Trace Id is missing

Russiske trusselaktører står klare til å utnytte krigstrettheten

Last ned
Del
Cyberbaserte påvirkningsoperasjoner
Innledning
Russiske cyber- og påvirkningsoperatører har vist gjennom hele krigen i Ukraina at de kan tilpasse seg, ved å oppnå fordeler på slagmarken på nye måter og tappe Kyivs kilder til støtte både innenlands og utenlands. I denne rapporten fremstilles aktiviteten innen datatrusler og skadelig påvirkning som Microsoft observerte mellom mars og oktober 2023. I løpet av denne tidsperioden befant det ukrainske militæret og sivilbefolkningen seg nok en gang i skuddlinjen mens faren for inntrenging og manipulasjon utvidet seg til enheter verden over som hjalp Ukraina og forsøkte å stille de russiske styrkene til ansvar for krigsforbrytelser.

Faser av Russlands krig i Ukraina mellom januar 2022 og juni 2023

Diagram som viser fasene av Russlands krig i Ukraina
Mer informasjon om dette bildet på side 3 i den fullstendige rapporten

Trusselhandlinger observert av Microsoft i løpet av denne mars- til oktober-perioden, gjenspeilet kombinerte operasjoner for å demoralisere det ukrainske folket og et økende fokus på cyberspionasje. Cyber- og propagandaaktører og aktører fra det russiske militæret rettet felles angrep mot den ukrainske landbrukssektoren – et sivilt infrastrukturmål – midt i en global kornkrise. Cybertrusselaktører med forbindelse til russisk militær etterretning (GRU) tok del i cyberspionasjeoperasjoner mot det ukrainske militæret og forsyningskjedene fra utlandet. Mens det internasjonale fellesskapet prøvde å straffe krigsforbrytelser, rettet grupper med forbindelser til russisk utenriksetterretning (SVR) og den føderale sikkerhetstjenesten (FSB) angrep mot etterforskere av krigsforbrytelser i og utenfor Ukraina.

På påvirkningsfronten ble det stilt spørsmål om fremtiden til Russlands påvirkningsevner etter det korte opprøret i juni 2023 og senere dødsfallet til Yevgeny Prigozhin, eieren av Wagner-gruppen og den beryktete trollfabrikken Internet Research Agency. I hele sommer observerte Microsoft omfattende operasjoner av organisasjoner som ikke var forbundet med Prigozhin, noe som illustrerte Russlands fremtid innen ondsinnede påvirkningskampanjer uten ham.

Teamene bak Microsoft trusselinformasjon og svar på hendelser har varslet og samarbeidet med berørte kunder og statlige partnere for å redusere trusselaktiviteten som er beskrevet i denne rapporten.

Russiske styrker er først og fremst avhengig av konvensjonelle våpen for å volde skade i Ukraina, men cyber- og påvirkningsoperasjoner forblir en stor trussel mot sikkerheten til datanettverk og livet til borgerne i Ukrainas allierte i regionen, NATO og globalt. I tillegg til oppdatering av sikkerhetsprodukter for proaktivt å forsvare kundene våre verden over, deler vi denne informasjonen for å oppmuntre til stadig årvåkenhet mot trusler til integriteten til det globale informasjonsrommet.

Russiske kinetiske krefter og cyber- og propagandakrefter samlet seg mot Ukrainas landbrukssektor i sommer. Militære angrep ødela korn som kunne ha livnært over 1 millioner mennesker i ett år, mens russiskvennlige medier rettferdiggjorde angrepene til tross for de humanitære kostnadene.1

Fra juni til september observerte Microsoft trusselinformasjon nettverkspenetrering, dataeksfiltrasjon og til og med destruktiv skadelig programvare brukt mot organisasjoner med forbindelse til den ukrainske landbruksbransjen og kornrelatert shippinginfrastruktur. I juni og juli stjal Aqua Blizzard (tidligere ACTINIUM) data fra et firma som hjelper til med å spore avlingsytelse. Seashell Blizzard (tidligere IRIDIUM) brukte varianter av rudimentær destruktiv skadelig programvare som Microsoft gjenkjenner som WalnutWipe/SharpWipe, mot nettverk i mat-/landbrukssektoren.2

Analyse av russiske digitale propagandaaktiviteter rettet mot ukrainsk landbruk

Viser russiske digitale propagandaaktiviteter rettet mot ukrainsk landbruk
Mer informasjon om dette bildet på side 4 i den fullstendige rapporten

