Trace Id is missing

Ruski napadalci se utrjujejo in želijo izkoristiti utrujenost od vojne

Prenesite
Skupna raba
Postopki kibernetskega vpliva
Uvod
Ruski kibernetski napadalci in vplivneži so med vojno proti Ukrajini pokazali prilagodljivost in preizkušali nove načine pridobivanja prednosti na bojišču ter zmanjševanja virov domače in zunanje podpore Kijeva. V tem poročilu bodo podrobno opisane dejavnosti kibernetskih napadov in zlonamernih vplivanj, ki jih je Microsoft opazil med marcem in oktobrom 2023. V tem času so bili ukrajinska vojska in civilno prebivalstvo znova na muhi. Zaradi nevarnosti vdora in manipulacije pa se je povečala podpora vseh po svetu, ki so pomagali Ukrajini in skušali od ruskih sil zahtevati odgovornost za vojne zločine.

Faze ruske vojne v Ukrajini od januarja 2022 do junija 2023

Graf, ki prikazuje faze ruske vojne v Ukrajini
Več informacij o tej sliki najdete na strani 3 v celotnem poročilu

Grožnje, ki jih je Microsoft opazil v obdobju od marca do oktobra, so odražale združene poskuse demoralizacije ukrajinske javnosti in večjo osredotočenost na kibernetsko vohunjenje. Ruski vojaški, kibernetski in propagandni akterji so sredi svetovne žitne krize usmerili usklajene napade na ukrajinski kmetijski sektor – civilno infrastrukturo. Kibernetske grožnje, povezane z rusko vojaško obveščevalno službo (GRU), so bile usmerjene v kibernetsko vohunjenje proti ukrajinski vojski in njenim tujim oskrbovalnim linijam. Medtem ko si je mednarodna skupnost prizadevala kaznovati vojne zločine, so skupine, povezane z rusko zunanjo obveščevalno službo (SVR) in zvezno varnostno službo (FSB), napadale preiskovalce vojnih zločinov v Ukrajini in zunaj nje.

Na področju vpliva sta kratek upor junija 2023 in poznejša smrt Jevgenija Prigožina, lastnika skupine Wagner Group in zloglasne farme trolov Internet Research Agency, sprožila vprašanja o prihodnosti ruskih vplivnih zmogljivosti. Microsoft je to poletje opazil obsežne operacije organizacij, ki niso bile povezane s Prigožinom, kar kaže na prihodnost ruskih kampanj zlonamernega vplivanja brez njega.

Ekipe platforme Obveščanje o grožnjah Microsoft in odzivanja na dogodke so obvestile prizadete stranke in vladne partnerje ter sodelovale z njimi, da bi omilile dejavnosti grožnje, opisane v tem poročilu.

Ruske sile se pri povzročanju škode v Ukrajini bolj zanašajo na konvencionalno orožje, vendar kibernetski napadi in zlonamerna vplivanja še vedno predstavljajo grožnjo za varnost računalniških omrežij in civilnega življenja ukrajinskih zaveznikov v regiji, Natu in po vsem svetu. Poleg posodabljanja varnostnih izdelkov za proaktivno zaščito naših strank po vsem svetu delimo te informacije zato, da bi spodbudili nenehno budnost pred grožnjami celovitosti svetovnega informacijskega prostora.

Ruske kinetične, kibernetske in propagandne sile so se letos poleti usmerile proti ukrajinskemu kmetijskemu sektorju. Vojaški napadi so uničili količine žita, s katerimi bi lahko eno leto nahranili več kot milijon ljudi, proruski mediji pa so kljub humanitarnim stroškom s svojimi zgodbami opravičevali napade.1

Ekipa Obveščanje o grožnjah Microsoft je od junija do septembra opazila prodor v omrežje, nepooblaščeno izvažanje podatkov in celo destruktivno zlonamerno programsko opremo, uporabljeno v organizacijah, povezanih z ukrajinsko kmetijsko industrijo in infrastrukturo za prevoz žita. Junija in julija je podjetje Aqua Blizzard (nekdanji ACTINIUM) ukradlo podatke iz podjetja, ki pomaga pri spremljanju pridelkov. Družba Seashell Blizzard (nekdanji IRIDIUM) je v omrežjih prehrambnega/ kmetijskega sektorja uporabljala različice osnovne uničevalne zlonamerne programske opreme, ki jo Microsoft zazna kot WalnutWipe/SharpWipe.2

