Trace Id is missing
Prejsť na hlavný obsah
Security Insider

Rozsah a efektivita digitálnych hrozieb z východnej Ázie rastú

Stiahnuť
Zdieľať
Človek sediaci pred počítačom

Úvod

Objavujú sa viaceré nové trendy, ktoré poukazujú na rýchlo sa meniace prostredie hrozieb vo východnej Ázii: Čína vykonáva rozsiahle operácie kybernetických hrozieb a ovplyvňovania a severokórejské zdroje hrozieb používajú čoraz sofistikovanejšie metódy.

Po prvé, skupiny narúšajúce kybernetickú bezpečnosť, ktoré majú väzby na čínske štátne orgány, sa mimoriadne zaujímajú o región Juhočínskeho mora, v ktorom svoju kybernetickú špionáž zameriavajú na vlády a iné kritické subjekty štátov obklopujúcich túto námornú oblasť. Popri tom má Čína v hľadáčiku aj obranný sektor USA a skúma americkú infraštruktúru, čo signalizuje snahu získať konkurenčné výhody pre čínske zahraničné vzťahy a strategické vojenské ciele.

Po druhé, Číne sa v minulom roku darilo do vplyvových operácií efektívnejšie zapájať používateľov sociálnych sietí . Taktiky čínskych online mienkotvorných kampaní boli dlho založené čisto na objeme: cez falošné kontá v sociálnych mediách oslovovali veľký počet používateľov. Od roku 2022 sa však siete na sociálnych sieťach napojené na Čínu priamo zapájajú do komunikácie s reálnymi používateľmi sociálnych sietí, zameriavajú sa na konkrétnych kandidátov v amerických voľbách a vydávajú sa za amerických voličov. Popri tom sa iniciatíve viacjazyčných influencerov na sociálnych sieťach s väzbami na čínske štruktúry podarilo osloviť cieľové skupiny v najmenej 40 jazykoch a zvýšiť počet svojich sledovateľov na viac ako 103 miliónov.

Po tretie, Čína v minulom roku pokračovala v rozširovaní svojich kampaní vplyvových operácií na nové jazyky a nové platformy s cieľom zvýšiť svoju globálnu pôsobnosť. Na sociálnych sieťach tieto kampane využívajú tisíce falošných kont na desiatkach webových lokalít, ktoré šíria mémy, videá a správy vo mnohých jazykoch. V online spravodajských médiách sa čínske štátne médiá taktne a účinne stavajú do pozície smerodajného hlasu v medzinárodnej diskusii o Číne, pričom využívajú rôzne prostriedky na ovplyvňovanie médií na celom svete. Napríklad jedna z kampaní šírila propagandu Komunistickej strany Číny (KSČ) cez lokalizované spravodajské weby zamerané na čínsku diaspóru vo viac než 35 krajinách.

Napokon je tu Severná Kórea, ktorej síce na rozdiel od Číny chýbajú spôsobilosti na sofistikované ovplyvňovanie, ale naďalej predstavuje veľkú kybernetickú hrozbu. Severná Kórea sa neustále snaží získavať spravodajské informácie a používa čoraz premyslenejšie taktiky, v ktorých využíva napríklad kaskádové útoky na dodávateľské reťazce a krádeže kryptomien.

Juhočínske more a kľúčové odvetvia v Spojených štátoch sú opäť terčom čínskych kybernetických operácií

Od začiatku roka 2023 služba Microsoft Analýza hrozieb identifikovala tri oblasti, na ktoré sa zdroje kybernetických hrozieb napojené na Čínu osobitne zameriavajú: Juhočínske more, obranná priemyselná základňa USA a kritická infraštruktúra USA.

Zameranie čínskych štátom podporovaných aktivít odráža strategické ciele v Juhočínskom mori

Záujem čínskych zdrojov hrozieb napojených na štátne štruktúry o Juhočínske more a Taiwan stále nepoľavuje, čo poukazuje na rozsiahle hospodárske, obranné a politické záujmy Číny v tomto regióne.1 Nezlučiteľné územné nároky, rastúce napätie v Taiwanskom prielive a zvýšená vojenská prítomnosť USA môžu Čínu viesť k ofenzívnym kybernetickým aktivitám.2

Spoločnosť Microsoft sleduje skupinu Raspberry Typhoon (RADIUM), ktorá je hlavným zdrojom hrozieb so zameraním na krajiny obklopujúce Juhočínske more. Cieľom neustávajúcich aktivít tejto skupiny sú ministerstvá, vojenské subjekty a podniky prepojené s kritickou infraštruktúrou, najmä s telekomunikačnými sieťami. Od januára 2023 je skupina Raspberry Typhoon mimoriadne aktívna. Pri útokoch na štátne ministerstvá alebo infraštruktúru zvyčajne získava spravodajské informácie a používa škodlivý softvér. V mnohých krajinách si za cieľ vyberá ministerstvá v rôznych rezortoch od obrany cez spravodajské služby až po hospodárstvo a obchod.

Najvýznamnejšou kyberskupinou, ktorá sa zameriava na ostrov Taiwan, je Flax Typhoon (Storm-0919). Táto skupina sa orientuje predovšetkým na telekomunikácie, vzdelávanie, informačné technológie a energetickú infraštruktúru, pričom do cieľovej siete zvyčajne priamo prenikne pomocou vlastného zariadenia VPN. Aj ďalšia skupina s názvom Charcoal Typhoon (CHROMIUM) sa zameriava na taiwanské vzdelávacie inštitúcie, energetickú infraštruktúru a moderné výrobné technológie. V roku 2023 sa terčom skupín Charcoal Typhoon a Flax Typhoon stali taiwanské podniky leteckého priemyslu, ktoré uzatvárajú zmluvy s taiwanskou armádou.

