Trace Id is missing

Russische bedreigingsactoren graven zich in, bereiden zich voor op afgedwongen oorlogsmoeheid

 Cyberbeïnvloedingsoperaties
Inleiding
Russische cyber- en beïnvloedingsoperators hebben gedurende de oorlog in Oekraïne gedemonstreerd dat ze aanpassingsvermogen hebben. Ze proberen nieuwe manieren uit om winst te boeken op het strijdveld en ze ondermijnen nationale en externe bronnen van Kyiv. Dit rapport geeft details over cyberbedreigings- en kwaadaardige beïnvloedingsactiviteiten die Microsoft heeft waargenomen tussen maart en oktober 2023. In deze periode waren Oekraïense militairen en burgers opnieuw in het vizier. Tegelijkertijd nam het risico van inbreuk en manipulatie toe voor entiteiten van over de hele wereld die Oekraïne ondersteunen en de Russische strijdkrachten verantwoordelijk willen stellen voor oorlogsmisdaden.

Fasen van de Russische oorlog in Oekraïne van januari 2022 - juni 2023

Grafiek met fasen van de Russische oorlog in Oekraïne
Meer informatie over deze afbeelding op pagina 3 in het volledige rapport

Bedreigingsacties die Microsoft tijdens deze periode van maart tot oktober heeft waargenomen, zijn gecombineerde operaties om de bevolking van Oekraïne te demoraliseren en een toegenomen focus op cyberspionage. Russische militaire, cyber- en propaganda-actoren hebben tijdens een wereldwijde graancrisis georganiseerde aanvallen uitgevoerd tegen de Oekraïense landbouwsector, een infrastructureel doel van burgers. Cyberbedreigingsactoren die zijn gerelateerd aan de Russische militaire inlichtingendienst (GROe) hebben zich beziggehouden met cyberspionageoperaties tegen de Oekraïense strijdkrachten en hun buitenlandse toeleveringsketens. Terwijl de internationale gemeenschap erop gericht was om oorlogsmisdaden te bestraffen, werden onderzoekers van oorlogsmisdaden binnen en buiten Oekraïne aangevallen door groepen die worden gekoppeld aan de Dienst Buitenlandse veiligheid van Rusland (SVR) en de Federale Veiligheidsdienst van de Russische Federatie (FSB).

De korte opstand in juni 2023 en latere dood van Jevgeni Prigozjin, eigenaar van de Wagnergroep en de beruchte trollenfabriek Internet Research Agency, leidde aan het beïnvloedingsfront tot vragen over de toekomst van Ruslands beïnvloedingscapaciteiten. Gedurende deze zomer heeft Microsoft wijdverspreide operaties waargenomen van organisaties die niet zijn verbonden aan Prigozjin. Dit illustreert de toekomst van Ruslands kwaadaardige beïnvloedingscampagnes zonder hem.

Microsoft Bedreigingsinformatie en incidentreactieteams hebben getroffen klanten en overheidspartners op de hoogte gebracht en ermee samengewerkt om de bedreigingsactiviteiten zoals beschreven in dit rapport te beperken.

Russische strijdkrachten verlaten zich meer op conventionele wapens om schade aan te richten in Oekraïne, maar cyber- en beïnvloedingsoperaties blijven een aanhoudende bedreiging voor de beveiliging van computernetwerken en civiele levens van bondgenoten van Oekraïne in de regio, de NAVO en wereldwijd. Ter aanvulling op het bijwerken van onze beveiligingsproducten zodat ze proactief onze klanten wereldwijd verdedigen, delen we deze informatie om voortdurende waakzaamheid tegen bedreigingen voor de integriteit van de wereldwijde informatieruimte aan te moedigen.