Razčlenitev ruskih digitalnih propagandnih dejavnosti, usmerjenih proti ukrajinskemu kmetijstvu

Prikaz ruskih digitalnih propagandnih dejavnosti, usmerjenih proti ukrajinskemu kmetijstvu
Več informacij o tej sliki najdete na strani 4 v celotnem poročilu

Julija je Moskva izstopila iz črnomorske žitne pobude, humanitarnega prizadevanja, ki je pomagalo preprečiti svetovno prehransko krizo in v prvem letu omogočilo prevoz več kot 725.000 ton pšenice ljudem v Afganistanu, Etiopiji, Keniji, Somaliji in Jemnu.3 Po dejanju Moskve so proruski mediji in kanali Telegram začeli blatiti žitno pobudo in opravičevati odločitev Moskve. Propagandni mediji so žitni koridor prikazovali kot krinko za trgovino s prepovedanimi drogami ali kot sredstvo za prikrit prenos orožja, da bi zmanjšali humanitarni pomen sporazuma.

V več poročilih za leto 2023 smo poudarili, kako so si legitimne ali psevdohekerske skupine, za katere obstaja sum, da so povezane z GRU, prizadevale okrepiti nezadovoljstvo Moskve z nasprotniki in pretiravati s številom proruskih kibernetskih sil.4 5 6 Letos poleti smo opazili tudi, da so hekerji na Telegramu širili sporočila, ki so poskušala upravičiti vojaške napade na civilno infrastrukturo v Ukrajini in usmerjala napade porazdeljenega ogrožanja storitev (DDoS) na ukrajinske zaveznike v tujini. Microsoftovo stalno spremljanje prepletanja hekerskih skupin z državnimi akterji ponuja dodaten vpogled v operativni tempo obeh subjektov in načine, kako njihove dejavnosti dopolnjujejo cilje drug drugega.

Do zdaj smo identificirali tri skupine – Solntsepek, InfoCentr in Cyber Army of Russia -, ki sodelujejo s podjetjem Seashell Blizzard. Odnos družbe Seashell Blizzard s hekerskimi skupinami je morda kratkoročna uporaba in ne nadzor, kar temelji na začasnem povečanju kibernetskih zmogljivosti hekerjev, ki sovpada z napadi družbe Seashell Blizzard. Podjetje Seashell Blizzard občasno izvede uničujoč napad, za katerega javno prevzame odgovornost hekerska skupina Telegram. Hekerji se nato vrnejo k manj zahtevnim akcijam, ki jih običajno izvajajo, vključno z napadi DDoS ali krajo ukrajinskih osebnih podatkov. Omrežje predstavlja prilagodljivo infrastrukturo, ki jo lahko skupina APT uporabi za spodbujanje svojih dejavnosti.

Krog pro-ruskega hektivizma

Graf, ki prikazuje številčnico proruskega haktivizma
Več informacij o tej sliki najdete na strani 5 v celotnem poročilu

Ruske sile se ne ukvarjajo le z dejanji, ki bi lahko bila v nasprotju z mednarodnim pravom, temveč tudi z napadi na kriminalistične preiskovalce in tožilce, ki vodijo postopke proti njim.

Microsoftova telemetrija je razkrila, da so akterji, povezani z rusko vojsko in tujimi obveščevalnimi agencijami, spomladi in poleti letos ciljali in vdirali v ukrajinska pravna in preiskovalna omrežja ter omrežja mednarodnih organizacij, ki sodelujejo pri preiskavah vojnih zločinov.