I juli trakk Moskva seg fra Svartehavets kornavtale, et humanitært program som bidro til å hindre global matkrise og tillot transport av mer enn 725 000 tonn med hvete til mennesker i Afghanistan, Etiopia, Kenya, Somalia og Jemen det første året.3 Etter at Moskva trakk seg, sluttet russiskvennlige medier og Telegram-kanaler seg til svertingen av kornavtalen og rettferdiggjøring av Moskvas avgjørelse. Propagandakanaler fremstilte kornkorridoren som en front for narkotikasmugling eller som en mulighet for hemmelig overføring av våpen, for å bagatellisere den humanitære betydningen av avtalen.

I flere rapporter fra 2023 understreket vi hvordan legitime og falske hacktivistgrupper som vi mistenker at har forbindelser til GRU, hadde jobbet for å forsterke Moskvas misnøye mot fienden og overdrive antallet russiskvennlige cyberkrefter.4 5 6 I sommer observerte vi også hacktivistpersonligheter på Telegram som spredte meldinger som forsøker å rettferdiggjøre militærangrep på sivil infrastruktur i Ukraina og konsentrerte DDoS (distributed denial-of-service)-angrep mot Ukrainas allierte i utlandet. Microsofts stadige overvåking av hacktivistgruppers krysningpunkter med statlige aktører gir ytterligere innsikt i begge enhetenes operasjonstempo og hvordan aktivitetene støtter opp om hverandres mål.

Til dags dato har vi identifisert tre grupper: Solntsepek, InfoCentr og Cyber Army of Russia, som samhandler med Seashell Blizzard. Det kan være at Seashell Blizzards relasjon til hacktivistkanalene er kortsiktig bruk mer enn kontroll, basert på hacktivistenes midlertidige økning i cyberevner, som sammenfaller med Seashell Blizzard-angrep. Med jevne mellomrom setter Seashell Blizzard i gang et destruktivt angrep som Telegram-hacktivistgrupper offentlig tar æren for. Hacktivistene går deretter tilbake til de mindre kompliserte handlingene de vanligvis holder på med, inkludert DDOS-angrep eller lekkasje av ukrainske personopplysninger. Nettverket representerer smidig infrastruktur som APT kan bruke til å fremme sin egen aktivitet.

Skalavisning over russiskvennlig hacktivisme

Diagram med skalavisning over russiskvennlig hacktivisme
Mer informasjon om dette bildet på side 5 i den fullstendige rapporten

Russiske styrker utfører ikke bare handlinger som kan være brudd på internasjonal lov, men går også etter etterforskerne og aktorene som bygger saken mot dem.

Microsoft-telemetri viste at aktører knyttet til Russlands byråer for militær- og utenlandsetterretning rettet angrep mot og brøt seg inn i ukrainske retts- og etterforskningsnettverk og nettverkene til internasjonale organisasjoner som deltok i etterforskningen av krigsforbrytelser, gjennom hele våren og sommeren.

Disse cyberoperasjonene skjedde mens spenningen økte mellom Moskva og grupper som Den internasjonale straffedomstolen (ICC), som utstedte arrestordre på Russlands president Putin for krigsforbrytelser i mars.7

I april angrep Seashell Blizzard, som har forbindelser til GRU, nettverket til et advokatfirma som spesialiserer seg på krigsforbrytelser. Aqua Blizzard, med forbindelser til FSB, brøt seg inn i det interne nettverket til et større etterforskningsorgan i Ukraina i juli og brukte deretter utsatte kontoer der til å sende phishing-meldinger til flere ukrainske teleoperatører i september.

SVR-aktørene Midnight Blizzard (tidligere NOBELIUM) angrep og åpnet dokumenter til en rettsorganisasjon med globalt ansvar i juni og juli før Microsoft svar på hendelser grep inn for å gjenopprette etter inntrengningen. Aktiviteten var en del av en mer aggressiv innsats av denne aktøren for å bryte seg inn i organisasjoner knyttet til diplomati, forsvar, offentlig sektor og IT-sektoren i hele verden.

