Trace Id is missing

Krievijas draudu izpildītāji kāpina jaudu un gatavojas izmantot nogurumu no kara

Lejupielādēt
Koplietošana
Kiberietekmes operācijas
Ievads
Krievijas kiberpasaules un ietekmes operatori ir pierādījuši spēju pielāgoties Ukrainā notiekošā kara gaitā, izmēģinot jaunus veidus, kā gūt priekšrocības kaujas laukā un iztukšot Kijivas iekšzemes un ārējā atbalsta avotus. Šajā pārskatā ir detalizēti aprakstīti kiberapdraudējumi un ļaunprātīgās ietekmes darbības, ko Microsoft novēroja laikā no 2023. gada marta līdz oktobrim. Šajā laikā Ukrainas militārais personāls un civiliedzīvotāji atkal bija nokļuvuši krustugunīs, un palielinājās ielaušanās un manipulāciju risks organizācijām visā pasaulē, kuras palīdz Ukrainai un cenšas likt Krievijas armijai atbildēt par kara noziegumiem.

Krievijas karš Ukrainā: fāzes no 2022. gada janvāra līdz 2023. gada jūnijam

Diagramma, kurā parādīti Krievijas kara Ukrainā posmi
Papildinformācija par šo attēlu ir pieejama pilnā pārskata 3. lpp.

Microsoft novērotās apdraudējumu darbības šajā periodā no marta līdz oktobrim atspoguļo kombinētas operācijas, kuru mērķis ir demoralizēt Ukrainas sabiedrību un pastiprināti pievērsties kiberspiegošanai. Krievijas militārie, kiberpasaules un propagandas izpildītāji vērsa saskaņotus uzbrukumus pret Ukrainas lauksaimniecības sektoru jeb civilās infrastruktūras mērķi vispasaules graudu krīzes laikā. Ar Krievijas militāro izlūkdienestu (GRU) saistītie kiberapdraudējumu izpildītāji izmantoja kiberspiegošanas operācijas pret Ukrainas armiju un tās ārvalstu piegādes līnijām. Starptautiskā kopiena mēģināja panākt sodu piešķiršanu par kara noziegumiem, un ar Krievijas ārvalstu izlūkdienestu (SVR) un federālās drošības (FSB) dienestiem saistītas grupas vērsās pret kara noziegumu izmeklētājiem Ukrainā un ārpus tās.

Ietekmes frontē: 2023. gada jūnijā Jevgeņijs Prigožins, “Vāgnera grupas” un bēdīgi slavenās interneta izpētes aģentūras troļļu fermas īpašnieks, sāka neilgu sacelšanos un pēc tam gāja bojā, rosinot jautājumus par turpmākajām Krievijas ietekmes iespējām. Šajā vasarā Microsoft novēroja plaša mēroga operācijas, ko veica ar Prigožinu nesaistītas organizācijas, un tas atspoguļo Krievijas nākotni ļaunprātīgas ietekmes kampaņu jomā bez viņa.

Microsoft draudu informācijas un atbilžu uz incidentiem komandas ir informējušas ietekmētos klientus un valdības partnerus, kā arī sadarbojušās ar tiem, lai mazinātu šajā pārskatā aprakstītās apdraudējumu darbības.

Krievijas spēki vairāk paļaujas uz tradicionālajiem ieročiem, lai sagādātu zaudējumus Ukrainai, bet kiberpasaules un ietekmes operācijas joprojām ir tūlītējs apdraudējums datortīklu drošībai un pilsoņu dzīvei Ukrainas sabiedrotajās valstīs šajā reģionā, NATO valstīs un visā pasaulē. Esam atjauninājuši savus drošības produktus, lai profilaktiski aizsargātu klientus visā pasaulē, un papildus arī dalāmies ar šo informāciju, lai mudinātu arī turpmāk uzmanīties no pasaules informācijas telpas integritātes apdraudējumiem.

Krievijas kinētiskie, kiberpasaules un propagandas spēki šovasar apvienojās uzbrukumā Ukrainas lauksaimniecības sektoram. Militārajos uzbrukumos tika iznīcināts labības apjoms, kas varētu pabarot vairāk nekā 1 miljonu cilvēku gada laikā, bet prokrieviskie plašsaziņas līdzekļi izplatīja naratīvu, ka uzbrukumi bija attaisnoti par spīti humanitārajiem zaudējumiem.1