Te kibernetske operacije so se zgodile ob vse večjih napetostih med Moskvo in skupinami, kot je Mednarodno kazensko sodišče, ki je marca izdalo nalog za aretacijo ruskega predsednika Putina zaradi obtožb o vojnih zločinih.7

Aprila je podjetje Seashell Blizzard, povezano z GRU, kompromitiralo omrežje odvetniške pisarne, ki se ukvarja s primeri vojnih zločinov. Družba Aqua Blizzard, ki jo pripisujejo FSB, je julija vdrla v notranje omrežje velikega ukrajinskega preiskovalnega organa, nato pa septembra uporabila kompromitirane račune in več ukrajinskim telekomunikacijskim podjetjem poslala lažna e-poštna sporočila.

Akterji SVR Midnight Blizzard (prej NOBELIUM) so junija in julija kompromitirali in dostopali do dokumentov pravne organizacije z globalnimi odgovornostmi, preden je storitev Odziv na dogodek Microsoft posredovala pri odpravi vdora. Ta dejavnost je bila del agresivnejših poskusov vdora v diplomatske, obrambne in javnopolitične organizacije ter organizacije IT sektorja po vsem svetu.

Pregled obvestil Microsoftove varnosti, ki so bila prizadetim strankam izdana od marca, je razkril, da si je skupina Midnight Blizzard prizadevala pridobiti dostop do več kot 240 organizacij, večinoma v ZDA, Kanadi in drugih evropskih državah, z različno stopnjo uspeha.8

Skoraj 40 odstotkov  ciljnih organizacij je bilo vladnih, medvladnih ali politično usmerjenih možganskih trustov.

Ruski povzročitelji groženj so uporabljali različne tehnike za pridobitev začetnega dostopa in vzpostavitev trajne prisotnosti v ciljnih omrežjih. Midnight Blizzard je za vdor v okolja v oblaku uporabil pristop »kuhinjskega korita« z uporabo razpršenih gesel, poverilnic, pridobljenih od tretjih oseb, verodostojnih kampanj socialnega inženiringa prek aplikacije Teams in zlorabe storitev v oblaku.9 Skupina Aqua Blizzard je tihotapljenje HTML uspešno vključila v kampanje lažnega prikazovanja začetnega dostopa, da bi zmanjšala verjetnost odkrivanja s protivirusnimi podpisi in varnostnimi nadzori e-pošte.

Skupina Seashell Blizzard je izkoristila sisteme strežnikov, kot so strežniki Exchange in Tomcat, ter hkrati uporabila piratsko programsko opremo Microsoft Office, ki je vsebovala zadnja vrata DarkCrystalRAT, da bi pridobila začetni dostop. Zadnja vrata so napadalcem omogočila, da so naložili drugo stopnjo bremena, ki ga imenujemo Shadowlink, programski paket, prikrit pod imenom Microsoft Defender, ki v napravo namesti storitev TOR in napadalcu omogoči prikrit dostop prek omrežja TOR.10

Diagram, ki prikazuje, kako Shadowlink namesti storitev TOR v programsko napravo
Več informacij o tej sliki najdete na strani 6 v celotnem poročilu 

Odkar so ruske sile spomladi 2023 začele ofenzivo, so kibernetski napadalci, povezani z GRU in FSB, svoja prizadevanja osredotočili na zbiranje obveščevalnih podatkov iz ukrajinskih komunikacij in vojaške infrastrukture na bojnih območjih.

Ekipa Obveščanje o grožnjah Microsoft je marca podjetje Seashell Blizzard povezala s potencialnimi lažnimi vabami in paketi, za katere se je zdelo, da so bili prilagojeni glavnemu delu ukrajinske vojaške komunikacijske infrastrukture. Nismo imeli vpogleda v nadaljnje ukrepe. Po podatkih ukrajinske varnostne službe (SBU) so drugi poskusi podjetja Seashell Blizzard za dostop do ukrajinskih vojaških omrežij vključevali zlonamerno programsko opremo, ki bi jim omogočila zbiranje informacij o konfiguracijah povezanih satelitskih terminalov Starlink in ugotavljanje lokacije ukrajinskih vojaških enot.11 12 13