En gjennomgang av Microsoft Sikkerhet-varsler sendt til berørte kunder siden mars viste at Midnight Blizzard har prøvd å få tilgang til mer enn 240 organisasjoner fortrinnsvis i USA, Canada og andre europeiske land, med varierende grad av suksess.8

Nesten 40 prosent  av de utsatte organisasjonene var statlige, mellomstatlige eller politisk orienterte tenketanker.

Russiske trusselaktører brukte forskjellige teknikker for å få innledende tilgang og opprette vedvarende tilstedeværelse i de utsatte nettverkene. Midnight Blizzard brukte alle verktøyene i kassen, blant annet passordspray, legitimasjon tatt fra tredjeparter, troverdige kampanjer med sosial manipulering via Teams og misbruk av skytjenester for å infiltrere skymiljøer.9 Aqua Blizzard klarte å integrere HTML smuglet inn via innledende phishing-kampanjer for å redusere sannsynligheten for å bli oppdaget av antivirussignaturer og e-postsikkerhetskontroller.

Seashell Blizzard utnyttet serversystemer i yttergrensen, for eksempel Exchange- og Tomcat-servere, og benyttet seg av piratversjoner av Microsoft Office-programvare som skjulte DarkCrystalRAT-bakdøren for å få innledende tilgang. Bakdøren gjorde det mulig for aktøren å legge til en nyttelast som vi kalles Shadowlink i andre fase, en programvarepakke forkledd som Microsoft Defender som installerer TOR-tjenesten på en enhet og gir trusselaktøren stjålen tilgang via TOR-nettverket.10

Diagram som viser hvordan Shadowlink installerer TOR-tjenesten på en programvareenhet
Mer informasjon om dette bildet på side 6 i den fullstendige rapporten 

Siden russiske styrker lanserte våroffensiven i 2023, har GRU- og FSB-tilknyttede cyberaktører konsentrert innsatsen om innsamling av informasjon fra ukrainsk kommunikasjons- og militærinfrastruktur i krigssoner.

Fra og med mars koblet Microsoft trusselinformasjon Seashell Blizzard til mulige phishing-agn og -pakker som virket skreddersydd til å rette angrep mot en større del av ukrainsk militær kommunikasjonsinfrastruktur. Vi hadde ingen oversikt over oppfølgende handlinger. I følge den ukrainske sikkerhetstjenesten (SBU) inkluderte andre forsøk fra Seashell Blizzards på å få tilgang til ukrainske militære nettverk skadelig programvare som ville la dem samle inn informasjon om konfigurasjonene til tilkoblede Starlink-satelitterminaler og få tak i posisjonen til ukrainske militære enheter.11 12 13

Secret Blizzard (tidligere KRYPTON) forsøkte også å sikre seg fotfeste for informasjonsinnsamling i ukrainske forsvarsrelaterte nettverk. I partnerskap med det ukrainske senteret for cybersikkerhet (CERT-UA) identifiserte Microsoft trusselinformasjon tilstedeværelsen av Secret Blizzards bakdørbaserte skadelige programvare DeliveryCheck og Kazuar på systemene til det ukrainske forsvaret.14 Kazuar gir adgang til mer enn 40 funksjoner, inkludert stjeling av legitimasjon fra en rekke programmer, godkjenningsdata, proxyer og informasjonskapsler samt datahenting fra operativsystemlogger.15 Secret Blizzard var spesielt interessert i å stjele filer med meldinger fra meldingsprogrammet Signal Desktop som ville la dem kunne lese private Signal-chatter.16

Forest Blizzard (tidligere STRONTIUM) fikk fornyet fokus på sine tradisjonelle spionasjemål, forsvarsrelaterte organisasjoner i USA, Canada og Europa, som leverer militær støtte og opplæring som gjør ukrainske styrker rustet til å fortsette kampen.

Fra og med mars har Forest Blizzard forsøkt å få innledningsvis tilgang til forsvarsorganisasjoner via phishing-meldinger som brukte nye og unnvikende teknikker. I august sendte for eksempel Forest Blizzard en phishing-e-post som omfattet en utnyttelse for CVE-2023-38831 til kontoinnehavere ved en europeisk forsvarsorganisasjon. CVE-2023-38831 er en sikkerhetssårbarhet i WinRAR-programvare som gjør at angripere kan kjøre tilfeldig kode der en bruker forsøker å vise en ufarlig fil i et ZIP-arkiv.

