Trace Id is missing

Digitalne grožnje iz vzhodne Azije rastejo v obsegu in učinkovitosti

Prenos
Skupna raba
Oseba sedi pred računalnikom

Uvod

Več nastajajočih trendov kaže na hitro spreminjajoče se okolje groženj v vzhodni Aziji, saj Kitajska izvaja obsežne kibernetske operacije in operacije vplivanja (IO), severnokorejski akterji kibernetskih groženj pa so vse bolj izpopolnjeni.

Prvič, s kitajsko državo povezane skupine za kibernetske grožnje se še posebej osredotočajo na območje Južnokitajskega morja in usmerjajo kibernetsko vohunjenje proti vladam in drugim kritičnim subjektom, ki obkrožajo to morsko območje. Medtem pa kitajsko usmerjanje v ameriški obrambni sektor in raziskovanje ameriške infrastrukture kaže na poskuse pridobivanja konkurenčnih prednosti za kitajske zunanje odnose in strateške vojaške cilje.

Drugič, Kitajska je v zadnjem letu postala učinkovitejša pri vključevanju uporabnikov družbenih medijev v IO. Kitajske kampanje spletnega vplivanja se že dolgo zanašajo na golo količino, da dosežejo uporabnike prek omrežij lažnih računov v družabnih medijih. Od leta 2022 pa so kitajska družabna omrežja neposredno sodelovala z uporabniki v družabnih medijih s preverjeno pristnostjo, v vsebinah o ameriških volitvah ciljala na določene kandidate in se izdajala za ameriške volivce. Kitajska večjezična pobuda za vplivneže v družbenih medijih, ki je povezana z državo, uspešno vključuje ciljno občinstvo v vsaj 40 jezikih in je povečala svoje občinstvo na več kot 103 milijone.

Tretjič, Kitajska je v zadnjem letu še naprej povečevala svoje kampanje za obveščanje javnosti, pri čemer je svoja prizadevanja razširila na nove jezike in nove platforme, da bi povečala svoj globalni vpliv. V družabnih medijih kampanje uporabljajo na tisoče lažnih računov na več deset spletnih mestih, kjer širijo meme, videoposnetke in sporočila v več jezikih. V spletnih medijih se kitajski državni mediji taktično in učinkovito predstavljajo kot avtoritativni glas v mednarodnem diskurzu o Kitajski, pri čemer uporabljajo različna sredstva za uveljavljanje vpliva na medije po vsem svetu. Ena od kampanj je širila propagando kitajske komunistične partije (KKP) prek lokalnih spletnih strani z novicami, namenjenih kitajski diaspori v več kot 35 državah.

Severna Koreja, ki v nasprotju s Kitajsko ni sposobna izvajati prefinjenega vpliva, ostaja velika kibernetska grožnja. Severna Koreja se še naprej zanima za zbiranje obveščevalnih podatkov in povečuje taktično prefinjenost, saj med drugim uporablja kaskadne napade na dobavno verigo in krajo kriptovalut.

Kitajske kibernetske operacije se ponovno osredotočajo na Južnokitajsko morje in ključne industrije v ZDA

Od začetka leta 2023 je ekipa Obveščanje o grožnjah Microsoft ugotovila tri področja, na katera se posebej osredotočajo s Kitajsko povezani akterji kibernetskih groženj: Južnokitajsko morje, ameriška obrambna industrijska baza in kritična infrastruktura ZDA.

Ciljanje, ki ga podpira kitajska država, odraža strateške cilje v Južnokitajskem morju

S kitajsko državo povezani akterji groženj se še naprej zanimajo za Južnokitajsko morje in Tajvan, kar odraža številne gospodarske, obrambne in politične interese Kitajske v tej regiji.1 Sporne ozemeljske zahteve, naraščajoče napetosti odnosov čez ožino ter povečana vojaška prisotnost ZDA so vse lahko motivi za kitajske ofenzivne kibernetske dejavnosti.2

Microsoft je izsledil skupino Raspberry Typhoon (RADIUM) kot primarno skupino groženj, ki cilja na države, ki obkrožajo Južnokitajsko morje. Skupina Raspberry Typhoon dosledno cilja vladna ministrstva, vojaške enote in podjetja, povezana s kritično infrastrukturo, zlasti telekomunikacijsko. Od januarja 2023 je skupina Raspberry Typhoon še posebej vztrajna. Pri napadih na vladna ministrstva ali infrastrukturo skupina Raspberry Typhoon običajno zbira obveščevalne podatke in izvaja zlonamerno programsko opremo. V številnih državah so tarče različnih ministrstev, od obrambnih in obveščevalnih do gospodarskih in trgovinskih.

Skupina Tajfun Flax (Storm-0919) je najpomembnejši vir groženj, ki je usmerjena na otok Tajvan. Ta skupina cilja predvsem na telekomunikacije, izobraževanje, informacijsko tehnologijo in energetsko infrastrukturo, običajno z uporabo prilagojene naprave VPN za neposredno vzpostavitev prisotnosti v ciljnem omrežju. Podobno so napadi skupine Charcoal Typhoon (CHROMIUM) usmerjeni proti tajvanskim izobraževalnim ustanovam, energetski infrastrukturi in visokotehnološki proizvodnji. Leta 2023 sta skupini Charcoal Typhoon in Flax Typhoon napade usmerili proti tajvanskim letalskim in vesoljskim podjetjem, ki sklepajo pogodbe s tajvansko vojsko.