Mapa regiónu Juhočínskeho mora s vyznačením zaznamenaných incidentov v jednotlivých krajinách
Obrázok 1: Incidenty v období od januára 2022 do apríla 2023 zaznamenané v Juhočínskom mori, podľa krajiny. Ďalšie informácie o tomto obrázku nájdete na strane 4 celého znenia správy

Čínske zdroje hrozieb obracajú pozornosť na ostrov Guam, kde USA budujú základňu námornej pechoty

Na obrannú priemyselnú základňu USA sa zameriavajú viaceré čínske zdroje hrozieb, konkrétne Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) a Mulberry Typhoon (MANGANESE). Hoci sa ciele týchto troch skupín niekedy prekrývajú, ide o rozličných aktérov s odlišnou infraštruktúrou a schopnosťami.3

Circle Typhoon vykonáva širokú škálu kybernetických aktivít proti obrannej priemyselnej základni USA, ktorých súčasťou je aj vytváranie zdrojov, získavanie údajov, počiatočného prístupu a prístupu k prihlasovacím údajom. Pri útokoch na amerických dodávateľov v IT a obrannom sektore táto skupina často využíva zariadenia VPN. Volt Typhoon takisto vykonáva činnosti prieskumu namierené proti mnohým dodávateľom v americkom sektore obrany. Jedným z najčastejších cieľov týchto kampaní je práve Guam, predovšetkým podniky v oblasti satelitných komunikácií a telekomunikácií, ktoré na ostrove pôsobia.4

Typickou taktikou skupiny Volt Typhoon je narušenie malých kancelárskych a domácich smerovačov, zvyčajne s cieľom budovať si infraštruktúru.5 Na americkú obrannú priemyselnú základňu útočí aj skupina Mulberry Typhoon, ktorá využíva najmä zariadenia zamerané na zraniteľnosti typu zero-day.6 Zvýšený počet útokov na Guam predstavuje závažnú situáciu, keďže tento ostrov je najbližším americkým územím pri východnej Ázii a má kľúčový význam pre stratégiu USA v tomto regióne.

Čínske kyberskupiny ohrozujú americkú kritickú infraštruktúru

Spoločnosť Microsoft v posledných šiestich mesiacoch pozoruje aktivity kyberskupín napojených na čínske štátne štruktúry, ktoré sa usilujú narúšať kritickú infraštruktúru USA vo viacerých odvetviach, ako aj významné vytváranie zdrojov. Hlavnou skupinou, ktorá stojí za týmito aktivitami prinajmenšom od leta 2021, je Volt Typhoon, rozsah jej činnosti však stále nie je úplne známy.

Medzi cieľové sektory patrí doprava (napríklad prístavy a železnice), verejné služby (napríklad energetika a čistenie odpadových vôd), zdravotnícka infraštruktúra (vrátane nemocníc) a telekomunikačná infraštruktúra (vrátane satelitných komunikácií a systémov optického pripojenia). Spoločnosť Microsoft sa domnieva, že prostredníctvom tejto kampane by Čína mohla získať schopnosť narúšať kritickú infraštruktúru a komunikačné systémy medzi Spojenými štátmi a Áziou.7

Terčom čínskej kyberskupiny je približne 25 organizácií vrátane amerických vládnych subjektov

Skupina Storm-0558, ktorá patrí medzi čínske zdroje hrozieb, začala 15. mája používať sfalšované overovacie tokeny, aby získala prístup k e-mailovým kontám zákazníkov spoločnosti Microsoft približne v 25 organizáciách, medzi ktorými figurujú aj americké a európske štátne subjekty.8 Spoločnosť Microsoft túto kampaň úspešne zablokovala. Zámerom útoku bolo získať neoprávnený prístup k e-mailovým kontám. Spoločnosť Microsoft predpokladá, že táto činnosť zapadala do špionážnych cieľov tejto kyberskupiny. Storm-0558 sa v minulosti zameriavala na orgány americkej a európskej diplomacie.

Útoky Číny smerujú aj na jej strategických partnerov

S postupujúcim rozvíjaním čínskych bilaterálnych vzťahov a globálnych partnerstiev prostredníctvom iniciatívy Jeden pás, jedna cesta sa zdroje hrozieb napojené na Čínu púšťajú do paralelných kybernetických operácií namierených proti súkromným a verejným subjektom na celom svete. Čínske kyberskupiny obracajú pozornosť na krajiny zahrnuté do stratégie Komunistickej strany Číny Jeden pás, jedna cesta, a to aj na subjekty v Kazachstane, Namíbii, Vietname či iných krajinách.9 Súčasne čínske zdroje hrozieb sústavne zameriavajú rozsiahle aktivity na ministerstvá zahraničných vecí v rôznych štátoch Európy, Latinskej Ameriky a Ázie – cieľom je pravdepodobne priemyselná špionáž alebo získavanie spravodajských informácií.10 Keďže Čína rozširuje svoj globálny vplyv, možno očakávať aj ďalšie aktivity čínskych kyberskupín. Skupine Twill Typhoon (TANTALUM) sa len nedávno – v apríli 2023 – podarilo nabúrať do štátnych zariadení v Afrike a Európe, ako aj humanitárnych organizácií po celom svete.

Ovplyvňovanie na sociálnych sieťach pod taktovkou Komunistickej strany Číny má rastúci dosah na cieľové skupiny

Skrytým vplyvovým operáciám napojeným na Komunistickú strany Číny sa v súčasnosti darí oslovovať cieľové skupiny na sociálnych sieťach vo väčšej miere než doteraz, čo poukazuje na vyššiu sofistikovanosť a zdokonaľovanie online prostriedkov vplyvových operácií. Pred americkými voľbami do Kongresu v roku 2022 spoločnosť Microsoft a partneri z odvetvia zaznamenali kontá na sociálnych sieťach napojené na Komunistickú strany Číny, ktoré sa vydávali za amerických voličov – ide o novú praktiku vplyvových operácií napojených na Komunistickú stranu Číny.11 Tieto kontá vystupovali ako americkí občania naprieč politickým spektrom a reagovali na komentáre skutočných používateľov.