Aktøren utnytter også legitime utviklerverktøy, for eksempel Mockbin for kommando og kontroll. Fra og med slutten av september utførte aktøren en phishing-kampanje som misbrukte GitHub- og Mockbin-tjenester. CERT-UA og andre cybersikkerhetsfirmaer publiserte aktiviteten i september og konstaterte at aktøren brukte sider med voksenunderholdning for å lokke ofre til å klikke på eller åpne en fil som ville omdirigere dem til en skadelig Mockbin-infrastruktur.17 18Microsoft observerte en dreining mot bruk av en side med teknologitema i slutten av september. I hvert tilfelle sendte aktørene en phishing-e-post som inneholdt en skadelig kobling som ville omdirigert offeret til en Mockbin-nettadresse og lastet ned en ZIP-fil sammen med en skadelig LNK-fil (snarvei) maskert som en Windows-oppdatering. LNK-filen ble deretter lastet ned og kjørte enda et PowerShell-skript for å opprette vedvarenhet og utføre oppfølgende handlinger, for eksempel datatyveri.

Eksempel på skjermbilde av PDF-agn forbundet med Forest Blizzard-phishing av forsvarsorganisasjoner.

Trusselaktører maskerer seg som ansatte i Europaparlamentet
E-postvedlegg: Agenda 28. august–3. september 2023 for møter i Europaparlamentet. Pressetjenestekommunikasjon. 160 KB bulletin.rar
Figur 5: Skjermbildeeksempel av PDF-agn forbundet med Forest Blizzard-phishing av forsvarsorganisasjoner.  Mer informasjon om dette bildet på side 8 i den fullstendige rapporten

Gjennom hele 2023 fortsatte MTAC å observere Storm-1099, en russisk-tilknyttet påvirkningsaktør som var ansvarlig for en sofistikert, russiskvennlig påvirkningsoperasjon rettet mot Ukrainas støttespillere siden våren 2022.

Storm-1099 er kanskje best kjent for den omfattende operasjonen med forfalskning av nettsteder, kalt Doppelganger av forskningsgruppen EU DisinfoLab,19 men aktivitetene inkluderte også unike varemerkede kanaler som Reliable Recent News (RRN), multimedieprosjekter som den antiukrainske tegneserien Ukraine Inc. og bakkedemonstrasjonene som forente den digitale og fysiske verdenen. Selv om det ikke er avklart i sin helhet hvem som står bak, har russiske politiske teknologer, propagandister og PR-spesialister med solid finansiering og bevisbare bånd til den russiske staten, utført og støttet flere Storm-1099-kampanjer.20

Storm-1099s Doppelganger-operasjon pågår fortsatt med full tyngde i skrivende stund, til tross for vedvarende forsøk fra teknologiselskaper og forskningsenheter å rapportere om og redusere rekkevidden.21 Mens denne aktøren tradisjonelt har rettet angrepene mot Vest-Europa, og særlig Tyskland, har også Frankrike, Italia og Ukraina vært utsatt. De siste månedene har Storm-1099 endret søkelyset til USA og Israel. Denne overgangen begynte allerede i januar 2023, blant store protester i Israel mot den foreslåtte rettsreformen, og økte i intensitet etter starten av krigen mellom Israel og Hamas i begynnelsen av oktober. Nyopprettede varemerkede kanaler reflekterer en økende polarisering av USAs politikk og det kommende presidentvalget i USA i 2024, mens eksisterende Storm-1099-ressurser har gått kraftig ut med de falske påstandene om at Hamas skaffet seg ukrainske våpen på svartebørsen til angrepene i Israel 7. oktober.

Nylig, i slutten av oktober, observerte MTAC kontoer som Microsoft mener er Storm-1099-ressurser, som lanserte en ny form for falskneri i tillegg til falske artikler og nettsteder på sosiale medier. Dette er serier med korte, falske nyhetsklipp, tilsynelatende fra ansette nyhetskanaler, som sprer russiskvennlig propaganda for å undergrave støtten til både Ukraina og Israel. Mens denne taktikken – bruk av videoforfalskninger til å kultivere propagandaholdninger – er en taktikk som er observert de siste månedene av russiskvennlige aktører mer generelt, understreker Storm-1099s lansering av slikt videoinnhold bare aktørens varierte påvirkningsteknikker og mål om å spre budskapet.

