簡介
俄羅斯網路和影響力操作員在整個烏克蘭戰爭中適應情勢並嘗試使用新方法,獲得戰場優勢並削弱基輔來自國內外支援的來源。本報告將詳細介紹 Microsoft 在 2023 年 3 月至 10 月期間觀察到的網路威脅和惡意影響力活動。在此期間,烏克蘭軍人和平民再次成為眾矢之的,全球各地紛紛協助烏克蘭,試圖讓俄羅斯軍隊對戰爭的行為負責,因此犯罪的入侵和操縱的風險越來越大,。
直接從 Microsoft 威脅情報播客上的專家那裡獲得見解。 立即收聽.
俄羅斯的威脅行為者趁勢深入準備,準備抓住戰爭疲勞
2022 年 1 月至 2023 年 6 月俄羅斯在烏克蘭戰爭的各個階段
請參閱完整報告的第 3 頁以深入了解圖片
Microsoft 在 3 月至 10 月期間觀察到的行動,反映了對於烏克蘭公眾士氣的打擊,以及對網路間諜活動的更多關注。在全球糧食危機中,俄羅斯軍事、網路和宣傳行為者對烏克蘭農業部門 (民用基礎結構設施) 發動了協同攻擊。隸屬於俄羅斯軍事情報局 (GRU) 的網路威脅行為者,傾向以烏克蘭軍方和外國補給線為目標進行網路間諜行動。在國際社會設法懲罰戰爭罪犯之際,俄羅斯的外國情報局 (SVR) 和聯邦安全服務部門 (FSB) 有聯繫的團體,將目標對準了烏克蘭境內外的戰爭犯罪調查人員。
在影響力方面,Wagner Group 和臭名昭著的 Internet Research Agency 巨魔農場的擁有者 Yevgeny Prigozhin 於 2023 年 6 月發生了短暫的叛亂並於事後去世,人們對於俄羅斯未來影響力的能力產生了質疑。經過整個夏天的觀察,Microsoft 發現了與 Prigozhin 無關的廣泛組織行動,意味著俄羅斯未來將在沒有他的情況下進行惡意影響力活動。
Microsoft 威脅情報和事件回應團隊已經通知受影響的客戶和政府合作夥伴並進行合作,以緩解報告中描述的威脅活動。
俄羅斯軍隊多依賴常見的武器在烏克蘭造成破壞,但網路和影響力行動仍然對烏克蘭地區、北約和全球盟友的電腦網路安全性和公民生活造成緊迫威脅。除了更新我們的安全性產品以主動保護全球客戶外,我們分享這些資訊以鼓勵大家繼續警戒來自全球資訊空間完整性的威脅。
今年夏天,俄羅斯的動能、網路和宣傳力量聚集在烏克蘭的農業部門。軍事打擊摧毀了一年本可以養活 100 多萬人的糧食,而親俄羅斯媒體不顧人道主義地推動敘事,以證明襲擊的合理性1。
從 6 月到 9 月,Microsoft 威脅情報觀察到許多網路滲透、資料洩露甚至破壞性惡意軟體的目標,針對烏克蘭農業和糧食相關航運基礎結構設施的相關組織。在 6 月和 7 月,Aqua Blizzard (前身為 ACTINIUM) 從一家協助追蹤農作物產量的公司竊取了資料。Seashell Blizzard (前身為 IRIDIUM) 使用 Microsoft 檢測為基本破壞性惡意程式碼的變體 WalnutWipe/SharpWipe 來攻擊食品/農業部門網路2。
解析俄羅斯針對烏克蘭農業的數位宣傳活動
請參閱完整報告的第 4 頁以深入了解圖片
7月,莫斯科退出了黑海糧食倡議,經過人道主義的努力,此舉有助於避免全球糧食危機,並允許在首年向阿富汗、衣索比亞、肯亞、索馬利亞和葉門的人民運送比 72.5 萬噸更多的小麥3。在莫斯科採取行動後,親俄羅斯的媒體和 Telegram 頻道紛紛跳出來誹謗糧食倡議,並為莫斯科的決定提供理由。宣傳機構將糧食走廊描繪成販毒的幌子,或將其作為秘密轉移武器的手段,以淡化此協議的人道主義意義。