Russische kinetische, cyber- en propagandastrijdkrachten kwamen deze zomer samen tegen de Oekraïense landbouwsector. Militaire aanvallen hebben zoveel graan vernietigd dat één miljoen mensen er een jaar van hadden kunnen eten. Ondertussen vertelden pro-Russische media verhaallijnen om de doelen te rechtvaardigen, ondanks de humanitaire kosten.1

Van juni tot september heeft Microsoft Bedreigingsinformatie netwerkpenetratie, gegevensexfiltratie en zelfs vernietigende malware waargenomen, ingezet tegen organisaties verbonden aan de Oekraïense landbouwsector en de infrastructuur voor de verzending van graan. In juni en juli stal Aqua Blizzard (voorheen ACTINIUM) gegevens van een bedrijf dat ondersteuning biedt in het bijhouden van de gewasopbrengst. Seashell Blizzard (voorheen IRIDIUM) gebruikte varianten van primitieve vernietigende malware. Microsoft detecteert deze malware die wordt gebruikt tegen netwerken in de voedings- en landbouwsector als WalnutWipe/SharpWipe.2

Uitsplitsing van Russische digitale propaganda-activiteiten tegen de Oekraïense landbouw

Russische digitale propaganda-activiteiten tegen de Oekraïense landbouw
Meer informatie over deze afbeelding op pagina 4 van het volledige rapport

In juli trok Moskou zich terug uit de graandeal, een humanitaire poging om een wereldwijde voedselcrisis te voorkomen. In het eerste jaar stond de graandeal de transport van meer dan 725.000 ton tarwe toe, bestemd voor de inwoners van Afghanistan, Ethiopië, Kenia, Somalië en Jemen.3 Na de actie van Moskou stelden pro-Russische media- en Telegram-kanalen de graandeal in een kwaad daglicht en boden ze een rechtvaardiging van Moskous beslissing. Propagandakanalen schilderden de graancorridor af als een gelegenheid voor drugssmokkel of als een middel voor stiekeme wapenruil om het humanitaire belang van de deal te bagatelliseren.

In meerdere rapporten van 2023 hebben we uitgelicht hoe groepen legitieme of pseudohacktivisten met verdachte connecties met de GROe eraan hebben gewerkt om Moskous ontevredenheid met tegenstanders te vergroten en het aantal pro-Russische cyberkrachten te overdrijven.4 5 6 Deze zomer hebben we ook waargenomen dat persona's hacktivisten op Telegram berichten verspreiden die proberen om militaire aanvallen op de burgerlijke infrastructuur in Oekraïne en gerichte DDoS-aanvallen (Distributed Denial of Service, of gedistribueerde denial-of-service) tegen buitenlandse bondgenoten van Oekraïne te rechtvaardigen. De voortdurende bewaking van de kruising tussen hacktivistengroepen en nation-state actoren door Microsoft biedt extra inzichten in het operationele tempo van beide entiteiten en de manieren waarop hun activiteiten elkaars doelen aanvullen.

Tot nu hebben we drie groepen geïdentificeerd die interactie hebben met Seashell Blizzard: Solntsepek, InfoCentr en Cyber Army of Russia. De relatie tussen Seashell Blizzard en de hacktivistenkanalen kan kortstondig zijn in plaats van controlerend. Dit is gebaseerd op de tijdelijke pieken in de cybercapaciteiten van de hacktivisten die overeenstemmen met de aanvallen van Seashell Blizzard. Regelmatig start Seashell Blizzard een vernietigende aanval waarvan Telegram-hacktivistengroepen openbaar de verantwoordelijkheid opeisen. De hacktivisten keren vervolgens terug naar de acties met lagere complexiteit die ze gewoonlijk uitvoeren, inclusief DDoS-aanvallen of het lekken van Oekraïense persoonsgegevens. Het netwerk vertegenwoordigt een flexibele infrastructuur die de APT kan gebruiken om hun activiteit te promoten.

Wijzerplaat van pro-Russisch hacktivisme

Grafiek met de wijzerplaat van pro-Russisch hacktivisme
Meer informatie over deze afbeelding op pagina 5 van het volledige rapport

Russische strijdkrachten zijn niet alleen betrokken in acties die in conflict zijn met het internationaal recht, maar ze vallen ook de onderzoekers van de criminaliteit en de aanklagers die cases tegen hen beginnen aan.

Microsoft-telemetrie heeft onthuld dat actoren die gekoppeld zijn aan militaire en buitenlandse inlichtingendiensten van Rusland juridische en onderzoeksnetwerken hebben aangevallen en geschonden. Deze netwerken zijn Oekraïens, maar ook van internationale organisaties die zijn betrokken in onderzoeken naar oorlogsmisdaden in de lente en zomer van dit jaar.