Zemljevid regije Južnokitajskega morja z opazovanimi dogodki po državah
Slika 1: Opazovani dogodki po državah v Južnokitajskem morju od januarja 2022 do aprila 2023. Več o tej sliki najdete na strani 4 v celotnem poročilu

Kitajski napadalci pozornost obračajo na Guam, medtem ko ZDA gradijo oporišče mornariške pehote

Več skupin groženj s sedežem na Kitajskem še naprej napada ameriško obrambno industrijo, in sicer Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391)in Mulberry Typhoon (MANGANESE). Čeprav se cilji teh treh skupin občasno prekrivajo, gre za različne akterje z različno infrastrukturo in zmogljivostmi.3

Circle Typhoon izvaja številne kibernetske dejavnosti proti ameriški obrambni industrijski bazi, vključno z razvojem virov, zbiranjem, začetnim dostopom in dostopom do poverilnic. Skupina Circle Typhoon pogosto uporablja naprave VPN za napade na IT in obrambne izvajalce s sedežem v ZDA. Skupina Volt Typhoon je izvedla tudi izvidništvo proti številnim ameriškim obrambnim pogodbenikom. Guam je ena najpogostejših tarč teh akcij, zlasti tamkajšnje satelitske komunikacije in telekomunikacije.4

Pogosta taktika skupine Volt Typhoon vključuje ogrožanje usmerjevalnikov v majhnih pisarnah in doma, običajno z namenom izgradnje infrastrukture.5 Mulberry Typhoon je napade usmerila tudi v ameriško obrambno industrijsko bazo, predvsem z izkoriščanjem ranljivosti na ničelni dan, s ciljanjem na naprave.6 Pogostejši napadi na Guam so pomembni zaradi njegovega položaja kot najbližjega ozemlja ZDA v vzhodni Aziji in ključnega pomena za strategijo ZDA v regiji.

Kitajske skupine groženj ciljajo na kritično infrastrukturo ZDA

Microsoft je v zadnjih šestih mesecih opazil, da s kitajsko državo povezane skupine napadalcev napade usmerjajo na kritično infrastrukturo ZDA v več sektorjih in da so se znatno razvili viri. Tajfun Volt je glavna skupina, ki stoji za to dejavnostjo vsaj od poletja 2021, obseg te dejavnosti pa še vedno ni v celoti znan.

Ciljani sektorji vključujejo promet (kot so pristanišča in železnice), komunalne storitve (kot sta energetika in čiščenje vode), zdravstveno infrastrukturo (vključno z bolnišnicami) in telekomunikacijsko infrastrukturo (vključno s satelitskimi komunikacijami in sistemi optičnih vlaken). Microsoft ocenjuje, da bi ta akcija Kitajski lahko omogočila oviranje kritične infrastrukture in komunikacije med Združenimi državami in Azijo.7

Skupina groženj s sedežem na Kitajskem cilja na približno 25 organizacij, vključno z ameriškimi vladnimi ustanovami

S pričetkom 15. maja je Storm-0558, skupina groženj s sedežem na Kitajskem, uporabila ponarejene žetone za preverjanje verodostojnosti za dostop do Microsoftovih e-poštnih računov približno 25 organizacij, vključno z ameriškimi in evropskimi vladnimi ustanovami.8 Microsoft je to akcijo uspešno blokiral. Cilj napada je bila pridobitev nepooblaščenega dostopa do e-poštnih računov. Microsoft ocenjuje, da je bila ta dejavnost skladna z vohunskimi cilji skupine Storm-0558. Skupina Storm-0558 je v preteklosti že napadla ameriške in evropske diplomatske ustanove.

Kitajska se osredotoča tudi na svoje strateške partnerje

Ker je Kitajska v okviru pobude Belt and Road Initiative (BRI) okrepila svoje dvostranske odnose in globalna partnerstva, so s kitajsko državo povezani akterji groženj vzporedno izvajali kibernetske operacije proti zasebnim in javnim subjektom po vsem svetu. Skupine groženj s sedežem na Kitajskem ciljajo na države, ki so del BRI strategije Komunistične partije Kitajske, vključno z entitetami v Kazahstanu, Namibiji, Vietnamu in drugje.9 Medtem so razširjene kitajske grožnje dosledno usmerjene na tuja ministrstva s sedežem v Evropi, Latinski Ameriki in Aziji— najverjetneje z namenom gospodarskega vohunjenja ali zbiranja obveščevalnih podatkov.10 Ker Kitajska širi svoj globalni vpliv, ji bodo sledile tudi dejavnosti povezanih skupin groženj. Še aprila 2023 je Twill Typhoon (TANTALUM) uspešno ogrozila vladne aparate v Afriki in Evropi, ter tudi humanitarne organizacije po vsem svetu.