迄今為止,我們已經確定了與 Seashell Blizzard 互動的三個團體:Solntsepek、InfoCentr 和 Cyber Army of Russia。Seashell Blizzard 與駭客行動主義者的關係可能是短期的利用,並非基於控制,因為駭客組織的網路能力暫時飆升時,恰與 Seashell Blizzard 的攻擊吻合。Seashell Blizzard 定期發起破壞性攻擊,Telegram 駭客組織會公開聲稱對此行動負責。然後,駭客行動主義者又會恢復他們通常進行的低複雜度行動,包括 DDoS 攻擊或洩露烏克蘭個人資訊。網路代表敏捷的基礎結構設施,進階持續性威脅 (APT) 可以利用來促進他們的活動。
親俄羅斯駭客行動主義的錶盤
請參閱完整報告的第 5 頁以深入了解該圖片
俄羅斯軍隊不僅從事可能違反國際法的行動,而且還針對刑事調查人員和檢察官,對他們提起訴訟。
Microsoft 遙測資料顯示,與俄羅斯軍方和外國情報機構有聯繫的行為者,在今年春季和夏季期間,瞄準並破壞了烏克蘭的法律和調查網路,以及參與戰爭犯罪調查的國際組織的網路。
這些網路行動發生在莫斯科與國際刑事法院 (ICC) 等組織間日益緊張的情況下,國際刑事法院於 3 月以戰爭犯罪的指控對俄羅斯總統普京發出逮捕令7。
今年 4 月,與 GRU 有聯繫的 Seashell Blizzard 入侵了一家專注於戰爭犯罪案件律師事務所的網路。歸屬於 FSB 的 Aqua Blizzard 於 7 月入侵了烏克蘭一家主要調查機構的內部網路,然後在 9 月使用該機構受感染的帳戶向烏克蘭電信公司發送網路釣魚電子郵件。
SVR 行為者 Midnight Blizzard (前身為 NOBELIUM) 在 6 月和 7 月入侵並存取具有全球責任的法律組織的文件,然後 Microsoft 事件回應進行干涉並修復入侵。這項活動是該行為者以更積極的態度推動破壞全球外交、國防、公共政策和 IT 部門組織的一部分。
自 3 月以來 Microsoft 對受影響客戶發出安全性通知的審查顯示,Midnight Blizzard 已經存取主要位於美國、加拿大和其他歐洲國家/地區超過 240 個組織,並取得了不同程度的成功8。
近 40% 的目標組織是政府、政府間或以政策為重點的智囊團。
俄羅斯的威脅行為者使用各種技術獲得初始存取的授權,並在目標網路上建立持久性的留存。Midnight Blizzard 採用了一種廚房水槽方法,使用密碼噴灑、從第三方獲取認證、透過 Teams 進行可信任的社交工程活動,以及濫用雲端服務來滲透雲端環境9。Aqua Blizzard 成功地將 HTML 偷帶整合到取得初始存取授權的網路釣魚活動中,以減少防毒程式簽章,以及電子郵件安全性控制偵測的可能性。
Seashell Blizzard 利用了 Exchange 和 Tomcat 伺服器等週邊伺服器系統,同時利用盜版的 Microsoft Office 軟體,其中藏有 DarkCrystalRAT 後門來獲得初始存取授權。後門允許行為者載入我們稱為 Shadowlink 的第二階段有效承載,這是一個偽裝的 Microsoft Defender 應用軟體,可在裝置上安裝 TOR 服務,並透過 TOR 網路為威脅行為者提供隱蔽的存取10。
請參閱完整報告 的第 6 頁以深入了解該圖片
自俄羅斯軍隊發動 2023 年春季攻勢以來,隸屬於 GRU 和 FSB 的網路行為者持續在戰區收集烏克蘭通訊和軍事基礎結構設施情報。
Secret Blizzard (前身為 KRYPTON) 也開始轉往烏克蘭進行國防相關網路的安全情報收集。Microsoft 威脅情報與烏克蘭政府電腦緊急應變小組 (CERT-UA) 合作,在烏克蘭國防軍事的系統上發現了 Secret Blizzard 使用的 DeliveryCheck 和 Kazuar 後門惡意軟體14。Kazuar 允許 40 多種功能,包括從各種應用程式、身份驗證資料、Proxy 和 Cookie 中竊取認證,以及從作業系統日誌中擷取資料15。Secret Blizzard 對於從 Signal Desktop 傳訊應用程式中竊取帶有訊息的檔案特別感興趣,這將使他們能閱讀私人 Signal 聊天記錄16。