No jūnija līdz septembrim Microsoft draudu informācija novēroja iekļūšanu tīklos, datu eksfiltrāciju un pat postošu ļaunprogrammatūras izmantošanu pret organizācijām, kas saistītas ar Ukrainas lauksaimniecības nozari un ar labību saistītu transportēšanas infrastruktūru. Jūnijā un jūlijā Aqua Blizzard (iepriekš ACTINIUM) nozaga datus no uzņēmuma, kas palīdz izsekot labības ražīgumu. Seashell Blizzard (iepriekš IRIDIUM) izmantoja vienkāršās destruktīvās ļaunprogrammatūras variantus, ko Microsoft konstatē kā WalnutWipe/SharpWipe, pret pārtikas/lauksaimniecības sektora tīkliem.2

Pret Ukrainas lauksaimniecību vērsto Krievijas digitālo propagandas darbību detalizēts izklāsts

Krievijas digitālās propagandas darbības, kas vērstas pret Ukrainas lauksaimniecību
Papildinformācija par šo attēlu ir pieejama pilnā pārskata 4. lpp.

Jūlijā Maskava izstājās no Melnās jūras graudu iniciatīvas jeb humānās vienošanās, kas palīdzēja atvairīt pasaules pārtikas krīzi un transportēt vairāk nekā 725 000 tonnu kviešu uz Afganistānu, Etiopiju, Keniju, Somāliju un Jemenu tās darbības pirmajā gadā.3 Pēc Maskavas rīcības pie darba ķērās prokrieviskie plašsaziņas līdzekļi un Telegram kanāli, lai apmelotu graudu iniciatīvu un attaisnotu Maskavas lēmumu. Propagandas kanāli vēstīja par gaudu koridoru kā par narkotiku pārvietošanas aizsegu vai iespēju slepus pārsūtīt ieročus, lai mazinātu vienošanās nozīmīgumu humānajā jomā.

Vairākos 2023. gada pārskatos mēs minējām, kā īstas vai pseido haktīvistu grupas, kas iespējami saistītas ar GRU, centās izrādīt Maskavas nepatiku pret pretiniekiem un pārspīlēt Krievijas kiberspēku skaitu.4 5 6 Arī šajā vasarā novērojām, kā haktīvistu šķietamās personas kanālā Telegram izplata vēstījumus, mēģinot attaisnot militāros uzbrukumus civilajai infrastruktūrai Ukrainā, un vērš izkliedētā pakalpojuma atteikuma (DDoS) uzbrukumus pret Ukrainas sabiedrotajiem ārzemēs. Microsoft nepārtraukti uzrauga haktīvistu grupu un valstiska mēroga izpildītāju mijiedarbību, sniedzot papildu ieskatus par abu organizāciju darba tempu un veidiem, kā abu aktivitātes papildina otras grupas mērķus.

Šobrīd esam identificējuši trīs grupas —Solntsepek, InfoCentr un Cyber Army of Russia—, kas mijiedarbojas ar Seashell Blizzard. Seashell Blizzard attiecības ar haktīvistu kanāliem var būt paredzētas lietošanai īstermiņā, nevis kontrolei, un par to liecina haktīvistu kiberspēju īslaicīgie uzliesmojumi, kas notiek vienlaikus ar Seashell Blizzard uzbrukumiem. Seashell Blizzard periodiski sāk postošu uzbrukumu, par kuru Telegram haktīvistu grupas publiski piedēvē nopelnus sev. Pēc tam haktīvisti atkal ķeras pie zema sarežģītības līmeņa darbībām, ko veic parasti. To vidū ir izkliedētie pakalpojuma atteikuma uzbrukumi (DDoS) vai ukraiņu personas datu nopludināšana. Tīkls pārstāv elastīgu infrastruktūru, ko APT var izmantot savu darbību veicināšanai.

Prokrieviskā haktīvisma skala

Diagramma, kurā parādīta prokrieviskā haktīvisma skala
Papildinformācija par šo attēlu ir pieejama pilnā pārskata 5. lpp.

Krievijas spēki veic darbības, kas varētu būt pretrunā ar starptautiskajām tiesībām, turklāt vēršas pret kriminālizmeklētājiem un prokuroriem, kuri gatavo apsūdzības pret tiem.

Microsoft telemetrija atklāja, ka izpildītāji, kas saistīti ar Krievijas militāro un ārvalstu izlūkošanas dienestu, vērsās pret Ukrainas juridiskajiem un izmeklēšanas tīkliem un ielauzās tajās; viņi vērsās arī pret to starptautisko organizāciju tīkliem, kas iesaistītas kara noziegumu izmeklēšanā šī gada pavasarī un vasarā.