Deze cyberoperaties deden zich voor tijdens spanningen tussen Moskou en groepen zoals het Internationaal Strafhof (International Criminal Court, of ICC), dat een arrestatiebevel uitgaf voor de Russische president Poetin voor oorlogsmisdaden in maart.7

In april compromitteerde het aan de GROe gekoppelde Seashell Blizzard het netwerk van een advocatenkantoor dat zich focust op cases van oorlogsmisdaden. Aqua Blizzard, toegeschreven aan de FSB, schond het internationale netwerk van een grote onderzoeksinstantie in Oekraïne in juli. Vervolgens gebruikte het in september gecompromitteerde accounts om phishing-e-mails te verzenden naar verschillende Oekraïense telecombedrijven.

SVR-actor Midnight Blizzard (voorheen NOBELIUM) kreeg toegang tot en compromitteerde de documenten van een juridische organisatie met wereldwijde verantwoordelijkheden. Dit gebeurde in juni en juli, voordat Microsoft Incidentreactie kon ingrijpen om de inbraak te herstellen. Deze activiteit was onderdeel van een agressievere poging van deze actor om verschillende organisaties wereldwijd te schenden: in de diplomatie, defensie, in openbaar beleid en in de IT-sector.

Een beoordeling van Microsoft-beveiligingsmeldingen die zijn verstrekt aan getroffen klanten sinds maart, onthult dat Midnight Blizzard toegang probeerde te krijgen tot meer dan 240 organisaties in voornamelijk de VS, Canada en andere Europese landen, met wisselend succes.8

Bijna 40 procent  van de aangevallen organisaties was overheid, intergouvernementeel of een op beleid gerichte denktank.

Russische bedreigingsactoren gebruikten verschillende technieken om eerst toegang te krijgen en vervolgens te kunnen blijven op aangevallen netwerken. Midnight Blizzard gebruikte de gootsteenbenadering ('kitchen sink') met gebruik van wachtwoordspray, referenties verkregen van derden, geloofwaardige social engineering-campagnes via Teams en misbruik van cloudservices om te infiltreren in cloudomgevingen.9 Aqua Blizzard integreerde succesvol HTML, binnengesmokkeld via phishingcampagnes voor initiële toegang, om de kans op detectie door antivirushandtekeningen en e-mailbeveiligingscontroles te verkleinen.

Seashell Blizzard maakte gebruik van perimeterserversystemen zoals Exchange- en Tomcat-servers, tegelijkertijd met gebruik van gepirate Microsoft Office-software met daarin de DarkCrystalRAT-backdoor om initiële toegang te krijgen. De backdoor gaf de actor toestemming om een payload in de tweede fase te laden. Deze payload noemen we Shadowlink, een softwarepakket dat zich voordoet als Microsoft Defender, de TOR-service installeert op een apparaat en de bedreigingsactor heimelijk toegang geeft via het TOR-netwerk.10

Diagram met hoe Shadowlink de TOR-service installeert op een softwareapparaat
Meer informatie over deze afbeelding op pagina 6 van het volledige rapport 

Sinds de Russische strijdkrachten het offensief begonnen in de lente van 2023, hebben aan de GROe en FSB gerelateerde cyberactoren zich gericht op het verzamelen van informatie van de Oekraïense communicatie- en militaire infrastructuur in de gevechtsgebieden.

Sinds maart verbindt Microsoft Bedreigingsinformatie Seashell Blizzard aan potentiële phishinglokmiddelen en -pakketten die op maat gemaakt lijken te zijn voor een aanval op een groot onderdeel van de Oekraïense infrastructuur voor militaire communicatie. We hadden geen zicht op vervolgacties. Volgens de Veiligheidsdienst van Oekraïne (SBU) gebruikt Seashell Blizzard ook malware om toegang te krijgen tot Oekraïense militaire netwerken. Met deze malware is het mogelijk om informatie te verzamelen over de configuraties van verbonden terminals van de Starlink-satelliet om de locatie van Oekraïense militaire eenheden te achterhalen.11 12 13

