vykdo vis sudėtingesnes operacijas atlikdami kriptovaliutų vagystes ir tiekimo grandinės atakas. 2023 m. sausį Federalinis tyrimų biuras (FTB) viešai priskyrė 2022 m. birželį įvykdytą 100 mln. JAV dolerių vertės kriptovaliutų vagystę iš „Harmony 's Horizon Bridge“ grupei „Jade Sleet“ (DEV-0954), dar žinomai kaip „Lazarus Group“/APT38.33 Be to, „Microsoft“ 2023 m. kovą įvykdytą 3CX tiekimo grandinės ataką, kuri pasinaudojo ankstesniu, 2022 m. įvykdytu JAV įsikūrusios finansinių technologijų įmonės tiekimo grandinės pažeidimu, priskyrė grupei „Citrine Sleet“ (DEV-0139). Tai buvo pirmas kartas, kai „Microsoft“ pastebėjo veiklų grupę, naudojančią esamą tiekimo grandinės saugos pažeidimą, kad įvykdytų kitą tiekimo grandinės ataką, o tai rodo, kad Šiaurės Korėjos kibernetinės operacijos tampa vis sudėtingesnės.

„Emerald Sleet“ pasitelkia išbandytą ir patikimą tikslinio sukčiavimo apsimetant taktiką, viliodama ekspertus atsakyti pateikiant užsienio politikos įžvalgas

„Emerald Sleet“ (THALLIUM) išlieka aktyviausiu Šiaurės Korėjos grėsmių sukėlėju, kurį „Microsoft“ stebėjo per pastaruosius metus. „Emerald Sleet“ ir toliau dažnai siunčia elektroninius laiškus Korėjos pusiasalio ekspertams visame pasaulyje žvalgybos duomenų rinkimo tikslais. 2022 m. gruodžio mėn. „Microsoft“ grėsmių žvalgyba išsamiai aprašė „Emerald Sleet“ sukčiavimo kampanijas, nukreiptas prieš įtakingus Šiaurės Korėjos ekspertus Jungtinėse Valstijose ir su JAV susijusiose šalyse. „Microsoft“ nustatė, kad, užuot diegdami kenkėjiškus failus ar nuorodas į kenkėjiškas svetaines, „Emerald Sleet“ taiko unikalią taktiką: apsimeta gerbiamomis akademinėmis institucijomis ir nevyriausybinėmis organizacijomis, kad įtikintų aukas atsakyti pateikiant ekspertų įžvalgas ir komentarus apie užsienio politiką, susijusią su Šiaurės Korėja.

Sugebėjimai: įtaka

Šiaurės Korėja per pastaruosius metus atliko ribotos įtakos operacijas dalijimosi vaizdo įrašais socialinės medijos platformose, tokiose kaip „YouTube“ ir „TikTok“.34 Šiaurės Korėjos nuomonės formuotojai „YouTube“ dažniausiai yra merginos ir moterys, vienos kurių amžius yra vos vienuolika metų, kurios skelbia vaizdo tinklaraščius apie savo kasdienį gyvenimą ir skleidžia teigiamus pasakojimus apie režimą. Kai kurie nuomonės formuotojai savo vaizdo įrašuose kalba angliškai, siekdami pasiekti platesnę pasaulinę auditoriją. Šiaurės Korėjos nuomonės formuotojai yra daug mažiau veiksmingi nei Kinijos valstybinės žiniasklaidos remiama nuomonės formuotojų iniciatyva.

Žvelgiant į ateitį, geopolitinė įtampa skatina kibernetinę veiklą ir įtakos operacijas

Pastaraisiais metais Kinija toliau plėtė savo kibernetinius pajėgumus ir parodė daug daugiau ambicijų savo IO kampanijose. Artimiausiu metu Šiaurės Korėja ir toliau daugiausia dėmesio skirs tikslams, susijusiems su jos politiniais, ekonominiais ir gynybos interesais regione. Galime tikėtis platesnio kibernetinio šnipinėjimo prieš KKP geopolitinių tikslų oponentus ir rėmėjus kiekviename žemyne. Nors Kinijoje įsikūrusios grėsmių grupės ir toliau plėtoja ir naudoja įspūdingus kibernetinius pajėgumus, nepastebėjome, kad Kinija derintų kibernetines ir įtakos operacijas, skirtingai nei Iranas ir Rusija, kurios vykdo įsilaužimo ir nutekinimo kampanijas.

Veikdami tokiu mastu, kokio neprilygsta kiti piktybiniai įtakingi sukėlėjai, prie Kinijos prisijungę įtakingi sukėlėjai yra pasirengę per ateinančius šešis mėnesius pasinaudoti keliomis pagrindinėmis tendencijomis ir įvykiais.