Šīs kiberoperācijas norisinājās brīdī, kad pieauga spriedze starp Maskavu un tādām organizācijām kā Starptautiskā Krimināltiesa, kas martā izdeva Krievijas Prezidenta Putina aresta orderi saistībā ar apsūdzībām kara noziegumos.7

Aprīlī ar GRU saistītais grupējums Seashell Blizzard ielauzās kādas jurisprudences firmas tīklā; šī firma nodarbojas ar kara noziegumu lietām. Aqua Blizzard grupa, par kuru pastāv uzskats, ka tā saistīta ar FSB, jūlijā ielauzās lielas Ukrainas izmeklēšanas iestādes iekšējā tīklā un izmantoja tajā atrastos uzlauztos kontus, lai nosūtītu pikšķerēšanas e-pasta ziņojumus uz vairākiem Ukrainas telekomunikāciju uzņēmumiem Septembrī.

SVR izpildītāji Midnight Blizzard (iepriekš NOBELIUM) jūnijā un jūlijā piekļuva kādas juridiskās organizācijas, kurai ir saistības visā pasaulē, dokumentiem, pirms iejaucās pakalpojums Microsoft atbilde uz incidentu, lai koriģētu šīs ielaušanās sekas. Šī darbība bija daļa no agresīvākiem šī izpildītāja centieniem ielauzties diplomātiskajās aizsardzības, publiskās politikas un IT sektora organizācijās visā pasaulē.

Pārskatot Microsoft drošības paziņojumus, kas kopš marta izsūtīti ietekmētajiem klientiem, tika secināts, ka grupa Midnight Blizzard mēģinājusi piekļūt vairāk nekā 240 organizācijām, pārsvarā ASV, Kanādā un dažādās Eiropas valstīs, gūstot mainīgus panākumus.8

Gandrīz 40 procenti  organizāciju, kas kļuva par uzbrukumu mērķi, bija valsts iestādes, iekšējās pārvaldības iestādes vai politiskās domnīcas.

Krievu draudu izpildītāji izmantoja dažādus paņēmienus, lai piekļūtu par mērķi kļuvušajiem tīkliem un pastāvīgi tos izmantotu. Midnight Blizzard izvēlējās tā dēvēto “virtuves izlietnes” pieeju, izmantojot reversās pārlases uzbrukumus, no trešajām pusēm iegūtus akreditācijas datus, ticamas sociālās inženierijas kampaņas programmā Teams un mākoņpakalpojumu ļaunprātīgu izmantošanu, lai iekļūtu mākoņa vidē.9 Aqua Blizzard veiksmīgi integrēta HTML kontrabandu sākotnējās piekļuves pikšķerēšanas kampaņās, lai samazinātu iespējamību, ka to atklās pretvīrusu programmas un e-pasta drošības kontroles funkcijas.

Seashell Blizzard izmantoja perimetra servera sistēmas, piemēram, Exchange un Tomcat serverus, un vienlaikus izmantoja pirātiskā ceļā iegūtu Microsoft Office programmatūru ar DarkCrystalRAT lūku, lai iegūtu sākotnējo piekļuvi. Izmantojot lūku, izpildītājam izdevās ielādēt otrās pakāpes vērtumu, ko mēs dēvējam par Shadowlink, jeb programmatūras pakotni, kas izliekas par Microsoft Defender un instalē ierīcē TOR pakalpojumu, nodrošinot draudu izpildītājam slepenu piekļuvi ar TOR tīkla starpniecību.10

Diagrama, kurā parādīts, kā Shadowlink instalē TOR pakalpojumu programmatūras ierīcē
Papildinformācija par šo attēlu ir pieejama pilnā pārskata  6. lpp.

Kopš Krievijas armija 2023. gada pavasarī sāka ofensīvu, ar GRU un FSV saistīti kiberizpildītāji ir koncentrējuši pūliņus uz izlūkinformācijas vākšanu no Ukrainas komunikāciju un militārās infrastruktūras kaujas zonās.

Līdz martam Microsoft draudu informācija ir pārliecinājusies par Seashell Blizzard saistību ar potenciālām pikšķerēšanas ēsmām un pakotnēm, kas šķiet pielāgotas, lai vērstos pret Ukrainas militāro komunikāciju infrastruktūras būtisku sastāvdaļu. Turpmākās darbības mums nebija redzamas. Pēc Ukrainas drošības dienesta (SBU) sniegtās informācijas, grupa Seashell Blizzard mēģināja piekļūt Ukrainas militārajam tīklam, izmantojot ļaunprogrammatūru, ar kuru viņi varētu vākt informāciju par pievienoto Starlink satelīta terminālu konfigurācijām un noskaidrot Ukrainas armijas vienību atrašanās vietu.11 12 13