Skupina Secret Blizzard (prej KRYPTON) si je prav tako prizadevala zagotoviti oporne točke za zbiranje obveščevalnih podatkov v ukrajinskih omrežjih, povezanih z obrambo. Ekipa Obveščanje o grožnjah Microsoft je v sodelovanju z ukrajinsko vladno skupino za odzivanje na računalniške grožnje (CERT-UA) v sistemih ukrajinskih obrambnih sil odkrila prisotnost zlonamerne programske opreme DeliveryCheck in Kazuar podjetja Secret Blizzard.14 Kazuar omogoča več kot 40 funkcij, vključno s krajo poverilnic iz različnih aplikacij, podatkov preverjanja pristnosti, posrednikov in piškotkov ter pridobivanjem podatkov iz dnevnikov operacijskega sistema.15 Secret Blizzard je še posebej zanimala kraja datotek s sporočili iz aplikacije za sporočanje Signal Desktop, kar bi jim omogočilo branje zasebnih pogovorov Signal.16

Skupina Forest Blizzard (prej STRONTIUM) se je ponovno osredotočila na svoje tradicionalne vohunske tarče, obrambne organizacije v ZDA, Kanadi in Evropi, katerih vojaška podpora in usposabljanje omogočata ukrajinskim silam nadaljevanje boja.

Skupina Forest Blizzard je od marca poskušala pridobiti začetni dostop do obrambnih organizacij z lažnimi sporočili, ki so vključevala nove in tehnike izmikanja. Skupina Forest Blizzard je na primer avgusta imetnikom računov v evropski obrambni organizaciji poslala goljufivo e-poštno sporočilo, ki je vsebovalo zlonamerni dodatek za CVE-2023-38831. CVE-2023-38831 je varnostna ranljivost v programski opremi WinRAR, ki napadalcem omogoča izvajanje poljubne kode, ko si uporabnik poskuša ogledati neškodljivo datoteko v arhivu ZIP.

Za ukazovanje in nadzor uporablja tudi legitimna orodja za razvijalce, kot sta Mockbin in Mocky. Napadalec je konec septembra izvedel napad z lažnim predstavljanjem z zlorabo storitev GitHub in Mockbin. Organizacija CERT-UA in druga podjetja za kibernetsko varnost so septembra objavila, da je napadalec uporabil strani za zabavo za odrasle, da bi žrtve prepričal, naj kliknejo na povezavo ali odprejo datoteko, ki bi jih preusmerila na zlonamerno infrastrukturo Mockbin.17 18Microsoft je konec septembra opazil preobrat in uporabo strani s tehnološko tematiko. V vsakem primeru so napadalci poslali lažno e-poštno sporočilo z zlonamerno povezavo, ki je žrtev preusmerila na naslov URL Mockbin in prenesla datoteko zip z zlonamerno datoteko LNK (bližnjica), ki je bila prikazana kot posodobitev sistema Windows. Datoteka LNK nato prenese in izvede drugo skripto PowerShell, da vzpostavi obstojnost in izvede nadaljnja dejanja, kot je kraja podatkov.

Vzorčni posnetek zaslona vabe PDF, povezane z goljufijo obrambnih organizacij Forest Blizzard.

Napadalec se izdaja za uslužbenca Evropskega parlamenta
E-poštna priloga: »Dnevni red od 28. avgusta do 3. septembra 2023« za zasedanja Evropskega parlamenta. Sporočilo službe za stike z javnostmi. 160 KB bulletin.rar
Slika 5: Posnetek zaslona primera vabe PDF, povezane z goljufijo obrambnih organizacij Forest Blizzard.  Več o tej sliki najdete na strani 8 v celotnem poročilu

V letu 2023 je MTAC še naprej opazoval napadalca Storm-1099, z Rusijo povezanega napadalca, ki je bil od pomladi 2022 odgovoren za prefinjeno prorusko vplivanje, usmerjeno na mednarodne podpornike Ukrajine.