Operacije družbenih medijev, usklajene s KPK, povečujejo učinkovito vključevanje občinstva

Operacije prikritega vplivanja, povezane s Kitajsko komunistično partijo, so sedaj pričele uspešno sodelovati s ciljno publiko na družabnih omrežjih v večji meri, kot je bilo opaženo prej, kar predstavlja višjo raven prefinjenosti in negovanja spletnih sredstev operacij vplivanja. Pred vmesnimi volitvami v ZDA leta 2022 so Microsoft in industrijski partnerji opazili s Kitajsko komunistično partijo povezane račune na družabnih omrežjih, ki so se izdajali za ameriške volivce—novo področje za operacije vplivanja, povezane s Kitajsko komunistično partijo.11 Ti računi so se izdajali za Američane iz celotnega političnega spektra in so se odzivali na komentarje pristnih uporabnikov.

Tako po vedenju kot po vsebini ti računi prikazujejo številne dobro dokumentirane kitajske taktike, tehnike in postopke operacij vplivanja (TTP). Primeri vključujejo: račune, ki v začetni fazi objavljajo v mandarinščini, nato pa preidejo na drug jezik, sodelovanje z vsebinami iz drugih sredstev, povezanih s Kitajsko, takoj po objavi, ter uporabo vzorca interakcije »seme in ojačevalnik«.12 V nasprotju s prejšnjimi akcijami operacij vplivanja s strani akterjev, povezanih s Kitajsko komunistično partijo, ki so uporabljali lahko opazljiva računalniško ustvarjena imena, prikazna imena in profilne slike13, te bolj prefinjene račune upravljajo resnične osebe, ki uporabljajo izmišljene ali ukradene identitete, da prikrijejo pripadnost računov Kitajski komunistični partiji.

Računi družabnih omrežij v tej mreži kažejo podobno vedenje kot dejavnosti, ki naj bi jih izvajala elitna skupina znotraj Ministrstva za javno varnost (MPS), imenovana Posebna delovna skupina 912. Po podatkih ameriškega pravosodnega ministrstva je skupina upravljala farmo trolov v družbenih medijih, ki je ustvarila na tisoče lažnih spletnih osebnosti in širila propagando KPK, usmerjeno proti prodemokratičnim aktivistom.

Približno od marca 2023 so nekateri domnevni kitajski viri IO v zahodnih družbenih medijih pri ustvarjanju vizualnih vsebin začeli uporabljati generativno umetno inteligenco (AI). Ta relativno visokokakovostna vizualna vsebina je že pritegnila večje število pristnih uporabnikov družabnih medijev. Te slike nosijo značilnosti ustvarjanja slik na podlagi difuzije in so bolj privlačne od nerodnih vizualnih vsebin v prejšnjih akcijah. Uporabniki so pogosteje ponovno objavili te slike, kljub običajnim kazalnikom ustvaritve s strani UI—na primer, več kot pet prstov na roki osebe.14

Vzporedne objave v družabnih medijih, ki prikazujejo identične podobe Black Lives Matter.
Slika 2: Grafiko Black Lives Matter, ki jo je najprej naložil samodejni račun, povezan s KPK, je sedem ur pozneje naložil račun, ki se je izdajal za konservativnega volivca iz ZDA.
Propagandna podoba Kipa svobode, ustvarjena z umetno inteligenco.
Slika 3: Primer slike, ustvarjene z umetno inteligenco, ki jo je objavil domnevni vir kitajske skupine IO. Roka Kipa svobode, ki drži baklo, ima več kot pet prstov. Več o tej sliki najdete na strani 6 v celotnem poročilu
Štiri kategorije vplivnežev – novinarji, vplivneži življenjskega sloga, vrstniki in etnične manjšine – v razponu od odkritih do prikritih
Slika 4: To pobudo sestavljajo vplivneži, ki jih glede na njihovo ozadje, ciljno občinstvo, zaposlovanje in strategije upravljanja uvrščamo v štiri širše kategorije. Vsi posamezniki, vključeni v našo analizo, so neposredno povezani s kitajskimi državnimi mediji (na primer z zaposlitvijo, sprejemanjem povabil na potovanja ali drugo denarno izmenjavo). Več o tej sliki najdete na strani 7 v celotnem poročilu

Pobuda za vplivneže kitajskih državnih medijev

Druga strategija, ki na družabnih omrežjih pritegne pomembno udeležbo, je koncept “večjezičnih internetnih studiev slavnih” (多语种网红工作室) Kitajske komunistične partije.15 Z izkoriščanjem moči avtentičnih glasov se več kot 230 zaposlenih v državnih medijih in njihovih pridružencev izdaja za neodvisne vplivneže na vseh glavnih zahodnih platformah družabnih omrežij.16 V letih 2022 in 2023 novi vplivneži še naprej debitirajo v povprečju vsakih sedem tednov. Ti vplivneži, ki jih novačijo, usposabljajo, spodbujajo in financirajo China Radio International (CRI) in drugi kitajski državni mediji, širijo strokovno lokalizirano propagando Kitajske komunistične partije, s katero dosegajo pomembno sodelovanje s ciljnim občinstvom po vsem svetu, v skupnem vsaj 103 milijone sledilcev na različnih platformah, ki govorijo vsaj 40 jezikov.

Čeprav vplivneži večinoma objavljajo neškodljive vsebine o življenjskem slogu, se s to tehniko prikriva propaganda, povezana s KPK, ki si prizadeva omiliti podobo Kitajske v tujini.