Z hľadiska správania aj obsahu sa tieto kontá vyznačujú mnohými dobre zdokumentovanými čínskymi taktikami, technikami a postupmi. Ide napríklad o kontá, ktoré sprvu uverejňujú príspevky v mandarínčine a neskôr prejdú na iný jazyk, reagujú na obsah z iných pročínskych zdrojov bezprostredne po jeho zverejnení a pri interakcii sa pridŕžajú modelu „zdroj a zosilňovač“.12 Na rozdiel od predchádzajúcich mienkotvorných kampaní aktérov napojených na Komunistickú stranu Číny, ktoré používali ľahko rozpoznateľné počítačom generované mená, zobrazované názvy a profilové obrázky13, tieto sofistikovanejšie kontá riadia skutočné osoby s fiktívnou alebo ukradnutou identitou, cez ktorú skrývajú pridruženosť ku Komunistickej strane Číny.

Kontá na sociálnych sieťach v tejto sieti sa vyznačujú podobným správaním ako aktivity, ktoré údajne vykonáva tzv. Špeciálna pracovná skupina 912, elitná skupina v rámci čínskeho ministerstva verejnej bezpečnosti. Podľa amerického ministerstva spravodlivosti skupina prevádzkovala trolliu farmu, ktorá na sociálnych sieťach vytvárala tisíce falošných online persón a šírila propagandu Komunistickej strany Číny namierenú proti aktivistom za demokraciu.

Približne v marci 2023 začali niektoré podozrivé čínske zdroje vplyvových operácií využívať na západných sociálnych sieťach generatívnu umelú inteligenciu na vytváranie vizuálneho obsahu. Ide o pomerne kvalitný vizuálny obsah, ktorý už pritiahol veľký počet reálnych používateľov sociálnych sietí. Tieto obrázky nesú znaky difúznych modelov tvorby obrázkov a dokážu zaujať lepšie než ťažkopádny vizuálny obsah predchádzajúcich kampaní. Používatelia takéto vizuály častejšie preposielajú aj napriek bežným známkam, podľa ktorých vidno, že ide o výtvor umelej inteligencie, napríklad keď má ľudská ruka viac než päť prstov.14

Dva príspevky na sociálnych sieťach vedľa seba, zobrazujúce rovnaký obrázok s tematikou hnutia Black Lives Matter.
Obrázok 2: Grafika s tematikou hnutia Black Lives Matter, ktorú najprv uverejnilo automatizované konto napojené na KSČ a o sedem hodín neskôr konto vydávajúce sa za konzervatívneho amerického voliča.
Propagandistický obrázok so Sochou slobody vytvorený pomocou umelej inteligencie.
Obrázok 3: Príklad obrázka vygenerovaného umelou inteligenciou, ktorý uverejnil podozrivý zdroj čínskych operácií ovplyvňovania. Socha slobody má na ruke, v ktorej drží pochodeň, viac než päť prstov. Ďalšie informácie o tomto obrázku nájdete na strane 6 celého znenia správy.
Štyri kategórie influencerov – novinári, lifestyloví influenceri, ľudia rovnakého postavenia a národnostné menšiny – usporiadané na osi od otvoreného po skryté ovplyvňovanie
Obrázok 4: Táto iniciatíva zahŕňa influencerov zatriedených do štyroch rozsiahlych kategórií na základe pôvodu, cieľových skupín, náboru a stratégií riadenia. Všetky osoby zahrnuté do našej analýzy majú priame väzby na čínske štátne médiá (napríklad vo forme zamestnaneckého pomeru, prijímania cestovných pozvánok či iných peňažných výmen). Ďalšie informácie o tomto obrázku nájdete na strane 7 celého znenia správy.

Iniciatíva influencerov z čínskych štátnych médií

Ďalšou stratégiou, ktorá priťahuje množstvo používateľov sociálnych sietí, je koncepcia Komunistickej strany Číny založená na „štúdiách s viacjazyčnými internetovými celebritami“ (多语种网红工作室).15 Viac ako 230 zamestnancov štátnych médií a rôznych pridružených osôb využíva silu skutočného hlasu a vydáva sa za nezávislých influencerov naprieč hlavnými západnými platformami sociálnych sietí.16 V rokoch 2022 a 2023 vychádzala nová influencerská hviezda v priemere každých sedem týždňov. Títo influenceri, ktorých najíma, školí, podporuje a financuje China Radio International (CRI) a ďalšie čínske štátne médiá, šíria precízne lokalizovanú propagandu Komunistickej strany Číny, ktorá dokáže zmysluplne zapojiť cieľové skupiny na celom svete. Dokopy oslovujú prinajmenšom 103 miliónov sledovateľov na rôznych platformách aspoň v 40 jazykoch.

Hoci influenceri uverejňujú zväčša neškodný obsah týkajúci sa životného štýlu, cieľom tejto techniky je zamaskovať propagandu Komunistickej strany Číny, ktorá prikrášľuje obraz Číny v zahraničí.