Storm-1099 je verjetno najbolj znan po množičnem ponarejanju spletnih strani, ki jo je raziskovalna skupina EU DisinfoLab poimenovala »Doppelganger«,19 njegove dejavnosti pa vključujejo tudi edinstvene blagovne znamke, kot je Reliable Recent News (RRN), multimedijske projekte, kot je protiukrajinska risana serija »Ukraine Inc.«, in demonstracije na terenu, ki povezujejo digitalni in fizični svet. Čeprav pripisovanje odgovornosti ni popolno, so dobro financirani ruski politični tehnologi, propagandisti in strokovnjaki za odnose z javnostmi, ki so dokazljivo povezani z rusko državo, izvedli in podprli več kampanj Storm-1099.20

Operacija Storm-1099 Doppelganger je v času priprave tega poročila še vedno v polni moči, kljub vztrajnim poskusom tehnoloških podjetij in raziskovalnih subjektov, da bi poročali o njenem dosegu in ga zmanjšali.21 Čeprav je ta napadalec v preteklosti ciljal na zahodno Evropo, večinoma na Nemčijo, je ciljal tudi na Francijo, Italijo in Ukrajino. Napadalec Storm-1099 se je v zadnjih mesecih osredotočil na Združene države Amerike in Izrael. Ta prehod se je začel že januarja 2023 med obsežnimi protesti v Izraelu proti predlagani prenovi pravosodja, okrepil pa se je po začetku vojne med Izraelom in Hamasom v začetku oktobra. Novonastale blagovne znamke odražajo vse večjo prednostno obravnavo ameriške politike in prihajajočih predsedniških volitev v ZDA leta 2024, medtem ko so obstoječi viri napadalca Storm-1099 odločno spodbujali lažno trditev, da je Hamas na črnem trgu pridobil ukrajinsko orožje za svoje napade v Izraelu 7. oktobra.

Pred kratkim, konec oktobra, je MTAC opazil račune, za katere Microsoft ocenjuje, da so viri napadalca Storm-1099, ki poleg lažnih člankov in spletnih strani v družabnih medijih spodbujajo tudi novo vrsto ponarejanja. Gre za serijo kratkih lažnih novic, ki jih domnevno ustvarjajo ugledni mediji in ki širijo prorusko propagando, da bi spodkopali podporo Ukrajini in Izraelu. Čeprav je ta taktika, uporaba videoposnetkov za spodbujanje propagande, taktika, ki so jo v zadnjih mesecih opazili pri proruskih napadalcih, spodbujanje takšnih videovsebin s strani napadalca Storm-1099 samo poudarja različne tehnike vplivanja in cilje sporočanja tega akterja.

Članki, objavljeni na lažnih straneh Doppelganger

Kampanjo, ki jo je izvajal ruski akter groženj s kibernetskim vplivom Storm 1099, je opazoval in spremljal Microsoft.
Microsoft zaznal in spremljal 31. oktobra 2023. Članki, objavljeni na lažnih straneh Doppelganger; akcija, ki jo izvaja ruski akter grožnje kibernetskega vpliva Storm 1099.
Več informacij o tej sliki najdete na strani 9 v celotnem poročilu

Od 7. oktobra, ko je Hamas napadel Izrael, poskušajo ruski državni mediji in z državo povezani vplivneži vojno med Izraelom in Hamasom izkoristiti za spodbujanje protiukrajinskih pripovedi in protiameriškega razpoloženja ter za zaostrovanje napetosti med vsemi stranmi. Ta dejavnost, ki se sicer odziva na vojno in je na splošno omejena po obsegu, vključuje tako odkrite medije, ki jih sponzorira država, kot prikrita omrežja družbenih medijev, povezana z Rusijo, ki zajemajo več platform družbenih medijev.

 

Ruski propagandisti in proruska omrežja družbenih medijev skušajo z lažnimi trditvami, da Ukrajina oborožuje borce Hamasa, in s ponaredki uglednih medijev in prirejenimi videoposnetki Izrael postaviti proti Ukrajini in zmanjšati zahodno podporo Kijevu. Nepristen videoposnetek, ki je trdil, da so bili tuji rekruti, vključno z Američani, premeščeni iz Ukrajine, da bi se pridružili operacijam Izraelskih obrambnih sil (IDF) na območju Gaze, in je zbral več sto tisoč ogledov na družbenih omrežjih, je le en primer takšne vsebine. Ta strategija širi protiukrajinsko propagando med širšim občinstvom in spodbuja sodelovanje z lažnimi zgodbami, ki se ujemajo z glavnimi novicami.