Zdi se, da strategija kitajskih državnih medijev za zaposlovanje vplivnežev vključuje dve različni skupini posameznikov: tiste, ki imajo izkušnje z delom v novinarstvu (zlasti v državnih medijih), in nedavne diplomante programov tujih jezikov. Zlasti China Media Group (matična družba CRI in CGTN) neposredno zaposluje diplomante najboljših kitajskih šol za tuje jezike, kot sta Pekinška univerza za tuje študije in Kitajska univerza za komunikacije. Tisti, ki se ne zaposlijo neposredno na univerzah, so pogosto nekdanji novinarji in prevajalci, ki iz svojih profilov odstranijo vse izrecne znake pripadnosti državnim medijem, ko se »preoblikujejo« v vplivneže.

Vplivnež Song Siao, ki govori laoško, objavi vlog o življenjskem slogu, v katerem razpravlja o okrevanju kitajskega gospodarstva med pandemijo COVID-19.
Slika 5: Vplivnež Song Siao, ki govori laoško, objavi vlog o življenjskem slogu, v katerem razpravlja o okrevanju kitajskega gospodarstva med pandemijo COVID-19. V videoposnetku, ki ga je posnel sam, obišče prodajalno avtomobilov v Pekingu in se pogovarja z domačini. Več o tej sliki najdete na strani 8 v celotnem poročilu
Družabna objava vplivnice Techy Rachel, ki govori v angleškem jeziku.
Slika 6: Vplivnica Techy Rachel, ki govori v angleškem jeziku in običajno objavlja prispevke o kitajskih inovacijah in tehnologiji, se je oddaljila od svojih vsebinskih tem in se vključila v razpravo o kitajskem vohunskem balonu. Tako kot drugi kitajski državni mediji zanika, da je bil balon uporabljen za vohunjenje. Več o tej sliki najdete na strani 8 v celotnem poročilu

Vplivneži dosegajo svetovno občinstvo v vsaj 40 jezikih.

Geografska porazdelitev jezikov, ki jih govorijo ti, z državo povezani vplivneži, kaže na vse večji globalni vpliv Kitajske in njeno regionalno prednostno obravnavo. Največ vplivnežev, ki govorijo azijske jezike brez kitajščine, kot so hindujščina, sinhala, paštunščina, laošščina, korejščina, malajščina in vietnamščina, predstavlja največje število vplivnežev. Angleško govoreči vplivneži predstavljajo drugo največje število vplivnežev.
Pet tortnih grafov, ki prikazujejo razdelitev vplivnežev v kitajskih državnih medijih glede na jezik.
Slika 7: Razčlenitev vplivnežev v kitajskih državnih medijih glede na jezik. Več o tej sliki najdete na strani 9 v celotnem poročilu

Kitajska usmerja svoje vplive na ciljno občinstvo po vsem svetu

Vplivneži ciljajo na sedem področij občinstva (jezikovnih skupin), ki so razdeljena na geografske regije. Za občinstvo v angleškem ali kitajskem jeziku ni prikazanih grafov.

Kitajska skupina IO v več kampanjah širi globalni doseg

Kitajska je leta 2023 še razširila obseg svojih spletnih operacij vplivanja z doseganjem občinstva v novih jezikih in na novih platformah. Te operacije združujejo strogo nadzorovan odkrit državni medijski aparat s prikritimi ali nejasnimi sredstvi družabnih omrežij, vključno z boti, ki prilagajajo in širijo prednostna stališča Kitajske komunistične partije.17

Microsoft je opazil eno od takšnih s Kitajsko komunistično partijo povezanih akcij, ki se je pričela januarja 2022 in je v času tega pisanja še potekala, usmerjeno proti španski nevladni organizaciji Safeguard Defenders, potem ko je razkrila obstoj več kot 50 kitajskih policijskih postaj v tujini.18 Ta akcija je uporabila več kot 1800 računov prek različnih platform družabnih omrežij, in več deset spletnih mest, za širjenje s Kitajsko komunistično partijo povezanih memov, videoposnetkov in sporočil, ki so kritizirali Združene države Amerike in druge demokracije.

Ti računi so pošiljali sporočila v novih jezikih (nizozemščini, grščini, indonezijščini, švedščini, turščini, ujgurščini in drugih) in na novih platformah (med drugim Fandango, Rotten Tomatoes, Medium, Chess.com in VK). Kljub obsegu in vztrajnosti te operacije njene objave le redko pritegnejo pomembne pristne uporabnike, kar kaže na osnovno naravo dejavnosti teh kitajskih omrežij.

Nabor 30 znanih logotipov tehnoloških blagovnih znamk, ki so predstavljeni skupaj s seznamom 16 jezikov
Slika 8: Vsebina IO, usklajena s cilji KPK, je bila odkrita na številnih platformah in v številnih jezikih. Več o tej sliki najdete na strani 10 v celotnem poročilu
Primeri video propagande v tajvanskem jeziku v obliki posnetka zaslona, prikazano vzporedno
Slika 9: Veliko delitev objav videoposnetka v tajvanskem jeziku, ki poziva tajvansko vlado, naj se »preda« Pekingu. Velika razlika med prikazi in deleži zelo kaže na usklajeno dejavnost IO. Več o tej sliki najdete na strani 10 v celotnem poročilu