Artikler publiser på falske Doppelganger-nettsteder

Kampanjen utført av den russiske trusselaktøren innen cyberpåvirkning, Storm-1099, observert og sporet av Microsoft.
Observert og sporet av Microsoft 31. oktober 2023. Artikler publisert på falske Doppelganger-nettsteder, kampanjen utført av den russiske trusselaktøren innen cyberpåvirkning, Storm-1099.
Mer informasjon om dette bildet på side 9 i den fullstendige rapporten

Etter Hamas-angrepet i Israel 7. oktober har russiske statlige medier og statsallierte påvirkningsaktører prøvd å utnytte Israel–Hamas-krigen for å lansere antiukrainske historier, antiamerikanske følelser og øke spenningen mellom alle parter. Denne aktiviteten er en reaksjon på krigen og generelt begrenset i omfang, men inkluderer både åpenlyst statlig sponsede medier og skjulte russisk-tilknyttede nettverk på sosiale medier som strekker seg over flere plattformer.

 

Historier som dyrkes av russiske propagandister og russiskvennlige nettverk på sosiale medier, søler å skape konflikt mellom Israel og Ukraina og svekke vestlig støtte til Kyiv ved å hevde at Ukraina bevæpnet Hamas-militanter, i forfalskninger av ansette mediekanaler og manipulerte videoer. En uekte video som hevdet at fremmede rekrutter, inkludert amerikanere, ble overført fra Ukraina for å bli med Israels forsvar (IDF) på operasjoner på Gaza-stripen, som fikk hundretusener av visninger på sosiale medier, er bare ett eksempel på slikt innhold. Denne strategien både forsterker antiukrainske historier til et bredere publikum og dyrker engasjement ved å lage falske historier parallelt med store, utfoldende nyhetshistorier.

 

Russland forsterker også digital påvirkningsaktivitet ved å utnytte virkelige hendelser. Russiske kanaler har på en aggressiv måte lansert eksplosivt innhold som overdriver protestene knyttet til Israel–Hamas-krigen i Midt-Østen og Europa, inkludert via bakkekorrespondenter fra russiske statlige nyhetsbyråer. I slutten av oktober 2023 hevdet franske myndigheter at fire moldovske statsborgere trolig hadde noe å gjøre med grafitti med sjablonger av davidsstjernen på offentlige steder i Paris. To av moldoverne hevdet visstnok at de ble instruert av en russisktalende person, noe som antyder en mulig russisk forbindelse til graffitien. Bilder av graffitien ble senere distribuert av Storm-1099-ressurser.22

 

Russland vurderer trolig at den pågående Israel–Hamas-konflikten er i Russlands geopolitiske interesse, siden det tror at konflikten avleder Vestens oppmerksomhet fra krigen i Ukraina. På grunn av Russlands velbrukte taktikk fra den etablerte påvirkningsstrategien antar MTAC at slike aktører kommer til å fortsette med å så nettbasert propaganda og utnytte store, internasjonale hendelser til å øke spenningen og forsøke å hindre Vestens evner til å motarbeide Russlands invasjon av Ukraina.

Antiukrainsk propaganda har dominert russisk påvirkningsaktivitet siden før invasjonen i 2022. De siste månedene har imidlertid russiskvennlige og russisktilknyttede påvirkningsnettverker i større grad brukt video som et mer dynamisk medium for å spre disse budskapene, sammen med forfalskning av pålitelige mediekanaler for å utnytte troverdigheten til disse kanalene. MTAC har observert to pågående kampanjer utført av ukjente russiskvennlige aktører som innebærer forfalskning av tradisjonelle nyhets- og underholdningsmedier for å lansere manipulert videoinnhold. Som i tidligere russiske propagandakampanjer fokuserer denne aktiviteten på å male den ukrainske presidenten Volodymyr Zelensky som en korrupt narkoman og vestlig støtte for Kyiv som skadelig for disse landenes egne befolkninger. Innholdet i begge kampanjene søker konsekvent å redusere støtten for Ukraina, men tilpasser historiene til nye hendelser, for eksempel implosjonen av Titan-ubåten i juni 2023 eller Israel–Hamas-krigen for å nå et bredere publikum.