Secret Blizzard (iepriekš KRYPTON) ķērās arī pie drošas izlūkinformācijas vākšanas iespējām ar Ukrainas aizsardzību saistītos tīklos. Sadarbībā ar Ukrainas valsts datortrauksmes reaģēšanas komandu (CERT-UA) Microsoft draudu informācija konstatēja Secret Blizzard ļaunprogrammatūras DeliveryCheck un Kazuar lūkas ļaunprogrammatūru Ukrainas aizsardzības spēku sistēmās.14 Kazuar nodrošina vairāk nekā 40 funkcijas, tostarp akreditācijas datu zagšanu no dažādām lietojumprogrammām, autentifikācijas datu, starpniekserveru un sīkfailu funkcijas, kā arī datu izgūšanu no operētājsistēmas žurnālfailiem.15 Secret Blizzard īpaši interesēja failu zagšana ar ziņojumiem no Signal Desktop ziņojumapmaiņas lietojumprogrammas, lai varētu lasīt privātās Signal tērzēšanas sarunas.16

Forest Blizzard (iepriekš STRONTIUM) atkal pievērsās ierastajiem spiegošanas mērķiem, proti, ar aizsardzību saistītām organizācijām ASV, Kanādā un Eiropā, kuru militārais atbalsts un apmācība nodrošina Ukrainas armijai iespēju turpināt cīņu.

Kopš marta Forest Blizzard grupa mēģinājusi iegūt sākotnējo piekļuvi aizsardzības organizācijām, izmantojot pikšķerēšanas ziņas ar jaunām un grūti nosakāmām metodēm. Piemēram, augustā Forest Blizzard nosūtīja Eiropas aizsardzības organizācijas kontu īpašniekiem pikšķerēšanas e-pasta ziņojumu, kurā iekļauta CVE-2023-38831 izmantotājs. CVE-2023-38831 ir WinRAR programmatūras ievainojamība, ko uzbrucēji var izmantot, lai izpildītu patvaļīgu kodu, kad lietotājs mēģina skatīt labdabīgu failu ZIP arhīvā.

Izpildītājs izmanto arī īstus izstrādātāju rīkus, piemēram, Mockbin un Mocky, lai izpildītu komandas un iegūtu kontroli. Līdz septembra beigām izpildītājs veica pikšķerēšanas kampaņu, kurā ļaunprātīgi izmantoja GitHub un Mockbin pakalpojumus. CERT-UA un citas kiberdrošības organizācijas publicēja šīs darbības septembrī, norādot, ka izpildītājs izmantojis pieaugušo izklaides lapas, lai pamudinātu upurus noklikšķināt uz saites vai atvērt failu, kas novirza uz ļaunprātīgu Mockbin infrastruktūru.17 18Microsoft novēroja, ka septembra beigās kļuva populāra ar tehnoloģiju saistīta lapa. Visos gadījumos izpildītāji nosūtīja pikšķerēšanas e-pasta ziņojumu ar ļaunprātīgu saiti, kas novirza lietotāju uz Mockbin URL un lejupielādē zip failu, kurā ir ļaunprātīgs LNK (īsceļa) fails, kas nomaskēts kā Windows atjauninājums. LNK fails lejupielādē un izpilda citu PowerShell skriptu, lai nodrošinātu turpmāku piekļuvi un veiktu tālākās darbības, piemēram, zagtu datus.

Ekrānuzņēmumu paraugi: PDF ēsma, kas saistīta ar Forest Blizzard pikšķerēšanas centieniem aizsardzības organizācijās.

Draudu izpildītājs maskējas par Eiropas Parlamenta darbinieku
E-pasta pielikums: 2023. gada 28. aug.–3. sept. dienas kārtība Eiropas Parlamenta sanāksmēm. Preses dienesta relīze. 160 KB biļetens.rar
5. attēls: Ekrānuzņēmumu paraugs: PDF ēsma, kas saistīta ar Forest Blizzard pikšķerēšanas centieniem aizsardzības organizācijās.  Papildinformācija par šo attēlu ir pilnā pārskata 8. lpp.

2023. gadā MTAC turpināja novērot Storm-1099, ar Krieviju saistītu ietekmes izpildītāju, kas veica izsmalcinātu prokrievisku ietekmes operāciju, kuras mērķis ir starptautiskie Ukrainas atbalstītāji jau kopš 2022. gada pavasara.