Prikrito globalno omrežje novičarskih spletišč Kitajske komunistične partije

Še ena digitalna medijska kampanja, ki ponazarja razširjeno področje delovanja operacij vplivanja, povezanih s Kitajsko komunistično partijo, je mreža več kot 50 novičarskih spletišč v pretežno kitajskem jeziku, ki podpirajo izraženi cilj Kitajske komunistične partije, da postane avtoritativni glas vseh medijev v kitajskem jeziku po celem svetu.19 Kljub temu, da se predstavljajo kot večinoma neodvisna, nepovezana spletna mesta, namenjena različnim skupnostim kitajske diaspore po svetu, na podlagi tehničnih kazalnikov, podatkov o registraciji spletnih mest in deljene vsebine z visoko stopnjo gotovosti ocenjujemo, da so ta spletna mesta povezana z Oddelkom za združeno delo (UFWD) Kitajske komunistične partije —organom, ki je odgovoren za krepitev vpliva Kitajske komunistične partije zunaj meja Kitajske: zlasti s povezovanjem z “zamejskimi Kitajci”.20
Zemljevid sveta z več kot 20 logotipi kitajskih spletnih strani, ki so namenjene svetovni kitajski diaspori.
Slika 10: Zemljevid spletnih strani, namenjenih svetovni kitajski diaspori, za katere se ocenjuje, da so del te medijske strategije.  Več o tej sliki najdete na strani 11 v celotnem poročilu

Ker si mnoga od teh spletnih mest delijo naslove IP, smo s poizvedovanjem po resolucijah domen s tehnologijo Obveščanje o grožnjah Microsoft Defender odkrili več spletnih mest v omrežju. Številna spletna mesta si delijo front-end spletno kodo HTML, pri čemer so celo komentarji spletnih razvijalcev, vključeni v kodo, pogosto enaki na različnih spletnih mestih. Več kot 30 spletnih mest izkorišča isti aplikacijski programski vmesnik (API) in sistem za upravljanje vsebine, ki ga je izdelala »hčerinska družba v stoodstotni lasti« China News Service (CNS), medijske agencije UFWD.21 Zapisi kitajskega ministrstva za industrijo in informacijsko tehnologijo nadalje razkrivajo, da sta to tehnološko podjetje, povezano z UFWD, in še eno registrirali vsaj 14 novičarskih spletnih mest v tem omrežju.22 Z uporabo hčerinskih družb in tretjih medijskih podjetij na ta način lahko UFWD doseže globalno občinstvo, hkrati pa prikrije svojo neposredno vpletenost.

Ta spletna mesta se izdajajo za neodvisne ponudnike novic, hkrati pa pogosto objavljajo iste članke kitajskih državnih medijev in pri tem pogosto trdijo, da so prvotni vir vsebine. Čeprav spletna mesta v veliki meri pokrivajo mednarodne novice in objavljajo splošne članke kitajskih državnih medijev, se politično občutljive teme večinoma ujemajo s prednostnimi stališči Kitajske komunistične partije. Na primer, več sto člankov v tej mreži spletnih mest objavlja lažne trditve, da je virus COVID-19 biološko orožje, izdelano v ameriškem vojaškem laboratoriju za biološke raziskave v Fort Detrick.23 Spletna mesta tudi pogosto krožijo izjave kitajskih vladnih uradnikov in članke državnih medijev, ki trdijo, da virus COVID-19 izvira iz Združenih držav in ne iz Kitajske. Ta spletna mesta ponazarjajo, v kolikšni meri je nadzor Kitajske komunistične partije prodrl v medijsko okolje v kitajskem jeziku, kar ji omogoča, da preglasi kritično poročanje o občutljivih temah.

Tetivni diagram prekrivajočih se člankov, ki jih je objavilo več spletnih mest.
Slika 11: Spletna mesta se izdajajo kot edinstvena za lokalno območje, vendar imajo enako vsebino. Ta diagram prikazuje prekrivajoče se članke, ki jih je objavilo več spletnih mest. Več o tej sliki najdete na strani 12 v celotnem poročilu
Posnetki zaslona ponovne objave članka China News Service na spletnih mestih, namenjenih občinstvu v Italiji, na Madžarskem, v Rusiji in Grčiji
Slika 12: China News Service in drugi kitajski državni mediji so objavili članek z naslovom »Izjava WHO razkriva temne biolaboratorije ZDA v Ukrajini«. Članek je bil nato objavljen na spletnih mestih, namenjenih občinstvu na Madžarskem, Švedskem, v Zahodni Afriki in Grčiji. Več o tej sliki najdete na strani 12 v celotnem poročilu

Globalni doseg kitajskih državnih medijev

Medtem ko je zgoraj opisana akcija znana po svoji nejasnosti, poverjena spletna mesta kitajskih državnih medijev predstavljajo veliko večino svetovnega občinstva medijev, ki jih usmerja Kitajska komunistična partija. S širjenjem v tuje jezike,24 odpiranjem uradov kitajskih državnih medijev v tujini25 in brezplačnim zagotavljanjem Pekingu prijaznih vsebin26 Kitajska komunistična partija širi doseg svoje “moči diskurza” (话语权) z vnašanjem propagande v novičarske medije držav po vsem svetu.27
Organizacijska shema, ki predstavlja posnetek odkritega propagandnega ekosistema Komunistične partije Kitajske.
Slika 13: Organigram, ki predstavlja posnetek funkcij in subjektov, ki so del ekosistema odprte propagande KPK. Več o tej sliki najdete na strani 13 v celotnem poročilu

Merjenje prometa do spletnih mest kitajskih državnih medijev

Microsoftova študija AI for Good Lab je razvila indeks za merjenje pretoka prometa uporabnikov zunaj Kitajske do medijev, ki so v večinski lasti kitajske vlade. Indeks meri delež prometa, ki obišče ta spletna mesta, v skupnem prometu na internetu, podobno kot ruski propagandni indeks (RPI), ki je bil uveden junija 2022.28

Pri porabi kitajskih državnih medijev prevladuje pet domen, ki predstavljajo približno 60 % vseh ogledov strani kitajskih državnih medijev.