Secret Blizzard (voorheen KRYPTON) heeft zich ook verplaatst naar het verzamelen van beveiligde informatie in Oekraïense netwerken die aan de defensie zijn gerelateerd. In samenwerking met CERT-UA (Computer Emergency Response Team of Ukraine, het antwoordteam voor cybernoodgevallen van de Oekraïense overheid) heeft Microsoft Bedreigingsinformatie de aanwezigheid van Secret Blizzards DeliveryCheck- en Kazuar-backdoormalware geïdentificeerd in systemen van de Oekraïense defensiemacht.14 Kazuar heeft meer dan 40 functies, inclusief het stelen van aanmeldingsgegevens van een verscheidenheid aan toepassingen, verificatiegegevens, proxy's, cookies en het ophalen van gegevens van logboeken van besturingssystemen.15 Secret Blizzard was vooral geïnteresseerd in het stelen van bestanden met berichten van de desktoptoepassing Signal, waardoor ze privéchats in de berichtentoepassing konden lezen.16

Forest Blizzard (voorheen STRONTIUM) vernieuwde de focus op hun traditionele spionagedoelen: aan defensie gerelateerde organisaties in de Verenigde Staten, Canada en Europa die de Oekraïense strijdkrachten uitrusten met militaire ondersteuning en training om de strijd voort te zetten.

Sinds maart heeft Forest Blizzard geprobeerd om initiële toegang te krijgen tot defensieorganisaties via phishingberichten met daarin nieuwe en onherkenbare technieken. In augustus verstuurde Forest Blizzard bijvoorbeeld een phishing-e-mail naar accounteigenaren van een Europese defensieorganisatie. In de e-mail werd gebruik gemaakt van CVE-2023-38831, een beveiligingsprobleem in WinRAR-software waardoor aanvallers arbitraire code kunnen uitvoeren wanneer een gebruiker probeert om een goedaardig bestand in een ZIP-archief te openen.

De actor maakt ook gebruik van legitieme ontwikkelhulpprogramma's zoals Mockbin en Mocky voor besturing ('command and control'). Sinds eind september voert de actor een phishingcampagne uit waarbij misbruik wordt gemaakt van GitHub- en Mockbin-services. CERT-AU en andere cyberbeveiligingsbedrijven publiceerden de activiteit in september toen ze opmerkten dat de actor gebruikmaakt van websites voor volwassenen om slachtoffers te verleiden op een koppeling te klikken of een bestand te openen, leidend naar een kwaadaardige Mockbin-infrastructuur.17 18Microsoft observeerde eind september een wending naar het gebruik van pagina's met een thema in de technologie. In beide gevallen verstuurde de actor een phishing-e-mail met daarin een kwaadaardige koppeling naar een Mockbin-URL. Via de URL werd een ZIP-bestand gedownload met in de bundel een kwaadaardig LNK-bestand (een snelkoppeling) dat zich voordoet als een Windows-update. Het LNK-bestand downloadde vervolgens eens PowerShell-script om uit te voeren om binnen te zijn en vervolgacties zoals gegevensdiefstal te kunnen uitvoeren.

Voorbeeld, schermopname van een PDF-lokmiddel gerelateerd aan phishing door Forest Blizzard bij defensieorganisaties.

Maskerades van bedreigingsactoren als personeel van het Europarlement
E-mailbijlage: 'Agenda 28 Aug - 03 Sep 2023' voor Vergade­ringen van het Europarlement. Communicatie van de persdienst. 160 kB bulletin.rar
Afbeelding 5: Schermopname, voorbeeld van een PDF-lokmiddel gerelateerd aan phishing door Forest Blizzard bij defensieorganisaties.  Meer informatie over deze afbeelding op pagina 8 in het volledige rapport

Gedurende 2023 bleef MTAC Storm-1099 observeren, een aan Rusland gerelateerde beïnvloedingsactor die verantwoordelijk is voor een geavanceerde pro-Russische beïnvloedingsoperatie met als doelwit de internationale entiteiten die sinds de lente van 2022 Oekraïne ondersteunen.