Stratégia náboru influencerov v čínskych štátnych médiách sa podľa všetkého zameriava na dve odlišné skupiny osôb: pracovníkov so skúsenosťami v žurnalistike (konkrétne v štátnych médiách) a čerstvých absolventov štúdia cudzích jazykov. Predovšetkým podnik China Media Group (materská spoločnosť CRI a CGTN) očividne priamo prijíma absolventov najlepších čínskych jazykových škôl, ako je Pekinská univerzita zahraničných štúdií a Čínska univerzita komunikačných štúdií. Ľudia, ktorí do tejto práce nenastúpia priamo z univerzity, sú často bývalí novinári a prekladatelia – len čo rozbehnú svoju kariéru influencera, odstránia si z profilu všetko, čo by mohlo naznačovať ich príslušnosť k štátnym médiám.

Laosky hovoriaci influencer Song Siao uverejnil vlog o životnom štýle, v ktorom hovorí o oživení čínskeho hospodárstva uprostred pandémie COVID-19.
Obrázok 5: Laosky hovoriaci influencer Song Siao uverejnil vlog o životnom štýle, v ktorom hovorí o oživení čínskeho hospodárstva uprostred pandémie COVID-19. Vo videu, ktoré sám natočil, navštívil predajňu áut v Pekingu a rozprával sa s miestnymi. Ďalšie informácie o tomto obrázku nájdete na strane 8 celého znenia správy
Príspevok na sociálnej sieti od anglicky píšucej influencerky Techy Rachel.
Obrázok 6: Anglicky píšuca influencerka Techy Rachel, ktorá zvyčajne uverejňuje príspevky o čínskych inováciách a technológiách, odbočila od svojich zvyčajných tém a zapojila sa do debaty o čínskom špionážnom balóne. Podobne ako ostatné čínske štátne médiá popiera, že balón slúžil na špionážne účely. Ďalšie informácie o tomto obrázku nájdete na strane 8 celého znenia správy

Influenceri oslovujú cieľové skupiny po celom svete najmenej v 40 jazykoch

Zemepisné zastúpenie jazykov, ktorými hovoria títo influenceri napojení na štát, predstavuje rastúci globálny vplyv Číny a jej regionálne priority. Najviac zastúpení sú influenceri hovoriaci ázijskými jazykmi (okrem čínštiny), ako napríklad hindčina, sinhalčina, afgánčina, laoština, kórejčina, malajčina a vietnamčina. Druhou najpočetnejšou skupinou sú anglicky hovoriaci influenceri.
Päť koláčových grafov znázorňujúcich rozdelenie influencerov z čínskych štátnych médií podľa jazyka.
Obrázok 7: Rozdelenie influencerov z čínskych štátnych médií podľa jazyka. Ďalšie informácie o tomto obrázku nájdete na strane 9 celého znenia správy

Zameranie Číny na cieľové skupiny po celom svete

Influenceri sa orientujú na sedem cieľových oblastí (jazykových skupín), ktoré sú rozdelené do geografických regiónov. Na obrázku nie je znázornená anglicky a čínsky hovoriaca cieľová skupina.

Čínske vplyvové operácie rozširujú svoj globálny dosah vo viacerých kampaniach

V roku 2023 Čína ďalej rozširovala rozsah svojich online vplyvových operácií oslovovaním cieľových skupín v nových jazykoch a na nových platformách. V týchto operáciách sa kombinuje otvorené používanie vysoko kontrolovaného štátneho mediálneho aparátu s využívaním skrytých alebo zastretých zdrojov v sociálnych médiách vrátane botov, pomocou ktorých sa „prepierajú“ a zosilňujú naratívy preferované KSČ.17

Spoločnosť Microsoft zaznamenala jednu takúto kampaň napojenú na KSČ, ktorá sa začala v januári 2022 a prebiehala aj v čase písania tohto článku. Bola zameraná na španielsku mimovládnu organizáciu Safeguard Defenders, ktorá odhalila existenciu viac než 50 zahraničných čínskych policajných staníc.18 V rámci tejto kampane bolo nasadených viac než 1 800 kont na viacerých platformách sociálnych médií a desiatkach webových lokalít s cieľom šíriť mémy, videá a správy, ktoré podporujú Komunistickú stranu Číny a kritizujú Spojené štáty a iné demokracie.

Tieto kontá vytvárali správy v nových jazykoch (holandčina, gréčtina, indonézština, švédčina, turečtina, ujgurčina a ďalšie jazyky) a na nových platformách (napríklad aj na Fandango, Rotten Tomatoes, Medium, Chess.com a VK). Napriek rozsahu a vytrvalosti tejto operácie sa jej príspevkom len zriedka podarí dosiahnuť zmysluplné zapojenie skutočných používateľov, čo poukazuje na primitívnosť činností týchto čínskych sietí.

Rad 30 známych log technologických značiek a zoznam 16 jazykov
Obrázok 8: Obsah uverejňovaný v rámci operácií ovplyvňovania napojených na KSČ sa objavil na mnohých platformách a v mnohých jazykoch. Ďalšie informácie o tomto obrázku nájdete na strane 10 celého znenia správy
Dve snímky obrazovky vedľa seba ako príklad videopropagandy v taiwanskom jazyku
Obrázok 9: Veľký počet zdieľaní príspevkov s videom v taiwanskom jazyku, v ktorom sa taiwanská vláda vyzýva, aby sa „vzdala“ Pekingu. Veľký rozdiel medzi počtom zobrazení a zdieľaní výrazne svedčí o koordinovanej činnosti operácií ovplyvňovania. Ďalšie informácie o tomto obrázku nájdete na strane 10 celého znenia správy