Grafični prikaz potrošnje kitajskih medijev
Več o tej sliki najdete na strani 14 v celotnem poročilu

Indeks lahko osvetli trende v relativni uspešnosti kitajskih državnih medijev glede na geografijo v daljšem časovnem obdobju. Med državami članicami Združenja držav jugovzhodne Azije (ASEAN) na primer izstopata Singapur in Laos, ki imata več kot dvakrat večji obisk spletnih strani kitajskih državnih medijev kot Brunej na tretjem mestu. Na najnižjem mestu so Filipini, ki imajo 30-krat manjši obisk spletnih strani kitajskih državnih medijev kot Singapur in Laos. V Singapurju, kjer je mandarinščina uradni jezik, visoka poraba kitajskih državnih medijev odraža vpliv Kitajske na novice v mandarinščini. V Laosu je kitajsko govorečih precej manj, kar je odraz relativnega uspeha kitajskih državnih medijev v tamkajšnjem okolju.

Posnetek zaslona domače strani najbolj obiskane domene, PhoenixTV.
Slika 14: Domača stran najbolj obiskane domene PhoenixTV z 32 % vseh ogledov strani. Več o tej sliki najdete na strani 14 v celotnem poročilu

Vse bolj izpopolnjene severnokorejske kibernetske operacije zbirajo obveščevalne podatke in ustvarjajo prihodke za državo

Severnokorejski akterji kibernetskih groženj izvajajo kibernetske operacije za (1) zbiranje obveščevalnih podatkov o dejavnostih domnevnih nasprotnikov države: Južno Korejo, Združene države Amerike in Japonsko, (2) zbiranje obveščevalnih podatkov o vojaških zmogljivostih drugih držav za izboljšanje lastnih vojaških zmogljivosti in (3) zbiranje sredstev v kriptovalutah za državo. V zadnjem letu je Microsoft opazil večje prekrivanje ciljev med različnimi severnokorejskimi akterji groženj in večjo prefinjenost severnokorejskih skupin dejavnosti.

Prednostne naloge Severne Koreje na področju kibernetske tehnologije poudarjajo raziskave pomorske tehnologije med preizkušanjem podvodnih brezpilotnih letal in vozil

V zadnjem letu je ekipa Obveščanje o grožnjah Microsoft opazila, da se cilji severnokorejskih akterjev groženj vedno bolj prekrivajo. Tako so na primer trije severnokorejski akterji – Ruby Sleet (CERIUM), Diamond Sleet (ZINC) in Sapphire Sleet (COPERNICIUM) – od novembra 2022 do januarja 2023 svoje npade usmerjali na pomorski in ladjedelniški sektor. Microsoft doslej ni zaznal takšne stopnje prekrivanja ciljnih dejavnosti v več severnokorejskih skupinah, kar kaže na to, da je bilo raziskovanje pomorske tehnologije v tistem času pomembna prednostna naloga severnokorejske vlade. Marca 2023 naj bi Severna Koreja s podmornice poskusno izstrelila dve strateški manevrirni raketi proti Japonskemu morju (t. i. Vzhodno morje) kot opozorilo pred vojaško vajo Freedom Shield med Južno Korejo in ZDA. Kasneje in v naslednjem mesecu naj bi Severna Koreja preizkusila dve podvodni brezpilotni letali Haeil ob vzhodni obali države proti Japonskemu morju. Ti preskusi pomorskih vojaških zmogljivosti so se zgodili kmalu po tem, ko so tri severnokorejske kibernetske skupine napadle subjekte pomorske obrambe za zbiranje obveščevalnih podatkov.

Akterji ogrožajo obrambna podjetja, ko severnokorejski režim določi zahteve za zbiranje podatkov visoke prioritete

Od novembra 2022 do januarja 2023 je Microsoft opazil drugi primer prekrivanja ciljev, ko sta skupini Ruby Sleet in Diamond Sleet ogrožala obrambna podjetja. Dva akterja sta ogrozila dve podjetji za proizvodnjo orožja s sedežem v Nemčiji in Izraelu. To kaže, da severnokorejska vlada za izpolnjevanje prednostnih zahtev po zbiranju podatkov za izboljšanje vojaških zmogljivosti Severne Koreje naenkrat dodeljuje več skupin akterjev. Od januarja 2023 je skupina Diamond Sleet ogrozila tudi obrambna podjetja v Braziliji, na Češkem, Finskem, v Italiji, na Norveškem in Poljskem.
Tortni grafikon, ki prikazuje obrambno industrijo, na katero se Severna Koreja najbolj osredotoča, po državah
Slika 15: Ciljna obrambna industrija Severne Koreje po državah, od marca 2022 do marca 2023