Pirma, vaizdo ir vaizdinės terpės naudojimo operacijos tampa norma. Su KKP susiję tinklai jau seniai naudoja DI sugeneruotas profilio nuotraukas, o šiais metais DI sugeneruotą meną pritaikė vizualiniams memams. Valstybės remiami veikėjai taip pat ir toliau naudosis privačiomis turinio studijomis ir ryšių su visuomene įmonėmis, kad galėtų netiesiogiai skleisti propagandą pagal užsakymą.35

Antra, Kinija ir toliau sieks tikro auditorijos įsitraukimo, investuodama laiką ir išteklius į puoselėjamus socialinės medijos išteklius. Nuomonės formuotojai, turintys gilių kultūrinių ir kalbinių žinių ir aukštos kokybės vaizdo įrašų turinį, yra sėkmingo įsitraukimo į socialinę mediją pradininkai. Kai kurias iš šių taktikų, įskaitant bendravimą su socialinės medijos vartotojais ir kultūrinių žinių demonstravimą, KKP taikys savo slaptoms kampanijoms socialinėje medijoje sustiprinti.

Trečia, tikėtina, kad Taivanas ir Jungtinės Valstijos ir toliau išliks dviem svarbiausiais Kinijos IO prioritetais, ypač artėjant 2024 m. rinkimams abiejose šalyse. Atsižvelgiant į tai, kad pastaruoju metu su KKP susiję įtakingi veikėjai taikėsi į JAV rinkimus, beveik neabejotina, kad jie tai darys ir vėl. Tikėtina, kad JAV rinkėjais apsimetantys socialinės medijos veikėjai bus labiau išprusę ir aktyviai sės nesantaiką rasiniu, socialiniu, ekonominiu ir ideologiniu pagrindu, pateikdami turinį, kuriame aršiai kritikuojamos Jungtinės Amerikos Valstijos.

  1. [1]
  2. [2]

    Naujos bazės Filipinuose didina JAV karinį buvimą regione, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    Šiuo metu nepakanka įrodymų, kurie leistų susieti šias grupes.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; Šie statistiniai duomenys atspindi 2023 m. balandžio mėn. duomenis.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Tokie įtakos veikėjai kartais dar žinomi kaip „Spamouflage Dragon“ ar DRAGONBRIDGE.
  18. [18]
  19. [19]
  20. [20]

    Žr. „Microsoft“ grėsmių analizės centro sistemą dėl įtakos atributų nustatymo. https://go.microsoft.com/fwlink/?linkid=2262095; Kinijos valdžia kinų diasporą paprastai vadina „užjūrio kinais“ arba 华侨 (huaqiao) – tai Kinijos pilietybę ar šaknų turintys asmenys, gyvenantys už KLR ribų. Daugiau informacijos apie tai, kaip Pekinas aiškina kinų diasporą, žr. https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Kinijos vyriausybė šį pasakojimą paskleidė COVID-19 pandemijos pradžioje, žr.: https://go.microsoft.com/fwlink/?linkid=2262170; Šio tinklo svetainės, kuriuose propaguojamas šis teiginys, apima: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Ginant Ukrainą: Pirmosios kibernetinio karo pamokos, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Kita xuexi qiangguo interpretacija – „Mokykis Xi, stiprink šalį“. Pavadinimas – tai Xi Jinpingo šeimos pavardės žodžių žaismas. Kinijos vyriausybės, universitetai ir įmonės labai skatina naudotis programėle, kartais gėdindamos ar bausdamos pavaldinius už retą naudojimąsi, žr.: https://go.microsoft.com/fwlink/?linkid=2262362.

  31. [31]

    Laikraštis priklauso „Shanghai United Media Group“, kuri savo ruožtu priklauso Šanchajaus Komunistų partijos komitetui: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    KKP anksčiau yra investavusi į privačiojo sektoriaus įmones, kurios padeda IO kampanijoms naudodamos SEO manipuliavimo metodus, netikrus žymėjimus „patinka“ ir stebėtojus bei kitas paslaugas. Viešųjų pirkimų dokumentai atskleidžia tokius pasiūlymus, žr: https://go.microsoft.com/fwlink/?linkid=2262522

Kibernetinės įtakos operacijos Rytų Azijos nacionalinių valstybių ataskaitos Valstybinės ataskaitos Sukčiavimas apsimetant Grėsmių sukėlėjai

Susiję straipsniai

„Volt Typhoon“ taikosi į JAV kritinę infrastruktūrą taikant metodus, kai operacinėje sistemoje esantys ištekliai yra naudojami kenkėjiškoms atakoms vykdyti

Pastebėta, kad Kinijos valstybės remiamas grėsmės sukėlėjas „Volt Typhoon“ naudoja slaptus metodus, kad taikytųsi į JAV kritinę infrastruktūrą, vykdytų šnipinėjimą ir apsigyventų užkrėstoje aplinkoje.
Sužinokite daugiau

„Propaganda skaitmeniniame amžiuje: kaip kibernetinės įtakos operacijos griauna pasitikėjimą“

Apžvelkite kibernetinių įtakos operacijų pasaulį, kuriame valstybės platina propagandą, kuria siekiama kelti grėsmę demokratijos klestėjimui reikalingai patikimai informacijai.
Sužinokite daugiau

Iranas renkasi kibernetines įtakos operacijas, siekdamas didesnio poveikio

„Microsoft“ grėsmių žvalgyba atskleidė, kad iš Irano vykdoma vis daugiau kibernetinių įtakos operacijų. Gaukite įžvalgų apie grėsmes, išsamią informaciją apie naujus metodus ir būsimų grėsmių potencialą.
Sužinokite daugiau

Stebėkite „Microsoft“ saugą