Forest Blizzard (前身為 STRONTIUM) 重新聚焦在傳統的間諜目標,即美國、加拿大和歐洲的國防相關組織,由於這些組織的軍事支持和訓練,使得烏克蘭軍隊有能力繼續戰鬥。
自 3 月以來,Forest Blizzard 一直試圖使用內含新穎和規避技術的網路釣魚訊息,以獲得對防禦組織的初始存取授權。例如在 8 月中,Forest Blizzard 向歐洲國防組織的帳戶持有人發送了網路釣魚電子郵件,其中包含對 CVE-2023-38831 弱點的惡意探索。CVE-2023-38831 是 WinRAR 軟體中的安全性弱點,當使用戶嘗試查看 ZIP 封存檔中的良性檔案時,攻擊者可以執行任何程式碼。
行為者還可以利用合法的開發人員工具 (例如 Mockbin 和 Mocky) 執行命令和控制。截至 9 月下旬,該行為者進行了攻擊 GitHub 和 Mockbin 服務的網路釣魚活動。CERT-UA 和其他網路安全公司在 9 月公佈了這個活動,並指出該行為者使用成人娛樂頁面誘使受害者點擊連結或開啟檔案,將他們重新導向到惡意的 Mockbin 基礎結構設施17 18 。Microsoft 在 9 月下旬觀察到這個技術主題頁面的轉變。在每一個情況下,行為者都會發送包含惡意連結的網路釣魚電子郵件,惡意連結會將受害者重新導向到 Mockbin URL,讓其下載偽裝成 Windows 更新的 ZIP 檔案,其中包含了惡意的 LNK (捷徑) 檔案。然後,LNK 檔案下載後會執行另一個 PowerShell 指令,以建立持久性的留存並執行資料盜竊等後續操作。
Forest Blizzard 關聯的 PDF 誘餌對防禦組織進行網路釣魚的螢幕擷取畫面範例。
威脅行為者偽裝成歐洲議會工作人員
圖 5:Forest Blizzard 關聯的 PDF 誘餌對防禦組織進行網路釣魚範例的螢幕擷取畫面。 請參閱完整報告的第 8 頁以深入了解圖片
整個 2023 年,MTAC 繼續觀察 Storm-1099,這是與俄羅斯有關聯的影響力行為者,自 2022 年春季以來,負責針對烏克蘭國際支援者進行複雜的親俄影響力行動。
截至本報告撰寫時,Storm-1099 的 Doppelganger 行動仍然處於全面執行狀態,儘管科技公司和研究機構不斷試圖報告和減輕其影響範圍21。雖然該行為者歷來以西歐為目標,除了大多數是德國以外,也以法國、義大利和烏克蘭為目標。近幾個月來,Storm-1099 已移轉重點目標到美國和以色列。這個轉變早在 2023 年 1 月就開始了,當時以色列對擬議的司法改革進行了大規模的抗議活動,並在 10 月初以色列與哈馬斯爆發戰爭後加劇。新建立的品牌媒體反映了美國政治和 2024 年美國總統大選即將到來的優先考量,而現有的 Storm-1099 資產強行推動了哈馬斯在黑市上為 10 月 7 日對以色列的襲擊而獲得烏克蘭武器的虛假說法。
最近,在 10 月下旬,MTAC 觀察到 Microsoft 評估的帳戶是 Storm-1099 的資產,除了在社交媒體上的虛假文章和網站外,還宣傳了新的偽造訊息。這些是一系列簡短的假新聞剪輯,表面上是信譽良好的媒體製作,它們散佈親俄羅斯的宣傳,以破壞對烏克蘭和以色列的支援。雖然使用影片惡搞來推動宣傳的路線,是最近幾個月來廣泛地觀察到親俄行為者使用的策略,但 Storm-1099 對此類影片內容的推廣更突出了行為者的各種影響力技巧和資訊傳遞目標。
文章發表於虛假的 Doppelganger 網站
俄羅斯網路影響力威脅行為者 Storm 1099 進行的活動,被 Microsoft 所觀察和追蹤。