Ruska vlada in obrambna industrija ostajata tarči Severne Koreje za zbiranje obveščevalnih podatkov

Številni severnokorejski akterji groženj so v zadnjem času napadali rusko vlado in obrambno industrijo, hkrati pa so Rusiji zagotavljali materialno podporo v vojni proti Ukrajini.32 Marca 2023 je akter Ruby Sleet napadel vesoljski raziskovalni inštitut v Rusiji. Poleg tega je akter Onyx Sleet (PLUTONIUM) v začetku marca ogrozil napravo, ki je bila v lasti univerze v Rusiji. V istem mesecu je račun napadalca, pripisan imenu Opal Sleet (OSMIUM), pošiljal tudi lažna e-poštna sporočila računom, ki so pripadali ruskim diplomatskim vladnim ustanovam. Severnokorejski akterji lahko izkoristijo priložnost za zbiranje obveščevalnih podatkov o ruskih subjektih, saj se ta država osredotoča na vojno v Ukrajini.

Severnokorejske skupine s krajo kriptovalut in napadi na dobavno verigo dokazujejo bolj izpopolnjene operacije

Microsoft ocenjuje, da severnokorejske skupine izvajajo vse bolj izpopolnjene operacije s krajo kriptovalut in napadi na dobavno verigo. Januarja 2023 je Zvezni preiskovalni urad (FBI) javno pripisal krajo 100 milijonov USD v kriptovaluti v juniju 2022 iz Harmonyevega Horizon Bridge Jade Sleet (DEV-0954), t.i. Lazarus Group/APT38.33 Poleg tega je Microsoft napad na dobavno verigo družbe 3CX marca 2023, ki je izkoristil prejšnjo ogrozitev dobavne verige podjetja s sedežem v ZDA s področja finančne tehnologije leta 2022, pripisal skupini Citrine Sleet (DEV-0139). To je bilo prvič, da je Microsoft opazil, da je skupina dejavnosti uporabila obstoječo ogroženost dobavne verige za izvedbo novega napada na dobavno verigo, kar kaže na vse večjo prefinjenost severnokorejskih kibernetskih operacij.

Skupina Emerald Sleet uporablja preizkušeno taktiko lažnega predstavljanja, s katero zvabijo strokovnjake v odgovor z zunanjepolitičnimi vpogledi

Skupina Emerald Sleet (THALLIUM) ostaja najaktivnejši severnokorejski akter, ki ga je Microsoft spremljal v zadnjem letu. Emerald Sleet strokovnjakom za Korejski polotok po vsem svetu še naprej pogosto pošilja elektronsko pošto z namenom zbiranja obveščevalnih podatkov. Ekipa Obveščanje o grožnjah Microsoft je decembra 2022 podrobno opisala kampanje napadov skupine Emerald Sleet z lažnim predstavljanjem, usmerjene proti vplivnim strokovnjakom za Severno Korejo v Združenih državah Amerike in državah, ki so zaveznice ZDA. Microsoft je ugotovil, da skupina Emerald Sleet ne pošilja zlonamernih datotek ali povezav do zlonamernih spletišč, temveč uporablja edinstveno taktiko: izdaja se za ugledne akademske ustanove in nevladne organizacije. Od žrtev želite pridobiti odgovore s strokovnimi spoznanji in komentarji o zunanji politiki v zvezi s Severno Korejo.

Zmogljivosti: Vpliv

Severna Koreja je v zadnjem letu izvajala omejene operacije vplivanja na platformah družabnih omrežij za izmenjavo videoposnetkov, kot sta YouTube in TikTok.34 Severnokorejski vplivneži na YouTube so večinoma dekleta in ženske, od katerih je ena stara zgolj enajst let, ki objavljajo vlog-e o svojem vsakdanjem življenju in spodbujajo pozitivna stališča o režimu. Nekateri vplivneži v svojih videoposnetkih govorijo angleško z namenom, da bi dosegli širše svetovno občinstvo. Severnokorejski vplivneži so veliko manj učinkoviti od vplivnežev, ki jo podpirajo kitajski državni mediji.

Pogled v prihodnost zaradi geopolitičnih napetosti, ki spodbujajo kibernetske dejavnosti in vplivajo na operacije

Kitajska je v zadnjih letih še naprej širila svoje kibernetske zmogljivosti in pokazala veliko več ambicij v svojih kampanjah IO. V bližnji prihodnosti naj bi se Severna Koreja še naprej osredotočala na cilje, povezane z njenimi političnimi, gospodarskimi in obrambnimi interesi v regiji. Pričakujemo lahko obsežnejše kibernetsko vohunjenje proti nasprotnikom in podpornikom geopolitičnih ciljev KPK na vseh celinah. Čeprav kitajske skupine še naprej razvijajo in uporabljajo osupljive kibernetske zmogljivosti, nismo opazili, da bi Kitajska združevala kibernetske in vplivne operacije - v nasprotju z Iranom in Rusijo, ki izvajata kampanje vdora in uhajanja.

Kitajskim vplivnežem, ki svoje dejavnosti izvajajo prilagojeno, drugi zlonamerni akterji niso kos. Kitajski vplivneži bodo v naslednjih šestih mesecih izkoristili več ključnih trendov in dogodkov.