Storm-1099 is misschien het meest bekend vanwege het grootschalig vervalsen van websites, een operatie die van onderzoeksgroep EU DisinfoLab de naam 'Doppelganger' heeft gekregen.19 De activiteiten van Storm-1099 omvatten ook unieke merkkanalen zoals Reliable Recent News (RRN), multimediaprojecten zoals de anti-Oekraïense animatieserie 'Ukraine Inc.' en plaatselijke demonstraties die de digitale en fysieke werelden overbruggen. Hoewel de toekenning niet volledig is, hebben Russische politieke technologen met goede financiële middelen, propagandisten en PR-specialisten met aantoonbare banden met de Russische staat verschillende Storm-1099-campagnes uitgevoerd en ondersteund.20

De operatie Doppelganger van Storm-1099 is ten tijde van dit rapport nog volledig in werking, ondanks voortdurende pogingen van technologiebedrijven en onderzoeksentiteiten om het bereik ervan te melden en te beperken.21 Terwijl deze actor historisch gezien West-Europa heeft aangevallen (Frankrijk en vooral Duitsland), zijn ook Italië en Oekraïne het doelwit geweest. In de afgelopen maanden heeft Storm-1099 de plaatselijke focus verlegd naar de Verenigde Staten en Israël. Deze overgang begon al in januari 2023 tijdens grootschalige protesten in Israël tegen de voorgestelde juridische hervorming. De overgang werd begin oktober geïntensiveerd na de aanvang van de oorlog tussen Israël en Hamas. Nieuw gemaakte merkkanalen laten een toenemende prioritering zien van politici in de Verenigde Staten en de aanstaande Amerikaanse presidentsverkiezingen van 2024, terwijl bestaande Storm-1099-assets nadrukkelijk (en onterecht) claimen dat Hamas Oekraïense wapens heeft aangekocht op de zwarte markt voor de aanvallen van 7 oktober in Israël.

Onlangs (eind oktober) observeerde MTAC accounts waarvan Microsoft beoordeelt dat het Storm-1099-assets zijn die een nieuwe soort vervalsing promoten, naast nepartikelen en nepwebsites op sociale media. Dit is een serie korte clips met nepnieuws, zogenaamd gemaakt door gerenommeerde kanalen die pro-Russische propaganda verspreiden om de ondersteuning van Oekraïne en Israël te ondermijnen. Hoewel deze tactiek (het inzetten van vervalste video's om propaganda te verspreiden) in de afgelopen maanden wijdverspreider is geobserveerd bij pro-Russische actoren, markeert de promotie van dit soort video-inhoud door Storm-1099 alleen maar de wisselende beïnvloedingstactieken en berichtendoelen van de actor.

Gepubliceerde artikelen op neppe Doppelganger-sites

De campagne die wordt uitgevoerd door de Russische cyberbeïnvloedingsactor Storm-1099 is waargenomen en bijgehouden door Microsoft.
Waargenomen en bijgehouden door Microsoft op 31 oktober 2023. Gepubliceerde artikelen over neppe Doppelganger-sites, de campagne die wordt uitgevoerd door de Russische cyberbeïnvloedingsactor Storm-1099.
Meer informatie over deze afbeelding op pagina 9 in het volledige rapport

Sinds de aanvallen van Hamas in Israël op 7 oktober, proberen Russische staatsmedia en aan de staat gerelateerde beïnvloedingsactoren de oorlog tussen Israël en Hamas te gebruiken om anti-Oekraïense verhaallijnen te promoten, een gevoel tegen de Verenigde Staten te wekken en de spanning te verscherpen tussen alle partijen. Deze activiteit, hoewel reagerend op de oorlog en in het algemeen met een beperkt bereik, betrekt zowel openlijk door de staat gesponsorde media als openlijk aan de staat gerelateerde socialemedianetwerken op meerdere socialemediaplatformen.

 

Verhaallijnen die door Russische propagandisten en pro-Russische socialemedianetwerken worden gepromoot, zijn bedoeld om Israël op te zetten tegen Oekraïne en de westerse steun voor Kyiv af te zwakken. In vervalsingen van gerenommeerde mediakanalen en in gemanipuleerde video's wordt onterecht geclaimd dat Oekraïne Hamasstrijders heeft voorzien van wapens. Een van de slechts vele voorbeelden van dergelijke inhoud is een inauthentieke video waarin wordt geclaimd dat buitenlandse rekruten (waaronder Amerikanen) worden overgeplaatst van Oekraïne naar de Gazastrook voor operaties van het Israëlisch defensieleger (Israel Defense Forces, of IDF). Deze video werd duizenden keren bekeken op verschillende socialemediaplatformen. Deze strategie introduceert anti-Oekraïense verhaallijnen bij een brede doelgroep en stuurt aan op betrokkenheid door valse verhaallijnen te vormen die passen bij nieuwsberichten van belangrijke ontwikkelingen.