Storm 1099 grupa visplašāk pazīstama ar masīvo tīmekļa vietņu viltošanas operāciju, ko pētnieku grupa ES DisinfoLab nodēvēja par “Doppelganger”19. Tomēr šī grupa arī izmantojusi unikālus zīmola kanālus, piemēram, Reliable Recent News (RRN), multivides projektus, piemēram, pret Ukrainu vērsto animēto seriālu “Ukraine Inc.” un lokālas demonstrācijas, kas apvieno digitālo un fizisko pasauli. Kaut gan šis attiecinājums nav pilnīgs, bagātīgi finansēti Krievijas polittehnologi, propagandisti un sabiedrisko attiecību speciālisti, kuri ir manāmi saistīti ar Krievijas valsti, ir veikuši un atbalstījuši vairākas Storm-1099 kampaņas.20

Storm-1099 operācija Doppelganger joprojām ir spēkā šī pārskata tapšanas laikā, kaut gan tehnoloģiju uzņēmumi un pētnieku organizācijas nemitīgi cenšas ziņot par to un mazināt tās sasniedzamību.21 Šis izpildītājs vēsturiski pievēršas Rietumeiropai, it īpaši Vācijai, bet ir vērsies arī pret Franciju, Itāliju un Ukrainu. Pēdējo mēnešu laikā grupa Storm-1099 pievērsusi uzmanību ASV un Izraēlai. Šī pāreja sākās jau 2023. gada janvārī, kad Izraēlā notika plaša mēroga protesti pret ierosināto tiesu sistēmas maiņu, un pastiprinājās pēc Izraēlas-Hamas kara sākuma oktobra sākumā. Nupat izveidoti kanāli, kam ir izveidots zīmols, arvien vairāk prioritizē ASV politiku un gaidāmās ASV prezidenta vēlēšanas 2024. gadā, bet esošie Storm-1099 resursi spēcīgi virza uz priekšu aplamo apgalvojumu, ka Hamas melnajā tirgū iegādājās Ukrainas ieročus, lai 7. oktobrī veiktu uzbrukumus Izraēlā.

Oktobra beigās MTAC novēroja, ka konti, kas pēc Microsoft vērtējuma ir Storm-1099 resursi, izmanto jaunu viltošanas veidu līdz ar viltus rakstiem un vietnēm sociālajos tīklos. Ir vairāki īsi viltus ziņu sižeti, ko it kā radījuši uzticami kanāli, bet kuros tiek izplatīta prokrieviska propaganda nolūkā mazināt atbalstu Ukrainai un Izraēlai. Šo taktiku - viltus video izmantošanu propagandas informācijas izplatībai — pēdējos mēnešos izmantojuši arī citi prokrieviskie izpildītāji, bet Storm-1099 izmantotā tikai šāda video satura izplatīšana uzsver izpildītāja dažādos ietekmes paņēmienus un vēstījuma mērķus.

Viltus dubultnieku vietnēs publicēti raksti

Microsoft novēroja un izsekoja kampaņu, ko veica Krievijas kiberietekmes draudu izpildītājs Storm 1099.
Microsoft novērots un izsekots 2023. gada 31. oktobrī. Viltus dubultnieku vietnēs publicēti raksti; Krievijas kiberietekmes draudu izpildītāja Storm 1099 veikta kampaņa.
Papildinformācija par šo attēlu ir pilnā pārskata 9. lpp.

Kopš Hamas veiktajiem uzbrukumiem Izraēlā 7. oktobrī Krievijas valsts plašsaziņas līdzekļi un valsti atbalstošie ietekmes izpildītāji mēģina izmantot Izraēlas-Hamas karu, lai veicinātu pret Ukrainu vērstu naratīvu izplatību un pret ASV vērstu noskaņojumu, kā arī spriedzi starp visām pusēm. Šī darbība reaģē uz karu un tās tvērums ir ierobežots, tomēr tajā iesaistīti gan valsts sponsorētie plašsaziņas līdzekļi, gan slēptie, ar Krieviju saistītie sociālie tīkli dažādās sociālo tīklu platformās.

 

Krievijas propagandistu un prokrievisko sociālo tīklu virzītos naratīvus cenšas pavērst Izraēlu pret Ukrainu un mazināt Rietumvalstu atbalstu Kijivai, izplatot melīgus apgalvojumus, ka Ukraina apbruņojusi Hamas karojošos indivīdus; tas tiek veikts, viltojot uzticamus ziņu kanālus un pārveidojot video. Viens šāda satura piemērs ir nepatiess video, kurā apgalvots, ka ārzemju rekrūši, tostarp amerikāņi, pārsūtīti no Ukrainas, lai pievienotos Izraēlas aizsardzības spēku (IDF) operācijās Gazas joslā; tas tika skatīts vairākus simtus tūkstošus reižu dažādās sociālo tīklu platformās. Šī stratēģija nogādā pret Ukrainu vērstu naratīvu plašai auditorijai un veicina mijiedarbību, veidojot nepatiesu naratīvu atbilstoši aktuāliem ziņu sižetiem.