Diagram som viser oversikt over forfalskede nyhetsklipp

viser oversikt over forfalskede nyhetsklipp
Mer informasjon om dette bildet på side 11 i den fullstendige rapporten

Én av disse videosentriske kampanjene innebærer en rekke oppdiktede videoer som sprer falske, antiukrainske, Kremlin-tilknyttede temaer og historier under dekke av korte nyhetsinnlegg fra tradisjonelle mediekanaler. MTAC observerte denne aktiviteten først i april 2022 da russiskvennlige Telegram-kanaler la inn en falsk BBC News-video som hevdet at det ukrainske militæret var ansvarlige for et missilangrep som drepte flere titalls sivile. Videoen bruker BBCs logo, fargevalg og estetikk og bruker teksting på engelsk med feil som er vanlige ved oversetting fra slaviske språk til engelsk.

Kampanjen fortsatte gjennom hele 2022 og skjøt fart i sommeren 2023. I skrivende stund har MTAC observert mer enn et dusin forfalskede videoer i kampanjen. De mest forfalskede kanalene er BBC News, Al Jazeera og EuroNews. Russiskspråklige Telegram-kanaler spredte videoene først før de ble delt på tradisjonelle sosiale medier

Skjermbilder av videoer som imiterer logoen og estetikken til BBC News (venstre) og EuroNews (høyre)

Oppdiktede nyhetsklipp som inneholder russisktilpasset feilinformasjon
Microsoft trusselinformasjon: Oppdiktede nyhetskoblinger kobler ukrainsk militær fiasko, HAMAS-angrep, falskt israelsk ansvar
Oppdiktede nyhetsklipp som inneholder russisktilpasset feilinformasjon. Skjermbilder av videoer som imiterer logoen og estetikken til BBC News (venstre) og EuroNews (høyre). Mer informasjon om dette bildet på side 12 i den fullstendige rapporten

Selv om dette innholdet har begrenset rekkevidde, kan det utgjøre en troverdig trussel hvis det blir mer sofistikert eller forbedret ved hjelp av kunstig intelligens eller styrket av en med troverdig budbringer. De russiskvennlige aktørene som er ansvarlige for de forfalskede nyhetsklippene følger nøye med på aktuelle verdensnyheter og er smidige. En forfalsket BBC News-video kom for eksempel med falske påstander om at den undersøkende nyhetsorganisasjonen Bellingcat avdekket at våpen brukt av Hamas-militantene ble solgt til gruppen av det ukrainske militæret på svartebørsen. Denne videoen var til forveksling lik offentlige kunngjøringer fra den tidligere russiske presidenten Dmitry Medvedev bare én dag før videoen ble sluppet ut, noe som viser kampanjens nære forhold til statlig russisk kommunikasjon.23

I juli 2023 begynte russiskvennlige kanaler på sosiale medier å sirkulere videoer av kjendiser, redigert på en villedende måte til å fremme antiukrainsk propaganda. Videoene, som var verket til en ukjent russisk-alliert påvirkningsaktør, ser ut til å utnytte Cameo, et populært nettsted der kjendiser og andre offentlige figurer kan ta opp og sende personlige videobeskjeder til brukere som betaler et gebyr. De korte videobeskjedene, som ofte har kjendiser som ber «Vladimir» om å oppsøke hjelp for rusmisbruk, er redigert av den ukjente aktøren med emojier og koblinger. Videoer sirkulerer i fellesskap på russiskvennlige sosiale medier og deles av russiske statsallierte og statsdrevne mediekanaler, og fremstilles falskt som meldinger til den ukrainske presidenten Volodymyr Zelensky. I noen tilfeller har aktøren lagt til logoer for mediekanaler og kjendisers brukernavn på sosiale medier for å få videoen til å se ut som nyhetsklipp fra rapporter om kjendisens antatte offentlige appell til Zelensky eller kjendisens egne innlegg på sosiale medier. Kremlin-offisiell og russisk statssponset propaganda har i lang tid spredt den falske påstanden at president Zelensky sliter med rusmisbruk, men denne kampanjen markerer en ny tilnærming av russiskvennlige aktører som søker å dyrke historien i det nettbaserte informasjonsrommet.