 

Rusland vergroot ook de digitale beïnvloedingsactiviteit met de promotie van gebeurtenissen in de echte wereld. Russische kanalen hebben op een agressieve manier opruiende inhoud gepromoot waarin protesten tegen de oorlog tussen Israël en Hamas, plaatsvindend in het Midden-Oosten en Europa, worden vergroot. Onder andere via plaatselijke correspondenten van persbureaus van de Russische staat. Eind oktober 2023 veronderstelden Franse autoriteiten dat vier Moldaviërs waarschijnlijk verantwoordelijk waren voor het plaatsen van graffiti met davidssterren in openbare ruimten van Parijs. Twee van de Moldaviërs hebben naar verluidt geclaimd dat ze werden geïnstrueerd door een Russisch sprekende individu, de suggestie wekkend van mogelijke Russische verantwoordelijkheid voor de graffiti. Afbeeldingen van de graffiti werden later versterkt door assets van Storm-1099.22

 

Rusland beoordeelt waarschijnlijk dat het voortdurende conflict tussen Israël en Hamas in hun geopolitieke voordeel is, omdat het conflict het Westen zou kunnen afleiden van de oorlog in Oekraïne. MTAC volgt veelgebruikte tactieken uit het playbook van Rusland voor beïnvloeding en beoordeelt dat dergelijke actoren onlinepropaganda blijven verspreiden en gebruik blijven maken van andere belangrijke nationale gebeurtenissen om spanning te veroorzaken en te proberen het Westen te belemmeren om de Russische invasie van Oekraïne tegen te werken.

Anti-Oekraïne propaganda maakt al sinds voor de volledige invasie in 2022 een groot deel uit van de Russische beïnvloedingsactiviteit. In de afgelopen maanden hebben pro-Russische en aan Rusland gerelateerde beïnvloedingsnetwerken zich echter gefocust op het gebruik van video als een dynamischer medium om deze berichten te verspreiden, gekoppeld aan vervalsende maar gezaghebbende mediakanalen om gebruik te maken van hun geloofwaardigheid. MTAC heeft twee voortdurende campagnes waargenomen, uitgevoerd door onbekende, pro-Russische actoren. Deze campagnes bevatten de vervalsing (spoofing) van mainstream nieuws en mediamerken in de entertainmentindustrie om gemanipuleerde video-inhoud te verspreiden. Zoals eerdere Russische propagandacampagnes is deze activiteit gefocust op het beweren dat de Oekraïense president Volodymyr Zelensky een corrupte drugsverslaafde is en dat de westerse steun voor Kyiv nadelig is voor de bevolkingen van die landen. De inhoud van beide campagnes probeert voortdurend de steun voor Oekraïne te verkleinen, maar neemt verhaallijnen over die overeenkomen met opduikende gebeurtenissen in het nieuws. Bijvoorbeeld de implosie van de duikboot Titan in juni 2023 of de oorlog tussen Israël en Hamas zijn gebruikt om een bredere doelgroep te bereiken.

Diagram met een overzicht van vervalste (gespoofte) nieuwsclips

overzicht van vervalste (gespoofte) nieuwsclips
Meer informatie over deze afbeelding op pagina 11 in het volledige rapport

Een van deze videocampagnes betreft een serie gefabriceerde video's die onjuiste, anti-Oekraïense, aan het Kremlin gerelateerde thema's en verhaallijnen verspreiden in de gedaante van korte nieuwsberichten van mainstream mediakanalen. MTAC nam deze activiteit voor het eerst waar in april 2022 toen pro-Russische Telegram-kanalen een neppe BBC News-video postten. In deze video werd beweerd dat het Oekraïense leger verantwoordelijk was voor een raketaanval die tientallen burgers het leven kostte. De video's gebruiken het logo, kleurenschema en de esthetiek van de BBC. Ze bevatten Engelstalige ondertitels met fouten die vooral worden gemaakt als ze vanuit een Slavische taal naar het Engels worden vertaald.