 

Krievija arī papildina digitālās ietekmes darbības ar reālās pasaules notikumu apskatiem Krievijas ziņu kanāli agresīvi virza uzkurinošu saturu, paspilgtinot ar Izraēlas-Hamas karu saistītos protestus Tuvajos Austrumos un Eiropā — tostarp ar notikuma vietā esošo Krievijas valsts ziņu aģentūru korespondentu starpniecību. 2023. gada oktobra beigās Francijas varas iestādes pauda, ka četri Moldovas pilsoņi, visticamāk, ir saistīti ar Dāvida zvaigznes šablona grafiti zīmēšanu Parīzes sabiedriskajās vietās. Divi moldāvi esot paziņojuši, ka viņiem norādījumus devusi krieviski runājoša persona, un tas rosina domāt, ka par grafiti bijusi atbildīga Krievija. Vēlāk Storm-1099 resursi izplatīja grafiti attēlus plašāk.22

 

Visticamāk, Krievija uzskata, ka notiekošais Izraēlas-Hamas konflikts tai ir izdevīgs, jo uzskata, ka konflikts novērš Rietumvalstu uzmanību no kara Ukrainā. Vērojot Krievijas tradicionālajā ietekmes rokasgrāmatā minētās, bieži izmantotās metodes, MTAC secina, ka šādi izpildītāji arī turpmāk mēģinās veicināt propagandu tiešsaistē un izmantot citus būtiskos starptautiskos notikumus, lai rosinātu spriedzi un mēģinātu mazināt Rietumvalstu iespējas vērsties pret Krievijas iebrukumu Ukrainā.

Pret Ukrainu vērstā propaganda plašā mērogā bijusi daļa no Krievijas ietekmes darbībām jau pirms 2022. gadā īstenotā pilna mēroga iebrukuma. Tomēr pēdējos mēnešos prokrieviskie un ar Krieviju saistītie ietekmes tīkli pievēršas video izmantošanai, jo tas ir dinamiskāks līdzeklis šo vēstījumu izplatīšanai; vienlaikus notiek izlikšanās par autoritatīviem plašsaziņas līdzekļu kanāliem, izmantojot to ticamību. MTAC novēroja divas ilgstošas kampaņas, ko veica nezināmi, prokrieviski izpildītāji; kampaņu gaitā notiek izlikšanās par galvenajiem ziņu kanāliem un izklaides plašsaziņas līdzekļu zīmoliem, rādot pārveidotu video saturu. Tāpat kā iepriekšējās Krievijas propagandas kampaņas, arī šīs darbības mērķis ir attēlot Ukrainas prezidentu Volodimiru Zelenski kā korumpētu narkomānu un Rietumvalstu atbalstu Kijivai rādīt kā kaitējošu šo valstu iedzīvotājiem. Abu kampaņu saturs nemitīgi cenšas mazināt atbalstu Ukrainai, bet pielāgo naratīvu atbilstošu jaunākajām ziņām - piemēram, 2023. gada jūnijā pievērsās zemūdenes “Titāns” bojāejai vai Izraēlas un Hamas karam, lai sasniegtu plašāku auditoriju.

Diagramma, kurā parādīts viltotu ziņu kanālu sižetu pārskats

viltotu ziņu kanālu sižetu pārskata rādīšana
Papildinformācija par šo attēlu ir pieejama pilnā pārskata 11. lpp.

Vienā no šajām videokampaņām tiek rādīti dažādi viltus video, kas izplata nepatiesus, pret Ukrainu vērstus, ar Kremli saistītus vēstījumus un naratīvus, maskējoties par īsiem ziņu sižetiem, ko it kā rāda galvenie plašsaziņas līdzekļu kanāli. MTAC šīs darbības pirmo reizi novēroja 2022. gada aprīlī, kad prokrieviskie Telegram kanāli publicēja viltotu BBC News video ar apgalvojumu, ka Ukrainas armija atbildīga par raķetes triecienu, kurā gāja bojā vairāki desmiti civiliedzīvotāju. Video izmanto BBC logotipu, krāsu shēmu un estētisku, un tam pievienoti titri angļu valodā ar kļūdām, kas parasti tiek pieļautas, tulkojot no slāvu valodām uz angļu valodu.

Šī kampaņa tika turpināta visu 2022. gadu un pieņēmās spēkā 2023. gada vasarā. Līdz šī pārskata sagatavošanas brīdim MTAC novērojusi vairāk nekā desmit viltotus plašsaziņas līdzekļu kanālu video šīs kampaņas ietvaros, un visbiežāk tiek viltoti tādi kanāli kā BBC News, Al Jazeera un EuroNews. Krievvalodīgie Telegram kanāli pirmie izplatīja šos video, pirms tie nokļuva galvenajās sociālo tīklu platformās.