Skrytá globálna sieť spravodajských webových lokalít Komunistickej strany Číny

Ďalšou digitálnou mediálnou kampaňou, ktorá ilustruje rozšírenú pôsobnosť vplyvových operácií napojených na KSČ, je sieť viac než 50 spravodajských webových lokalít prevažne v čínskom jazyku, ktoré podporujú deklarovaný cieľ KSČ byť smerodajným hlasom vo všetkých médiách v čínskom jazyku na celom svete.19 Tieto nepridružené webové lokality určené pre rôzne komunity čínskej diaspóry po celom svete sa síce prezentujú ako vo veľkej miere nezávislé, ale na základe technických ukazovateľov, informácií o registrácii webových lokalít a spoločného obsahu s veľkou istotou usudzujeme, že ide o weby pridružené k Pracovnému oddeleniu jednotného frontu KSČ – orgánu zodpovednému za posilňovanie vplyvu KSČ za hranicami Číny: najmä prostredníctvom kontaktov s „Číňanmi v zámorí“.20
Mapa sveta s viac než 20 logami čínskych webových lokalít určených pre svetovú čínsku diaspóru.
Obrázok 10: Mapa s webovými lokalitami určenými pre čínsku diaspóru na celom svete, ktoré sa považujú za súčasť tejto mediálnej stratégie.  Ďalšie informácie o tomto obrázku nájdete na strane 11 celého znenia správy

Keďže mnohé z týchto lokalít majú spoločné IP adresy, pomocou dotazov na rozlíšenie domén v nástroji Microsoft Defender Analýza hrozieb sme dokázali odhaliť ďalšie lokality v sieti. Mnohé z týchto webových lokalít používajú spoločný klientsky webový kód HTML, v ktorom dokonca možno často nájsť vložené identické komentáre webových vývojárov na rôznych webových lokalitách. Viac ako 30 stránok využíva rovnaké aplikačné programové rozhranie (API) a systém správy obsahu od „stopercentného dcérskeho podniku“ spoločnosti China News Service (CNS), čo je mediálna agentúra spomínaného Pracovného oddelenia jednotného frontu (UFWD).21 Zo záznamov čínskeho ministerstva priemyslu a informačných technológií ďalej vyplýva, že táto technologická spoločnosť napojená na UFWD si spolu s ďalšou spoločnosťou zaregistrovala v tejto sieti najmenej 14 spravodajských webov.22 Takýmto využívaním dcérskych spoločností a mediálnych spoločností tretích strán môže UFWD dosiahnuť globálny dosah na cieľové skupiny a súčasne skrývať svoju priamu účasť.

Tieto webové lokality sa prezentujú ako nezávislí poskytovatelia spravodajstva, často však zverejňujú články, ktoré sú celé prevzaté z čínskych štátnych médií, a neraz pritom tvrdia, že ide o vlastný pôvodný obsah. Zatiaľ čo tieto weby vo veľkej miere pokrývajú medzinárodné spravodajstvo a publikujú všeobecné články čínskych štátnych médií, pri politicky citlivých témach sa v drvivej väčšine pridŕžajú naratívov preferovaných Komunistickou stranou Číny. Napríklad niekoľko stoviek článkov v rámci tejto siete webových lokalít propaguje nepravdivé tvrdenia, že vírus COVID-19 je biologická zbraň vyvinutá v americkom vojenskom laboratóriu biologického výskumu vo Fort Detrick.23 Lokality tiež často šíria vyhlásenia čínskych vládnych predstaviteľov a články štátnych médií, podľa ktorých vírus COVID-19 pochádza zo Spojených štátov, a nie z Číny. Tieto webové lokality ilustrujú mieru, v akej kontrola Komunistickej strany Číny prenikla do čínskojazyčného mediálneho prostredia, vďaka čomu strana dokáže prehlušiť kritické spravodajstvo o citlivých témach.

Tetivový diagram prekrývajúcich sa článkov uverejnených na viacerých lokalitách.
Obrázok 11: Webové lokality sa síce prezentujú ako jedinečné pre danú oblasť, ale zdieľajú identický obsah. Tento tetivový diagram znázorňuje prekrývajúce sa články uverejnené na viacerých lokalitách. Ďalšie informácie o tomto obrázku nájdete na strane 12 celého znenia správy
Snímky obrazovky s článkom China News Service, ktorý prevzali webové lokality zamerané na cieľové skupiny v Taliansku, Maďarsku, Rusku a Grécku
Obrázok 12: China News Service a ďalšie čínske štátne médiá uverejnili článok s názvom „WHO vo svojom vyhlásení odhaľuje temné biologické laboratóriá USA na Ukrajine“. Tento článok sa následne objavil na webových lokalitách zameraných na cieľové skupiny v Maďarsku, vo Švédsku, v západnej Afrike a Grécku. Ďalšie informácie o tomto obrázku nájdete na strane 12 celého znenia správy

Celosvetový dosah čínskych štátnych médií

Hoci sa v opisovanej kampani dbá na zastieranie zdrojov, webové lokality čínskych štátnych médií v dobrej viere predstavujú prevažnú väčšinu celosvetovej sledovanosti médií riadených Komunistickou stranou Číny. Dopĺňaním portfólia cudzích jazykov24, otváraním kancelárií čínskych štátnych medií v zahraničí25 a bezplatným poskytovaním obsahu s pozitívnym obrazom Pekingu26 Komunistická strana Číny rozširuje dosah svojho „diskusného vplyvu“ (话语权) a vnáša propagandu do spravodajských médií krajín po celom svete.27
Organizačná schéma predstavujúca prehľad ekosystému otvorenej propagandy KSČ.
Obrázok 13: Organizačná schéma predstavujúca prehľad funkcií a subjektov tvoriacich ekosystém otvorenej propagandy KSČ. Ďalšie informácie o tomto obrázku nájdete na strane 13 celého znenia správy

Meranie aktivity smerujúcej na webové lokality čínskych štátnych médií

Služba Microsoft AI for Good Lab vypracovala index na meranie tokov aktivity smerujúcich od používateľov mimo Číny do médií vo väčšinovom vlastníctve čínskej vlády. Týmto indexom sa meria podiel aktivity návštevníkov týchto lokalít na celkovej aktivite v rámci internetu podobne ako v prípade indexu ruskej propagandy (RPI), ktorý vznikol v júni 2022.28

Z pohľadu návštevnosti čínskych štátnych médií má dominujúce postavenie päť domén, na ktoré pripadá približne 60 % všetkých zobrazení stránok čínskych štátnych médií.