 

Rusija dejavnosti digitalnega vplivanja nadgrajuje tudi s promocijo dogodkov v resničnem svetu. Ruski mediji agresivno spodbujajo vsebine, ki širijo proteste, povezane z vojno med Izraelom in Hamasom na Bližnjem vzhodu in v Evropi – tudi prek dopisnikov ruskih državnih tiskovnih agencij, ki delajo na terenu. Konec oktobra 2023 so francoski organi trdili, da so štirje moldavski državljani verjetno povezani s šabloniranimi grafiti z Davidovo zvezdo na javnih površinah v Parizu. Dva od Moldavcev naj bi trdila, da ju je vodil rusko govoreči posameznik, kar kaže na morebitno rusko odgovornost za grafitiranje. Posnetke grafitov so pozneje razširili sodelavci napadalca Storm-1099.22

 

Rusija najverjetneje ocenjuje, da je trenutni konflikt med Izraelom in Hamasom v njeno geopolitično korist, saj meni, da konflikt odvrača pozornost Zahoda od vojne v Ukrajini. MTAC ocenjuje, da bodo takšni akterji po pogosto uporabljenih taktikah iz ruskega priročnika za vpliv še naprej širili spletno propagando in izkoriščali druge pomembne mednarodne dogodke za izzivanje napetosti ter skušali otežiti sposobnost Zahoda, da se zoperstavi ruski invaziji na Ukrajino.

Protiukrajinska propaganda je široko prisotna v ruskih vplivnih dejavnostih že od časa pred popolno invazijo leta 2022. V zadnjih mesecih pa so se proruske in z Rusijo povezane mreže vplivnežev osredotočile na uporabo videa kot bolj dinamičnega medija za širjenje teh sporočil, skupaj s ponarejanjem avtoritativnih medijev, da bi povečale svojo verodostojnost. MTAC je opazil dve kampanji, ki ju izvajajo neznani, proruski akterji in vključujeta lažne novice in blagovne znamke medijev za razvedrilo, ki prikazujejo prirejene video vsebine. Tako kot prejšnje ruske propagandne kampanje se tudi ta osredotoča na prikazovanje ukrajinskega predsednika Volodimirja Zelenskega kot skorumpiranega odvisnika od drog in zahodne podpore Kijevu kot škodljive za domače prebivalstvo teh držav. Vsebina v obeh kampanjah si dosledno prizadeva zmanjšati podporo Ukrajini, vendar pripovedi prilagaja novim novicam, kot je implozija potopnega plovila Titan junija 2023 ali vojna med Izraelom in Hamasom, da bi dosegla širše občinstvo.

Diagram, ki prikazuje pregled ponarejenih posnetkov novic

prikaz pregleda zavajajočih posnetkov novic
Več informacij o tej sliki najdete na strani 11 v celotnem poročilu

Ena od teh videokampanj vključuje serijo izmišljenih videoposnetkov, ki pod krinko kratkih novic iz osrednjih medijev širijo lažne, protiukrajinske, s Kremljem povezane teme in pripovedi. MTAC je to dejavnost prvič opazil aprila 2022, ko so proruski kanali Telegram objavili lažni videoposnetek BBC News, ki je trdil, da je ukrajinska vojska odgovorna za raketni napad, v katerem je bilo ubitih več deset civilistov. Videoposnetek uporablja logotip, barvno shemo in videz hiše BBC ter vsebuje angleške podnapise z napakami, ki so pogoste pri prevajanju iz slovanskih jezikov v angleščino.

Kampanja se je nadaljevala vse leto 2022 in se poleti 2023 še okrepila. V času priprave tega poročila je MTAC v kampanji opazil več kot ducat ponarejenih medijskih videoposnetkov, pri čemer so bili najpogosteje ponarejeni BBC News, Al Jazeera in EuroNews. Videoposnetki so bili najprej objavljeni na rusko govorečih kanalih Telegram, nato pa so se razširili na osrednje platforme družbenih medijev.