Ekrānuzņēmumi no video, kuros imitēts BBC News (pa kreisi) un EuroNews (pa labi) logotips un estētika

Viltoti ziņu sižetu klipi ar Krievijai labvēlīgu dezinformāciju
Microsoft draudu informācija: Viltotās ziņās tiek saistīta Ukrainas militārā neveiksme, HAMAS uzbrukums, patiesībai neatbilstoša Izraēlas atbildība
Viltoti ziņu sižetu klipi ar Krievijai labvēlīgu dezinformāciju. Ekrānuzņēmumi no video, kuros imitēts BBC News (pa kreisi) un EuroNews (pa labi) logotips un estētika. Papildinformācija par šo attēlu ir pilnā pārskata 12. lpp.

Kaut gan šī satura iespējas sasniegt auditoriju ir ierobežotas, tas var būtiski apdraudēt turpmākos mērķus, ja tiks uzlabots vai papildināts ar AI iespējām, vai ja to papildinās ticamāks vēstnesis. Prokrieviskais izpildītājs, kurš atbildīgs par viltotajiem ziņu sižetiem, uztver aktuālos pasaules notikumus un ir elastīgs. Piemēram, viltotā BBC News videosižetā tika maldīgi apgalvots, ka pētnieciskās žurnālistikas organizācija Bellingcat atklājusi — Hamas karojošo indivīdu grupa iegādājusies ieročus no Ukrainas armijas pārstāvjiem melnajā tirgū. Šis video saturs bija ļoti līdzīgs publiskajiem paziņojumiem, ko izteica bijušais Krievijas Prezidents Dmitrijs Medvedevs tikai dienu pirms video laišanas klajā, un tas liecina par kampaņas tuvo saistību ar atklāto Krievijas valdības vēstījumu.23

2023. gada jūlijā prokrieviskajos sociālo tīklu kanālos parādījās slavenību video, kas rediģēti tā, lai mānīgi atbalstītu pret Ukrainu vērstu propagandu. Šos video radījis kāds nezināms, ar Krieviju saistīts ietekmes izpildītājs, un tajos, škiet, izmantota populāra tīmekļa vietne Cameo, kurā slavenības un citas publiskas personas var ierakstīt un nosūtīt personalizētus video ziņojumus lietotājiem, kuri par to samaksā. Īsos video ziņojumus, kuros slavenības bieži lūdz “Vladimiram” meklēt palīdzību cīņā pret narkotiku lietošanu, ir rediģējis nezināms izpildītājs, iekļaujot emocijzīmes un saites. Video cirkulē prokrieviskajās sociālo tīklu kopienās, un tos papildina ar Krievijas valsti saistītie un valsts vadītie ziņu kanāli, melīgi uzdodot tos par ziņojumiem Ukrainas prezidentam Volodimiram Zelenskim. Dažos gadījumos izpildītājs ir pievienojis ziņu kanāla logotipus un slavenību sociālo tīklu turus, lai video izskatītos pēc ziņu sižetiem no raidījumiem par slavenību it kā Zelenskim sūtītajiem publiskajiem lūgumiem vai pēc pašu slavenību ziņām sociālajos tīklos. Kremļa darbinieki un Krievijas valsts sponsorētā propaganda jau sen uztur melīgo apgalvojumu, ka prezidents Zelenskis lietot narkotikas, bet šī kampaņas ir jauna prokrievisko izpildītāju pieeja centieniem virzīt naratīvu tiešsaistes informācijas telpā.

Pirmajā kampaņas video, kas novērots jūlija beigās, ir Ukrainas karoga emocijzīmes, Amerikas ziņu kanāla TMZ ūdenszīmes un saites uz narkomānu rehabilitācijas centru un vienu no prezidenta Zelenska oficiālajām lapām sociālajā tīklā. Līdz 2023. gada oktobrim prokrieviskie sociālo tīklu kanāli ir laiduši klajā vēl sešus video. 17. augustā Krievijas valstij piederošais ziņu kanāls RIA Novosti publicēja rakstu par video ar amerikāņu aktieri Džonu Makginliju, it kā tas būtu īsts Makginlija lūgums Zelenskim.24 Līdz ar Makginliju šajā kampaņā ir iekļauti aktori Elaija Vuds, Dīns Noriss, Keita Flenerija un Priscilla Preslija, mūziķis Šavo Odadžians un bokseris Maiks Taisons. Kampaņas saturu izplatījuši arī citi ar valsti saistītie Krievijas plašsaziņas līdzekļu kanāli, tostarp ASV sankcijām pakļautais ziņu kanāls Tsargrad.25