請參閱完整報告的第 9 頁以深入了解該圖片
自哈馬斯 10 月 7 日襲擊以色列以來,俄羅斯官方媒體和與國家結盟的影響力行為者一直試圖惡意探索以色列與哈馬斯戰爭來宣傳反烏克蘭敘事、反美情緒,並加劇各方之間的緊張關係。這種活動雖然對戰爭有影響,而且範圍有限,但包括公開的國家贊助的媒體,也包括跨越多個社交媒體平台,並與俄羅斯有關聯的秘密社交媒體網路。
俄羅斯宣傳人員和親俄社交媒體網路宣傳的敘述試圖讓以色列與烏克蘭對立來削弱西方對基輔的支援,他們錯誤地宣稱烏克蘭透過欺騙知名媒體和操縱影片來武裝哈馬斯武裝分子。一段不真實的影片宣稱包括美國人在內的外國新兵從烏克蘭轉移到加沙地帶加入以色列國防軍 (IDF) 的行動,該影片在社交媒體平台上獲得了數十萬次觀看,這只是此類內容的一個例子。這種策略既將反烏克蘭敘事推向廣大受眾,又透過塑造虛假敘事以與主要發展中的新聞報導保持一致,以擴大影響力。
俄羅斯還透過推廣現實世界的事件來增強數位影響力活動。俄羅斯媒體積極宣傳煽動性內容,放大與中東和歐洲的以色列與哈馬斯戰爭有關的抗議活動,包括透過俄羅斯國家通訊社的實地記者。2023 年 10 月下旬,法國當局指控四名摩爾多瓦國民可能與巴黎公共場所的 Star of David 塗鴉行動有關。據報導,其中兩名摩爾多瓦人宣稱,他們是受一名講俄語人士的指揮,這表明俄羅斯可能對塗鴉行動負有責任。塗鴉的圖像後來被 Storm-1099 資產放大22。
俄羅斯似乎認為持續中的以色列與哈馬斯衝突符合地緣政治優勢,認為這場衝突分散了西方世界對烏克蘭戰爭的注意力。MTAC 認為,按照俄羅斯既定的影響力劇本中經常使用的策略,這些行為者將繼續在網路上進行宣傳,並利用其他重大國際事件來挑起緊張局勢,並試圖阻礙西方世界抵制俄羅斯入侵烏克蘭。
在 2022 年全面入侵之前,反烏克蘭宣傳就廣泛地在俄羅斯的影響力活動中滲透。然而,近幾個月來,親俄和俄羅斯附屬的影響力網路一直專注於將影片作為更動態的媒介來傳播資訊,並欺騙權威媒體利用其可信度。MTAC 觀察到不知名的親俄行為者正在進行的兩項活動,涉及欺騙主流新聞和娛樂媒體品牌,推動操縱的影片內容。與先前的俄羅斯宣傳活動一樣,這項活動的重點是將烏克蘭總統澤倫斯基描繪成腐敗的吸毒者,並將西方對基輔的支援描繪成有害於這些國家的國內人口。這兩個活動的內容一直試圖減少外界對烏克蘭的支援,但調整敘述以與新出現的新聞事件保持一致,例如 2023 年 6 月的泰坦潛水器內爆,或以色列與哈馬斯的戰爭,以吸引更廣泛的受眾。
顯示欺騙性新聞剪輯概觀圖表
請參閱完整報告的第 11 頁以深入了解該圖片
其中一項以影片為中心的活動涉及系列的捏造影片,這些影片以主流媒體的簡短新聞報導為幌子,傳播虛假的、反烏克蘭的、與克里姆林宮相關的主題和敘述。MTAC 於 2022 年 4 月首次觀察到這個活動,當時親俄羅斯的 Telegram 頻道發佈了一段虛假的 BBC News 影片,宣稱烏克蘭軍方應對導致數十名平民喪生的導彈襲擊負責。該影片使用了 BBC 的標誌、色彩配置和美學,並配有英語字幕,其中包含從斯拉夫語翻譯成英語時常見的錯誤。
這項活動持續了整個 2022 年,並在 2023 年夏天加速推動。在編寫本報告時,MTAC 在活動中觀察到了十幾個欺騙性的媒體影片,其中最常被欺騙的媒體是 BBC News、Al Jazeera 和 EuroNews.。俄語 Telegram 頻道首先放大了這些影片,然後才傳播到主流社交媒體平台
模仿的 BBC News (左) 和 EuroNews (右) 的標誌和美學的影片截取畫面
捏造的新聞剪輯包含與俄羅斯結盟的虛假資訊
捏造的新聞剪輯包含與俄羅斯結盟的虛假資訊。模仿的 BBC News (左) 和 EuroNews (右) 的標誌和美學的影片截取畫面。請參閱完整報告的第 12 頁以深入了解圖片