Deze campagne ging door in 2022 en kwam in een versnelling in de zomer van 2023. Tijdens het samenstellen van dit rapport heeft MTAC meer dan twaalf vervalste mediavideo's waargenomen in de campagne. De meest vervalste kanalen zijn BBC News, Al Jazeera en EuroNews. Russischtalige Telegram-kanalen versterkten eerst de video's voordat ze zich verspreidden naar mainstream socialemediaplatformen

Schermopnamen van video's die het logo en de esthetiek van BBC News (links) en EuroNews (rechts) imiteren

Gefabriceerde nieuwsclips met Russisch-gezinde desinformatie
Microsoft Bedreigingsinformatie: Gefabriceerde nieuwskoppelingen: falen van Oekraïense militairen, HAMAS-aanval, valse Israëlische verantwoordelijkheid
Gefabriceerde nieuwsclips met Russisch-gezinde desinformatie. Schermopnamen van video's die het logo en de esthetiek van BBC News (links) en EuroNews (rechts) imiteren. Meer informatie over deze afbeelding op pagina 12 in het volledige rapport

Hoewel deze inhoud een beperkt bereik had, is het een geloofwaardige bedreiging voor toekomstige doelwitten na een verfijning of verbetering met de kracht van AI of als de inhoud verspreid wordt door een geloofwaardiger kanaal. De pro-Russische actor die verantwoordelijk is voor de vervalste nieuwsclips is gevoelig voor huidige gebeurtenissen in de wereld en behendig. Een vervalste BBC News-video claimde bijvoorbeeld onterecht dat de organisatie voor onderzoeksjournalistiek Bellingcat heeft ontdekt dat wapens die door Hamasstrijders zijn gebruikt, zijn verkocht aan de groep door Oekraïense militaire functionarissen via de zwarte markt. Deze video-inhoud komt nauw overeen met openbare verklaringen van de voormalige president van Rusland, Dmitri Medvedev, van slechts één dag voordat de video werd vrijgegeven. Dit demonstreert de sterke afstemming met openbare berichtgeving van de Russische overheid.23

Sinds juli 2023 verspreiden pro-Russische socialemediakanalen video's van beroemdheden, misleidend bewerkt om anti-Oekraïense propaganda te verspreiden. De video's, het werk van een onbekende Rusland-gezinde beïnvloedingsactor, lijken verspreid te worden via Cameo, een populaire website waar beroemdheden en andere publieke figuren aan de persoonlijke voorkeur aangepaste videoberichten kunnen opnemen en verzenden naar gebruikers die daarvoor betalen. De korte videoberichten, vaak met beroemdheden die met 'Vladimir' pleiten om hulp bij drugsmisbruik te zoeken, zijn bewerkt door de onbekende actor zodat ze emoji's en koppelingen bevatten. Video's circuleren via pro-Russische socialemediagemeenschappen en worden versterkt door aan de Russische staat gerelateerde en door de staat gerunde mediakanalen, valselijk afgeschilderd als berichten aan de Oekraïense president Volodymyr Zelensky. In sommige gevallen heeft de actor logo's van mediakanalen en socialemedianamen van beroemdheden toegevoegd om de video te laten lijken op een nieuwsclip als verslaggeving over de zogenaamde openbare verzoeken tot Zelensky of als eigen socialemediaposts van de beroemdheid. Functionarissen van het Kremlin en door de Russische staat gesponsorde propagandisten hebben lang de onterechte claim gepromoot dat president Zelensky worstelt met drugsmisbruik. Deze campagne markeert echter een nieuwe benadering door pro-Russische actoren die de verhaallijn verder willen uitbreiden: online in de informatieruimte.

De eerste video in de campagne werd eind juli waargenomen en bevat emoji's met de Oekraïense vlag, watermerken van het Amerikaanse mediakanaal TMZ en koppelingen naar een afkickkliniek en naar één van president Zelensky's officiële socialemediapagina's. Sinds eind oktober 2023 hebben pro-Russische socialemediakanalen nog zes video's gecirculeerd. Het is opmerkelijk dat op 17 augustus RIA Novosti, het nieuwskanaal van de Russische staat, een artikel publiceerde met een video waarin het lijkt alsof de Amerikaanse acteur John McGinley een authentiek beroep doet op Zelensky.24 Naast McGinley verschijnt er inhoud in de campagne van beroemdheden zoals de acteurs Elijah Wood, Dean Norris, Kate Flannery en Priscilla Presley, de muzikant Shavo Odadjian en de bokser Mike Tyson. Andere aan de staat gerelateerde Russische mediakanalen hebben ook de inhoud van de campagne versterkt, inclusief het door de Verenigde Staten gesanctioneerde mediakanaal Tsargrad.25