Prvič, operacije, ki uporabljajo video in vizualne medije, postajajo stalnica. Omrežja, povezana s Kitajsko komunistično partijo, že dolgo uporabljajo slike profilov, ustvarjene z UI, letos pa so za vizualne meme uporabili UI ustvarjeno umetnost. Akterji, ki jih podpira država, bodo ravno tako nadaljevali z uporabo zasebnih studiev za vsebine in podjetij za odnose z javnostmi za zunanje izvajanje propagande na zahtevo.35

Drugič, Kitajska si bo še naprej prizadevala za pristno sodelovanje z občinstvom ter vlagala čas in sredstva v negovanje sredstev družabnih omrežij. Vplivneži s poglobljenim kulturnim in jezikovnim znanjem ter visokokakovostnimi video vsebinami so bili pionirji uspešnega vključevanja v družbene medije. KPK bo nekatere od teh taktik, vključno z interakcijo z uporabniki družbenih medijev in izkazovanjem kulturnega znanja, uporabila za okrepitev svojih prikritih kampanj v družbenih medijih.

Tretjič, Tajvan in Združene države Amerike bodo verjetno ostale dve najpomembnejši prednostni nalogi kitajskega IO, zlasti zaradi prihajajočih volitev v obeh državah leta 2024. Glede na to, da so vplivni akterji, povezani s kitajsko komunistično stranko, v bližnji preteklosti napadali volitve v ZDA, je skoraj gotovo, da bodo to storili tudi tokrat. Viri v družbenih medijih, ki se izdajajo za ameriške volivce, bodo verjetno pokazali bolj izpopolnjene oblike vplivanja in bodo z vsebino, ki bo ostro kritična do Združenih držav, aktivno sejali nesoglasja na rasni, socialno-ekonomski in ideološki ravni.

  1. [1]
  2. [2]

    Nova oporišča na Filipinih povečujejo vojaško prisotnost ZDA v regiji, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    Trenutno ni dovolj dokazov, da bi skupine povezali med seboj.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; Ti statistični podatki odražajo podatke iz aprila 2023.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Takšni akterji vplivanja so včasih znani kot »Spamouflage Dragon« ali »DRAGONBRIDGE«.
  18. [18]
  19. [19]
  20. [20]

    Glejte: Ogrodje Microsoftovega centra za obrambo pred kibernetskimi napadi za pripisovanje vplivanja. https://go.microsoft.com/fwlink/?linkid=2262095; Kitajska vlada kitajsko diasporo običajno imenuje »čezmorski Kitajci« ali 华侨 (huaqiao) in s tem označuje osebe s kitajskim državljanstvom ali dediščino, ki živijo zunaj LRK. Če želite več podrobnosti o pekinški razlagi kitajske diaspore, glejte:  https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Kitajska vlada je to zgodbo sprožila na začetku pandemije COVID-19, glejte:  https://go.microsoft.com/fwlink/?linkid=2262170;  Spletna mesta znotraj tega omrežja, ki spodbujajo to trditev, vključujejo: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Obramba Ukrajine: Začetne lekcije kibernetske vojne«, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Druga razlaga besede xuexi qiangguo je »Preuči Xi, okrepi državo«. Ime je besedna igra s priimkom Xi Jinpinga. Vlade, univerze in podjetja na Kitajskem močno spodbujajo uporabo aplikacije in včasih sramotijo ali kaznujejo podrejene zaradi redke uporabe, glejte: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    Časopis je v lasti skupine Shanghai United Media Group, ta pa je v lasti Odbora komunistične partije v Šanghaju: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    KPK je v preteklosti že vlagala v podjetja iz zasebnega sektorja, ki pomagajo kampanjam IO s tehnikami manipulacije SEO, lažnimi všečki in sledilci ter drugimi storitvami. Dokumentacija o javnih naročilih razkriva takšne ponudbe, glejte: https://go.microsoft.com/fwlink/?linkid=2262522

Postopki kibernetskega vpliva Poročilo o vzhodni Aziji na državni ravni Poročila na državni ravni Lažno predstavljanje Akterji grožnje

Sorodni članki

Volt Typhoon svoje napade usmerja v kritično infrastrukturo Združenih držav, pri čemer uporablja tehnike življenja od zemlje (LotL)

Pri akterju grožnje, ki ga podpira kitajska država, Volt Typhoon so opazili uporabo prikritih tehnik usmerjenih v kritično infrastrukturo Združenih držav, vohunjenje in preživljanje časa v ogroženih okoljih.
Več informacij

Propaganda v digitalni dobi: Kako postopki kibernetskega vpliva slabijo zaupanje

Preglejte svet postopkov kibernetskega vpliva, kjer na državni ravni poteka distribucija propagande, zasnovane, da ogrozi zaupanja vredne informacije, ki so potrebne za uspešno rast demokracije.
Več informacij

Iran vse pogosteje uporablja kibernetsko omogočene postopke vpliva za večji učinek

Obveščanje o grožnjah Microsoft je zaznalo povečane kibernetsko omogočene postopke vpliva v Iranu. Zagotovite si vpoglede v grožnje s podrobnostmi o novih tehnikah in kje leži morebitne grožnje v prihodnosti.
Več informacij

Spremljajte Microsoft