儘管這些內容的影響力有限,但如果在 AI 的力量下進行改良或改進,或由更具公信力的信使放大,它可能會對未來的目標構成可信的威脅。負責欺騙性新聞剪輯的親俄羅斯行為者,對當前的世界事件很敏感也很靈活。例如,一段欺騙性的 BBC News 影片錯誤地宣稱調查了新聞組織 Bellingcat,並揭露哈馬斯武裝分子使用的武器是由烏克蘭軍方官員通過黑市出售給該組織的。這段影片內容反映了俄羅斯前總統梅德韋傑夫 (Dmitry Medvedev) 在影片發佈前一天發表的公開聲明,表明該活動與俄羅斯政府的公開資訊密切相關23。
從 2023 年 7 月開始,親俄社交媒體頻道開始傳播名人的影片,這些影片經過欺騙性編輯以推動反烏克蘭宣傳。這些影片是一位不知名的俄羅斯結盟影響力行為者的作品,他似乎利用了 Cameo 這個受歡迎的網站,名人和其他公眾人物可以在這個網站上錄製並發送個人化的影片資訊給付費使用者。這些短影片留言通常使用名人「Vladimir」懇求的方式,以尋求藥物濫用的幫忙為特色,由不知名的演員編輯,包括表情符號和連結。影片在親俄羅斯的社交媒體社群流傳,並被俄羅斯國家附屬機構和國營媒體放大,被錯誤地描繪成給烏克蘭總統澤倫斯基的訊息。在某些情況下,行為者添加了媒體機構標誌和名人的社交媒體帳戶名稱,使影片看起來像是報導名人對澤倫斯基的所謂公開呼籲,或名人自己在社交媒體貼文的新聞剪輯。克里姆林宮官員和俄羅斯國家贊助的宣傳活動,長期以來一直錯誤地宣傳澤倫斯基總統與藥物濫用中掙扎,然而,這場活動意味著親俄羅斯行為者正在網路空間尋求推進敘事的新方法。
活動的第一個影片於 7 月下旬發布,影片中有烏克蘭國旗表情符號、來自美國媒體 TMZ 的浮水印,以及指向藥物濫用康復中心和澤倫斯基總統官方社交媒體的頁面連結。截至 2023 年 10 月下旬,親俄羅斯社交媒體頻道又散播了 6 個影片。值得注意的是,8 月 17 日,俄羅斯國營新聞媒體 RIA Novosti 發表了一篇文章,報導美國演員 John McGinley (約翰·麥金利) 為主角的影片,彷彿這是麥金利對澤倫斯基的真實呼籲24 。除了麥金利之外,出現在活動中的名人包括演員 Elijah Wood、Dean Norris、Kate Flannery 和 Priscilla Presley,以及音樂家 Shavo Odadjian 和拳擊手 Mike Tyson。隸屬於俄羅斯的媒體,包括美國制裁的媒體 Tsargrad,也放大報導了活動的內容25。
靜態圖片顯示名人似乎在促進俄羅斯宣傳影片
請參閱完整報告的第 12 頁以深入了解該圖片
據烏克蘭軍事首長稱,俄羅斯戰士正在進入靜態壕溝戰的新階段,這表示衝突將更曠日持久26。基輔需要穩定的武器供應和民眾支援才能繼續抵抗,我們可能會看到俄羅斯網路和影響力營運商加緊努力打擊烏克蘭人民的士氣,並削弱基輔的外部軍事和財政援助來源。
在烏克蘭以外,美國總統大選和 2024 年其他重大政治競賽可能會為惡意的影響力行為者提供機會,他們可能利用影片媒體和新生的 AI 技能來扭轉政治潮流,以遠離支持烏克蘭的民選官員30。
- [2]
關於烏克蘭最新破壞性攻擊方法的技術資訊,請查閱 https://go.microsoft.com/fwlink/?linkid=2262377
- [8]
根據 2023 年 3 月 15 日至 2023 年 10 月 23 日期間發佈的通知。
- [17]
hxxps://cert[.gov[.]ua/article/5702579
- [24]
ria[.]ru/20230817/zelenskiy-1890522044.html
- [25]
tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab
- [29]
關注 Microsoft