Den første videoen i kampanjen, som ble observert i slutten av juli, har ukrainske flaggemojier, vannmerke fra det amerikanske mediekanalen TMZ og koblinger til både et behandlingssenter for rusmisbrukere og til president Zelenskys offisielle sider på sosiale medier. Siden slutten av oktober 2023 har russiskvennlige kanaler i sosiale medier sirkulert seks videoer til. Især 17. august publiserte den russiske statseide nyhetskanalen RIA Novosti en artikkel om en video av den amerikanske skuespilleren John McGinley, som om det var en ekte appell fra McGinley til Zelensky.24 Utenom McGinley dukker det opp innhold i kampanjen fra kjendiser som skuespillerne Elijah Wood, Dean Norris, Kate Flannery og Priscilla Presley, musikeren Shavo Odadjian og bokseren Mike Tyson. Andre mediekanaler alliert med den russiske staten, blant annet mediekanalen Tsargrad som er underlagt sanksjoner fra USA, har også spredt kampanjens innhold.25

Stillbilder fra videoer som viser kjendiser som tilsynelatende lanserer russiskvennlig propaganda

stillbilder fra videoer med kjendiser som tilsynelatende lanserer russiskvennlig propaganda
Mer informasjon om dette bildet på side 12 i den fullstendige rapporten

Russiske soldater går inn i en ny fase med statisk skyttergravkrig, i følge Ukrainas militærsjef, noe som kan være tegn på en enda mer langvarig konflikt.26 Kyiv kommer til å trenge en jevn strøm av våpen og allmenn støtte for å fortsette å yte motstand, og det er sannsynlig at vi vil se en intensivering i forsøkene til russiske cyber- og påvirkningsoperatører på å demoralisere den ukrainske befolkningen og bryte ned Kyivs eksterne kilder til militær og økonomisk hjelp.

Med vinteren på vei kan vi igjen se militære angrep mot strøm- og vannanlegg i Ukraina kombinert med destruktive wiperangrep på disse nettverkene.27CERT-UA, det ukrainske senteret for cybersikkerhet, kunngjorde i september at Ukrainas energinettverk var i uavbrutt fare, og Microsoft trusselinformasjon observerte artefakter fra GRU-trusselaktivitet på ukrainske nettverk i energisektoren fra august til oktober.28 Microsoft observerte minst én destruktiv bruk av Sdelete-programmet mot nettverket til et ukrainsk energiselskap i august.29

Utenfor Ukraina kan valget i USA og andre større politiske kamper i 2024 gi ondsinnede påvirkningsaktører en mulighet til å ta i bruk videomedier og de gryende ferdighetene i kunstig intelligens for å vende den politiske strømmen bort fra de folkevalgte politikerne som kjemper for støtte til Ukraina.30

Microsoft arbeider på flere fronter for å beskytte kundene våre i Ukraina og verden over fra disse mangefasetterte truslene. Under vårt Secure Future-initiativ integrerer vi fremskritt innen cyberforsvar og sikker programvareutvikling drevet av kunstig intelligens med innsatsen for å styrke internasjonale normer for å beskytte sivilbefolkningen mot cybertrusler. 31  Vi ruller også ut ressurser sammen med et sett kjerneprinsipper for å beskytte velgere, kandidater, kampanjer og valgmyndigheter verden over, idet mer enn 2 milliarder mennesker skal delta i den demokratiske prosessen i løpet av neste år.32

  1. [1]
  2. [2]

    Hvis du vil ha teknisk informasjon om de siste destruktive angrepsmetodene i Ukraina, kan du se https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    Basert på varsler utstedt mellom 15. mars 2023 og 23. oktober 2023. 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]

Relaterte artikler

Digitale trusler fra Øst-Asia øker i omfang og effektivitet

Bli med og utforsk fremvoksende trender i Øst-Asias stadig endrende trussellandskap, der Kina utfører både utstrakte cyber- og påvirkningsoperasjoner, mens nordkoreanske cybertrusselaktører stadig blir mer sofistikerte.
Mer informasjon

Iran tyr til cyberaktiverte påvirkningsoperasjoner for større virkning

Microsoft trusselinformasjon avdekket en økning i cyberaktiverte påvirkningsoperasjoner fra Iran. Få trusselinnsikt med informasjon om nye teknikker og hvor fremtidige trusler kan komme fra.
Mer informasjon

Cyber- og påvirkningsoperasjonene på den digitale slagmarken til krigen i Ukraina

Microsoft trusselinformasjon undersøker et år med cyber-. og påvirkningsoperasjoner i Ukraina, avdekker nye trender innen cybertrusler, og hva vi kan forvente idet krigen går inn i sitt andre år.
Mer informasjon

Følg Microsoft