Posnetki zaslona videoposnetkov, ki posnemajo logotip in videz hiše BBC News (levo) in EuroNews (desno)

Izmišljeni posnetki novic z dezinformacijami, povezanimi z Rusijo
Obveščanje o grožnjah Microsoft: Izmišljene novice povezujejo ukrajinski vojaški neuspeh, napad HAMAS, lažno odgovornost Izraela
Izmišljeni posnetki novic z dezinformacijami, povezanimi z Rusijo. Posnetki zaslona videoposnetkov, ki posnemajo logotip in videz hiše BBC News (levo) in EuroNews (desno). Več o tej sliki najdete na strani 12 v celotnem poročilu

Čeprav je imela ta vsebina omejen doseg, bi lahko predstavljala grožnjo prihodnjim ciljem, če bi bila izpopolnjena ali izboljšana s pomočjo umetne inteligence ali okrepljena z bolj verodostojnim pripovedovalcem. Proruski akter, ki je odgovoren za ponarejene posnetke novic, je dovzeten za aktualne svetovne dogodke in spreten. Na primer, prirejen videoposnetek BBC News je lažno trdil, da je organizacija za preiskovalno novinarstvo Bellingcat odkrila, da so ukrajinski vojaški uradniki prek črnega trga skupini prodali orožje, ki so ga uporabljali borci Hamasa. Vsebina videoposnetka se je natančno ujemala z javnimi izjavami nekdanjega ruskega predsednika Dmitrija Medvedjeva le dan pred objavo videoposnetka, kar dokazuje, da se je kampanja močno ujemala z očitnimi sporočili ruske vlade.23

Julija 2023 so po proruskih družbenih medijih začeli krožiti videoposnetki znanih osebnosti, ki so bili zavajajoče prirejeni za protiukrajinsko propagando. Videoposnetki – delo neznanega vplivneža, ki podpira Rusijo – očitno izkoriščajo priljubljeno spletno mesto Cameo, na katerem lahko zvezdniki in druge javne osebnosti snemajo in pošiljajo osebna video sporočila uporabnikom, ki plačajo pristojbino. Kratka videosporočila, v katerih zvezdniki pogosto prosijo »Vladimirja«, naj poišče pomoč zaradi zlorabe drog, neznani igralec priredi tako, da vanje vključi čustvene simbole in povezave. Videoposnetki krožijo po proruskih družbenih medijih in jih razširjajo ruski mediji, povezani z državo, ter jih lažno prikazujejo kot sporočila ukrajinskemu predsedniku Volodimirju Zelenskemu. V nekaterih primerih je igralec dodal logotipe medijev in naslove znanih osebnosti v družabnih medijih, da je bil videoposnetek videti kot posnetki novic iz poročanja o domnevnih javnih pozivih znanih osebnosti Zelenskemu ali njihovih lastnih objav v družabnih medijih. Kremeljski uradniki in ruska propaganda, ki jo podpira država, že dolgo spodbujajo lažno trditev, da se predsednik Zelenski spopada z odvisnostjo, vendar ta kampanja predstavlja nov pristop proruskih akterjev, ki želijo to zgodbo razširiti v spletnem informacijskem prostoru.

V prvem videoposnetku kampanje, ki je bil objavljen konec julija, so čustveni simboli ukrajinske zastave, vodni žigi ameriškega medija TMZ ter povezave do centra za zdravljenje odvisnosti in ene od uradnih strani predsednika Zelenskega v družabnih medijih. Do konca oktobra 2023 so proruski družbeni mediji objavili še šest videoposnetkov. Zlasti 17. avgusta je ruska državna tiskovna agencija RIA Novosti objavila članek o videoposnetku z ameriškim igralcem Johnom McGinleyjem, kot da gre za pristen poziv McGinleyja Zelenskemu.24 Poleg McGinleyja so med zvezdniki, katerih vsebine se pojavljajo v kampanji, tudi igralci Elijah Wood, Dean Norris, Kate Flannery in Priscilla Presley, glasbenik Shavo Odadjian in boksar Mike Tyson. Tudi drugi ruski mediji, povezani z državo, vključno z medijem Tsargrad, ki ga sankcionirajo ZDA, so okrepili vsebino kampanje.25