Kadri no video ar slavenībām, kuras šķietami pauž prokrievisku propagandu

kadri no video ar slavenībām, kuras šķietami pauž prokrievisku propagandu
Papildinformācija par šo attēlu ir pilnā pārskata 12. lappusē

Ukrainas bruņoto spēku virspavēlnieks apgalvo, ka Krievijas karotāji pāriet uz jaunu statisko ierakumu kara posmu, kas liecina, ka konflikts varētu vēl vairāk ieilgt.26 Kijivai būs nepieciešama stabila ieroču un sabiedrības atbalsta plūsma, lai turpinātu pretošanos, un ļoti ticams, ka arī turpmāk Krievijas kiberpasaules un ietekmes operatori vēl vairāk pūlēsies demoralizēt Ukrainas iedzīvotājus un vājināt ārējos Kijivas militārās un finanšu palīdzības resursus.

Tuvojas ziema, un iespējams, ka atkal notiks militārie uzbrukumi elektrības un ūdens apgādes mezgliem Ukrainā, kā arī postoši iznīcinošie uzbrukumi šiem tīkliem.27CERT-UA Ukrainas kiberdrošības iestādes septembrī paziņoja, ka Ukrainas elektrības tīkli nemitīgi tiek apdraudēti, un Microsoft draudu informācija novēroja GRU draudu darbības artefaktus Ukrainas enerģijas sektora tīklos no augusta līdz oktobrim.28 Microsoft novēroja vismaz vienu destruktīvu utilītas Sdelete lietojuma gadījumu pret Ukrainas energoapgādes uzņēmuma tīklu augustā.29

Ārpus Ukrainas 2024. gadā notiek ASV prezidenta vēlēšanas un citas būtiskas politiskās cīņas, kas varētu kļūt par izdevību ļaunprātīgajiem ietekmes izpildītājiem, lai izmantotu video satura un arī jaunās AI prasmes, lai novirzītu sabiedriskās domas plūsmu no vēlētajām amatpersonām, kuras ir par atbalstu Ukrainai.30

Microsoft darbojas dažādās jomās, lai aizsargātu mūsu klientus Ukrainā un visā pasaulē pret šiem daudzšķautņainajiem draudiem. Drošās nākotnes iniciatīvas ietvaros mēs integrējam AI vadītās kiberaizsardzības un drošas programmatūras inženierijas jaunākos sasniegumus, lai nostiprinātu starptautiskās normas un aizsargātu civiliedzīvotājus pret kiberapdraudējumiem. 31 Mēs arī izmantojam dažādus resursus un galveno principu kopumu, lai aizsargātu balsotājus, kandidātus, kampaņas un vēlēšanu varas iestādes visā pasaulē, jo vairāk nekā 2 miljardi cilvēku gatavojas iesaistīties demokrātiskajā procesā nākamā gada laikā.32

  1. [1]
  2. [2]

    Tehnisko informāciju par jaunākajiem postošo uzbrukumu paņēmieniem Ukrainā skatiet  https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    Atbilstoši paziņojumiem, kas laisti klajā laika posmā no 2023. gada 15. marta līdz 2023. gada 23. oktobrim. 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]

Saistītie raksti

Digitālie draudi no Austrumāzijas kļūst arvien plašāki un efektīvāki

Iepazīstieties ar jaunajām tendencēm Austrumāzijas apdraudējuma ainavā, kur Ķīna veic plašas kiberoperācijas un ietekmes operācijas (IO), bet Ziemeļkorejas kiberapdraudējuma izpildītāji demonstrē arvien lielāku izsmalcinātību.
Papildinformācija

Irāna pievēršas ar kibernoziegumiem saistītām ietekmes operācijām, lai panāktu lielāku efektu

Microsoft draudu informācija atklāja, ka no Irānas tiek veiktas pastiprinātas ar kibernoziegumiem saistītas ietekmes operācijas. Iegūstiet ieskatus par draudiem, sniedzot vairāk informācijas par jauniem paņēmieniem un to, kur pastāv potenciālie draudi nākotnē.
Papildinformācija

Kiberoperācijas un ietekmes operācijas Ukrainas digitālajā kaujas laukā

Microsoft draudu informācija analizē gadu ilgušās kiberoperācijas un ietekmes operācijas Ukrainā, atklāj jaunas tendences kiberapdraudējumu jomā un to, kas sagaidāms, karam turpinoties jau otro gadu.
Papildinformācija

Sekot Microsoft drošībai