Stilstaande beelden uit video's met beroemdheden die pro-Russische propaganda lijken te promoten

stilstaande beelden uit video's met beroemdheden die pro-Russische propaganda lijken te promoten
Meer informatie over deze afbeelding op pagina 12 in het volledige rapport

Volgens de Oekraïense militaire commandant verplaatsen Russische strijders zich naar een nieuwe fase van statische oorlogsvoering in de loopgraven. Hierdoor lijkt het erop dat het conflict nog lang gaat duren.26 Kyiv heeft een stabiele bevoorrading van wapens en populaire ondersteuning nodig om weerstand te blijven bieden. Waarschijnlijk zullen we zien dat Russische cyber- en beïnvloedingsoperators hun pogingen versterken om de Oekraïense bevolking te demoraliseren en de externe middelen (militaire en financiële hulp) aan Kyiv te verkleinen.

Nu de winter nadert, zien we mogelijk opnieuw militaire aanvallen die gericht zijn op stroom- en watervoorzieningen in Oekraïne, in combinatie met vernietigende, uitvegende aanvallen op deze netwerken.27CERT-UA (de Oekraïense cyberbeveiligingsinstantie) heeft in september aangekondigd dat Oekraïense energienetwerken voortdurend bedreigd worden. Microsoft Bedreigingsinformatie heeft van augustus tot oktober artefacten waargenomen van GROe-activiteiten die bedreigend zijn voor Oekraïense netwerken in de energiesector.28 Microsoft heeft in augustus minstens één vernietigend gebruik van de Sdelete-voorziening waargenomen tegen het netwerk van een Oekraïens energiebedrijf.29

Buiten Oekraïne zijn de Amerikaanse presidentsverkiezingen en andere belangrijke politieke gebeurtenissen in 2024 een gelegenheid voor kwaadaardige beïnvloedingsactoren om hun video's en groeiende AI-vaardigheden in te zetten om ervoor te zorgen dat de politiek zich afwendt van verkozen functionarissen die zich inzetten om Oekraïne te steunen.30

Microsoft werkt op meerdere fronten aan het beveiligen van onze klanten in Oekraïne en wereldwijd tegen deze veelzijdige bedreigingen. Met ons Secure Future Initiative integreren we verbeteringen in door AI gedreven cyberverdediging en beveiligde engineering van software, met pogingen om internationale normen te versterken om burgers te beveiligen tegen cyberbedreigingen. 31 We implementeren ook resources met een kernset principes om kiezers, kandidaten, campagnes en verkiezingsautoriteiten wereldwijd te beveiligen, omdat volgend jaar meer dan twee miljard personen zich voorbereiden op betrokkenheid in het democratische proces.32

  1. [2]

    Voor technische informatie over de meest recente vernietigende aanvalsmethoden in Oekraïne raadpleeg je  https://go.microsoft.com/fwlink/?linkid=2262377

  2. [8]

    Gebaseerd op meldingen die zijn uitgegeven tussen 15 maart 2023 en 23 oktober 2023. 

  3. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  4. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  5. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  6. [29]

Verwante artikelen

Digitale bedreigingen uit Oost-Azië nemen toe in de reikwijdte en effectiviteit

Lees verder en verken opkomende trends in het zich ontwikkelende landschap van bedreigingen van Oost-Azië, waar China grootschalige cyber- en beïnvloedingsoperaties uitvoert en cyberbedreigingsactoren uit Noord-Korea toenemende geavanceerdheid demonstreren.

Iran gebruikt cyberbeïnvloeding-soperaties voor een groter effect

Microsoft Bedreigingsinformatie heeft een toenemend aantal cyberbeïnvloedingsoperaties vanuit Iran ontdekt. Ontvang bedreigingsinzichten met details van nieuwe technieken en waar het potentieel van toekomstige bedreigingen ligt.

De cyber- en beïnvloedings­operaties van de oorlog op het digitale strijdveld van Oekraïne

Microsoft Bedreigings­informatie onderzoekt een jaar van cyber- en beïnvloedings­operaties in Oekraïne, onthult nieuwe trends in cyberbedreigingen en wat je kunt verwachten nu de oorlog in het tweede jaar is.

Volg Microsoft Beveiliging