Grafické znázornenie návštevnosti čínskych mediálnych webov
Ďalšie informácie o tomto obrázku nájdete na strane 14 celého znenia správy

Pomocou tohto indexu možno objasniť trendy týkajúce sa relatívnej úspešnosti čínskych štátnych médií v rôznych zemepisných oblastiach v priebehu času. Napríklad spomedzi členských štátov Združenia národov juhovýchodnej Ázie (ASEAN) majú Singapur a Laos viac než dvojnásobnú relatívnu aktivitu smerujúcu na webové lokality čínskych štátnych medií oproti Bruneju, ktorý je na treťom mieste. Najnižšie sa umiestnili Filipíny – v porovnaní so Singapurom a Laosom smeruje z Filipín na webové lokality čínskych štátnych médií 30-násobne nižšia aktivita. V Singapure, kde je mandarínčina úradným jazykom, odráža vysoká návštevnosť čínskych štátnych médií vplyv Číny na spravodajstvo v mandarínčine. V Laose žije oveľa menej ľudí, ktorí hovoria po čínsky, takže vysoká návštevnosť poukazuje na relatívnu úspešnosť čínskych štátnych médií v prostredí tejto krajiny.

Snímka obrazovky s domovskou stránkou najnavštevovanejšej domény PhoenixTV.
Obrázok 14: Domovská stránka najnavštevovanejšej domény PhoenixTV, na ktorú pripadá 32 % všetkých zobrazení stránok. Ďalšie informácie o tomto obrázku nájdete na strane 14 celého znenia správy

Čoraz sofistikovanejšie severokórejské kybernetické operácie získavajú spravodajské informácie a prinášajú štátu príjmy

Severokórejské zdroje kybernetických hrozieb vykonávajú kybernetické operácie zamerané na 1. získavanie spravodajských informácií o činnostiach krajín považovaných za protivníkov štátu: Južnej Kórey, Spojených štátov a Japonska, 2. získavanie spravodajských informácií o vojenských kapacitách iných krajín s cieľom zlepšiť vlastné kapacity a 3. získavanie prostriedkov v kryptomenách pre svoj štát. V uplynulom roku spoločnosť Microsoft spozorovala, že ciele jednotlivých severokórejských zdrojov hrozieb sa vo väčšej miere prekrývajú a severokórejské skupiny používajú dômyselnejšie postupy.

Výskum v oblasti námorných technológií ako prioritný cieľ severokórejských kyberútokov a testovanie podmorských dronov a plavidiel

Za posledný rok služba Microsoft Analýza hrozieb zaznamenala väčšie prekrývanie cieľov severokórejských zdrojov hrozieb. Napríklad tri severokórejské zdroje hrozieb – Ruby Sleet (CERIUM), Diamond Sleet (ZINC) a Sapphire Sleet (COPERNICIUM) – v období od novembra 2022 do januára 2023 útočili na podniky námorného a lodiarskeho sektora. Takúto úroveň prekrývania cieľov medzi viacerými severokórejskými skupinami spoločnosť Microsoft zaznamenala prvýkrát. Naznačuje to, že výskum v oblasti námorných technológií bol v tom čase pre severokórejskú vládu vysokou prioritou. V marci 2023 Severná Kórea údajne skúšobne odpálila z ponorky dve strategické riadené strely s plochou dráhou letu smerom k Japonskému moru (nazývanému aj Východné more) ako varovaný signál v súvislosti s pripravovaným vojenským cvičením Južnej Kórey a USA s názvom Freedom Shield. Neskôr v tom istom mesiaci a v apríli Severná Kórea údajne otestovala dva podmorské útočné drony Haeil, ktoré vypustila pri svojom východnom pobreží smerom k Japonskému moru. Tieto testy námorných vojenských kapacít prebehli krátko po tom, ako tri severokórejské kybernetické skupiny uskutočnili útoky na subjekty námornej obrany, ktorých cieľom bolo získať spravodajské informácie.

Vysokoprioritné požiadavky severokórejského režimu na získavanie údajov spúšťajú útoky zdrojov hrozieb na podniky obranného priemyslu

Medzi novembrom 2022 a januárom 2023 spoločnosť Microsoft pozorovala druhý prípad prekrývania cieľov, keď skupiny Ruby Sleet a Diamond Sleet ohrozili podniky obranného priemyslu. Tieto zdroje hrozieb uskutočnili útoky na dve zbrojovky so sídlom v Nemecku a Izraeli. Signalizuje to, že severokórejská vláda poveruje viacero zdrojov hrozieb súčasne vysokoprioritnou úlohou získavať údaje, ktoré krajina potrebuje, aby zvýšila svoje vojenské spôsobilosti. Od januára 2023 skupina Diamond Sleet podnika útoky aj na spoločnosti obranného sektora v Brazílii, Česku, vo Fínsku, v Taliansku, Nórsku a Poľsku.
Koláčový graf znázorňujúci krajiny s najväčším počtom severokórejských kybernetických útokov na obranný priemysel
Obrázok 15: Ciele Severnej Kórey v rámci obranného priemyslu v jednotlivých krajinách od marca 2022 do marca 2023

Severná Kórea pokračuje v získavaní spravodajských informácií o ruskej vláde a obrannom priemysle

Viaceré severokórejské zdroje hrozieb sa v poslednom čase zameriavajú na ruskú vládu a obranný priemysel, ale súčasne Rusku poskytujú materiálnu podporu vo vojne na Ukrajine.32 V marci 2023 uskutočnila skupina Ruby Sleet kybernetický útok na letecký výskumný ústav v Rusku. Okrem toho skupina Onyx Sleet (PLUTONIUM) začiatkom marca narušila zariadenie patriace jednej ruskej univerzite. Nezávisle od toho boli v tom istom mesiaci z útočníckeho konta, ktoré sa pripisuje skupine Opal Sleet (OSMIUM), rozposlané phishingové e-maily adresované kontám ruských diplomatických vládnych subjektov. Severokórejské zdroje hrozieb možno využívajú príležitosť získavať spravodajské informácie o ruských subjektoch, keďže Rusko je aktuálne zaujaté vojnou na Ukrajine.