Posnetki iz videoposnetkov, v katerih znane osebnosti navidezno spodbujajo prorusko propagando

fotografije iz videoposnetkov, v katerih znane osebnosti navidezno spodbujajo prorusko propagando
Več informacij o tej sliki najdete na strani 12 v celotnem poročilu

Po besedah ukrajinskega vojaškega poveljnika ruski borci prehajajo na novo stopnjo statične vojne, kar kaže na še bolj dolgotrajen konflikt.26 Kijev bo za nadaljevanje upora potreboval stalno oskrbo z orožjem in podporo ljudstva, zato bomo verjetno videli, da bodo ruski kibernetski in inflacijski operaterji okrepili napade, s katerimi želijo sprožiti demoralizacijo ukrajinskega prebivalstva in oslabitev zunanjih virov vojaške in finančne pomoči Kijeva.

Z bližajočo se zimo bomo morda spet priča vojaškim napadom na elektroenergetska in vodovodna omrežja v Ukrajini v kombinaciji z uničujočimi napadi na ta omrežja.27Ukrajinski organi za kibernetsko varnost CERT-UA so septembra sporočili, da so ukrajinska energetska omrežja stalno ogrožena, Microsoftova obveščevalna služba za grožnje pa je od avgusta do oktobra v omrežjih ukrajinskega energetskega sektorja opazila artefakte groženj GRU.28 Microsoft je avgusta opazil vsaj eno destruktivno uporabo pripomočka Sdelete v omrežju ukrajinskega energetskega podjetja.29

Predsedniške volitve v ZDA in drugi pomembni politični dogodki leta 2024 zunaj Ukrajine lahko akterjem z zlonamernim vplivom ponudijo priložnost, da uporabijo svoje spretnosti na področju video medijev in nastajajoče umetne inteligence, da bi obrnili politični tok stran od izvoljenih uradnikov, ki zagovarjajo podporo Ukrajini.30

Microsoft si na več področjih prizadeva zaščititi svoje stranke v Ukrajini in po svetu pred temi večplastnimi grožnjami. V okviru pobude Secure Future Initiative združujemo napredek na področju kibernetske obrambe, ki uporablja umetno inteligenco, in varnega inženiringa programske opreme s prizadevanji za okrepitev mednarodnih norm za zaščito civilistov pred kibernetskimi grožnjami. 31 Prav tako namenjamo sredstva in temeljna načela za zaščito volivcev, kandidatov, kampanj in volilnih organov po vsem svetu, saj se več kot 2 milijardi ljudi v naslednjem letu pripravlja na sodelovanje v demokratičnem procesu.32

  1. [1]
  2. [2]

    Če želite tehnične informacije o najnovejših destruktivnih metodah napadov v Ukrajini, glejte https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    Na podlagi obvestil, izdanih med 15. marcem 2023 in 23. oktobrom 2023. 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]

    Če želite tehnične podrobnosti, glejte  https://go.microsoft.com/fwlink/?linkid=2262377

  30. [30]
  31. [31]
  32. [32]

Sorodni članki

Digitalne grožnje iz vzhodne Azije rastejo v obsegu in učinkovitosti

Poglobite se in raziščite nove trende razvijajočega se okolja groženj v vzhodni Azije, kjer Kitajska izvaja razširjene kibernetske postopke in postopke vpliva (IO), medtem ko akterji kibernetske grožnje v Severni Koreji izkazujejo vedno večjo stopnjo razvitosti.
Več informacij

Iran vse pogosteje uporablja kibernetsko omogočene postopke vpliva za večji učinek

Obveščanje o grožnjah Microsoft je zaznalo povečane kibernetsko omogočene postopke vpliva v Iranu. Zagotovite si vpoglede v grožnje s podrobnostmi o novih tehnikah in kje leži morebitne grožnje v prihodnosti.
Več informacij

Kibernetske operacije in njihov vpliv v vojni v Ukrajini na digitalnem bojnem polju

Microsoftova skupnost za obveščanje o grožnjah leto dni preučuje kibernetske operacije in njihov vpliv v Ukrajini, odkriva nove trende na področju kibernetskih groženj in kaj lahko pričakujemo ob začetku drugega leta vojne.
Več informacij

Spremljajte Microsoft