Severokórejské skupiny sa púšťajú do dômyselnejších operácií prostredníctvom krádeží kryptomien a útokov na dodávateľský reťazec

Spoločnosť Microsoft pozoruje, že severokórejské skupiny vykonávajú čoraz sofistikovanejšie operácie prostredníctvom krádeží kryptomien a útokov na dodávateľský reťazec. V januári 2023 Federálny úrad pre vyšetrovanie (FBI) verejne pripísal krádež 100 miliónov USD v kryptomenách zo systému Horizon Bridge spoločnosti Harmony v júni 2022 skupine Jade Sleet (DEV-0954), nazývanej aj Lazarus Group/APT38.33 Okrem toho spoločnosť Microsoft pripísala útok na dodávateľský reťazec spoločnosti 3CX z marca 2023 skupine Citrine Sleet (DEV-0139), ktorá využila predchádzajúci útok na dodávateľský reťazec istej americkej spoločnosti pôsobiacej v oblasti finančných technológií v roku 2022. Ide o prvý prípad, keď spoločnosť Microsoft zaznamenala, že skupina využila existujúci útok na dodávateľský reťazec, aby podnikla ďalší takýto útok, a dokazuje to rastúcu sofistikovanosť severokórejských kybernetických operácií.

Skupina Emerald Sleet využíva osvedčenú taktiku cielených phishingových útokov v snahe vylákať od expertov poznatky v oblasti zahraničnej politiky

Najaktívnejším severokórejským zdrojom hrozieb, ktorý spoločnosť Microsoft za posledný rok sledovala, je aj naďalej Emerald Sleet (THALLIUM). Táto skupina pokračuje v častej praktike rozposielania cielených phishingových e-mailov rôznym expertom na Kórejský polostrov z celého sveta, aby získavala spravodajské informácie. V decembri 2022 služba Microsoft Analýza hrozieb podrobne opísala phishingové kampane skupiny Emerald Sleet zamerané na vplyvných expertov na Severnú Kóreu zo Spojených štátov a iných krajín, ktoré sú spojencami USA. Ako spoločnosť Microsoft zistila, Emerald Sleet upustila od škodlivých súborov alebo prepojení na škodlivé webové lokality a namiesto toho využíva jedinečnú taktiku: vydáva sa za renomované akademické inštitúcie a mimovládne organizácie, aby od obetí vylákala expertízu a komentáre týkajúce sa zahraničnej politiky voči Severnej Kórei.

Spôsobilosti: ovplyvňovanie

Severná Kórea v minulom roku uskutočňovala obmedzené vplyvové operácie na platformách sociálnych sietí na zdieľanie videí, ako sú YouTube a TikTok.34 Severokórejskými influencermi na YouTube sú väčšinou ženy a dievčatá (jedno má len jedenásť rokov), ktoré uverejňujú vlogy o svojom každodennom živote a propagujú pozitívny obraz režimu. Niektoré influencerky hovoria vo svojich videách po anglicky, aby oslovili širšie cieľové skupiny na celom svete. V porovnaní s iniciatívou influencerov podporovaných čínskymi štátnymi médiami je severokórejské influencerské snaženie oveľa menej efektívne.

Výhľad do budúcnosti poznačenej geopolitickým napätím, ktoré podnecuje kybernetické aktivity a vplyvové operácie

Čína v posledných rokoch pokračuje v rozširovaní svojich kybernetických kapacít a prejavuje výrazne vyššie ambície v rámci mienkotvorných kampaní. Severná Kórea sa bude v blízkej budúcnosti naďalej zameriavať na ciele súvisiace s jej politickými, hospodárskymi a obrannými záujmami v regióne. Možno očakávať rozsiahlejšiu kybernetickú špionáž namierenú proti odporcom aj podporovateľom geopolitických cieľov Komunistickej strany Číny na všetkých kontinentoch. Hoci čínske kyberskupiny pokračujú v rozvíjaní a využívaní pôsobivých kybernetických kapacít, zatiaľ sme nezaznamenali, že by Čína kombinovala kybernetické operácie a vplyvové operácie tak, ako to robia Irán a Rusko, ktoré vedú hekerské kampane s únikom údajov.

Aktéri ovplyvňovania napojení na Čínu pôsobia v rozsahu, ktorý medzi ostatnými škodlivými aktérmi nemá obdobu, a sú pripravení ťažiť v nasledujúcich šiestich mesiacoch z viacerých trendov a udalostí zásadného významu.

Po prvé, bežnou normou v takýchto operáciách sa stáva využívanie videí a vizuálnych médií. Siete napojené na Komunistickú stranu Číny už dlho využívajú profilové obrázky vytvorené umelou inteligenciou a tento rok si osvojili postupy generovania vizuálnych mémov pomocou umelej inteligencie. Štátom podporovaní aktéri budú naďalej využívať služby súkromných štúdií na tvorbu obsahu a firiem pre vzťahy s verejnosťou, ktoré šíria propagandu na objednávku.35

Po druhé, Čína bude pokračovať v úsilí reálne zapájať cieľové skupiny a bude investovať čas a zdroje do kultivovaných zdrojov na sociálnych sieťach. Influenceri so znamenitými kultúrnymi a jazykovými znalosťami ponúkajúci vysokokvalitný videoobsah razia cestu úspešnému zapájaniu používateľov na sociálnych sieťach. Komunistická strana Číny bude na niektorých z týchto taktík, napríklad na interakcii s používateľmi sociálnych sietí a využívaní kultúrneho know-how, stavať v snahe posilniť skryté kampane na sociálnych sieťach.

Po tretie, dvoma hlavnými prioritami čínskych vplyvových operácií budú pravdepodobne aj naďalej Taiwan a Spojené štáty, najmä vzhľadom na nadchádzajúce voľby v oboch krajinách v roku 2024. Keďže voľby v USA boli terčom aktérov ovplyvňovania napojených na Komunistickú stranu Číny aj v nedávnej minulosti, je takmer isté, že sa to bude opakovať. Zdroje na sociálnych sieťach vydávajúce sa za amerických voličov budú pravdepodobne pôsobiť sofistikovanejšími metódami a aktívne zasievať rasové, sociálno-ekonomické a ideologické rozkoly prostredníctvom obsahu ostro kritizujúceho Spojené štáty.

  1. [1]
  2. [2]

    Vzhľadom na nové základne na Filipínach sa zvyšuje americká vojenská prítomnosť v regióne, https://go.microsoft.com/fwlink/?linkid=2262254.

  3. [3]

    Aktuálne chýbajú dostatočné dôkazy o prepojení týchto skupín.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093. Tieto štatistiky vychádzajú z údajov k aprílu 2023.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520. Títo aktéri ovplyvňovania sa niekedy označujú aj ako Spamouflage Dragon alebo DRAGONBRIDGE.
  18. [18]
  19. [19]
  20. [20]

    Pozri: Rámec Centra spoločnosti Microsoft pre analýzu hrozieb na určovanie vplyvových operácií. https://go.microsoft.com/fwlink/?linkid=2262095. Čínska vláda zvykne čínsku diaspóru označovať výrazom „Číňania v zámorí“ alebo 华侨 (chua-čchiao). Ide o osoby s čínskym občianstvom alebo pôvodom žijúce mimo ČĽR. Bližšie informácie o tom, koho Peking označuje za čínsku diaspóru, nájdete na adrese: https://go.microsoft.com/fwlink/?linkid=2262777.

  21. [21]
  22. [22]
  23. [23]

    Tento naratív rozšírila čínska vláda na začiatku pandémie COVID-19, pozri: https://go.microsoft.com/fwlink/?linkid=2262170. Webové lokality v rámci tejto siete, ktoré toto tvrdenie podporujú, sú napríklad: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439.

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Obrana Ukrajiny: Prvotné poznatky z kybernetickej vojny, https://go.microsoft.com/fwlink/?linkid=2262441.

  29. [29]
  30. [30]

    Názov aplikácie možno interpretovať aj ako slovné spojenie „sue-si čchiang-kuo“, teda „študuj myšlienky Si [Ťin-pchinga], posilni krajinu“. Názov je založený na slovnej hre so Si Ťin-pchingovým priezviskom. Vlády, univerzity a podniky v Číne kladú na používanie tejto aplikácie veľký dôraz a zamestnanci niekedy čelia obvineniam alebo trestom, ak ju dostatočne často nepoužívajú, pozri: https://go.microsoft.com/fwlink/?linkid=2262362.

  31. [31]

    Noviny vlastní spoločnosť Shanghai United Media Group, ktorá je zasa vo vlastníctve výboru Komunistickej strany v Šanghaji: https://go.microsoft.com/fwlink/?linkid=2262098.

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    Komunistická strana Číny v minulosti investovala do spoločností zo súkromného sektora, ktoré pomáhajú pri mienkotvorných kampaniach používaním techník manipulácie s aspektmi SEO, vytváraním falošných označení Páči sa mi to a sledujúcich a prostredníctvom ďalších služieb. O takýchto ponukách svedčia súťažné podklady, pozri: https://go.microsoft.com/fwlink/?linkid=2262522.

Operácie ovplyvňujúce kybernetickú bezpečnosť Správy týkajúce štátov východnej Ázie Správy týkajúce národných štátov Phishingový útok Zdroje hrozieb

Súvisiace články

Volt Typhoon sa zameriava na kritickú infraštruktúru USA pomocou techník LOTL (living-off-the-land)

Zistilo sa, že čínsky štátom podporovaný zdroj hrozby Volt Typhoon používa skryté techniky na zacielenie kritickej infraštruktúry v USA, vykonávanie špionáže a usadenie sa v zneužitom prostredí.
Ďalšie informácie

Propaganda v digitálnom veku: Ako operácie ovplyvňujúce kybernetickú bezpečnosť ničia dôveru

Preskúmajte svet operácií ovplyvňujúcich kybernetickú bezpečnosť, kde národné štáty šíria propagandu určenú na ohrozenie dôveryhodných informácií, ktoré demokracia potrebuje na svoj rozkvet.
Ďalšie informácie

Irán začína používať mienkotvorné operácie s podporou kybernetického šírenia s cieľom širšieho dosahu

Platforma Microsoft Analýza hrozieb odkryla nárast mienkotvorných operácií s podporou kybernetického šírenia z Iránu. Získajte podrobné informácie o hrozbách, ktoré prinášajú nové metódy a zistite, aké hrozby môže priniesť budúcnosť.
Ďalšie informácie

Sledujte Microsoft