Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Zwiększony zasięg i efektywność cyberzagrożeń ze strony Azji Wschodniej

Pobierz
Udostępnij
Osoba siedząca przed komputerem

Wprowadzenie

Kilka wyłaniających się trendów ilustruje szybko zmieniający się krajobraz zagrożeń w Azji Wschodniej, gdzie Chiny przeprowadzają zarówno szeroko zakrojone operacje cybernetyczne, jak i działania w zakresie wywierania wpływu, a północno-koreańskie źródła cyberzagrożeń wykazują się rosnącym wyrafinowaniem.

Po pierwsze powiązane z państwem chińskim grupy stanowiące cyberzagrożenie wykazują szczególną koncentrację na regionie Morza Południowochińskiego, kierując działania cyberszpiegostwa przeciwko rządom i innym kluczowym instytucjom otaczającym ten obszar morski. Jednocześnie chińskie działania ukierunkowane na amerykański sektor obronny i badanie sygnałów z amerykańskiej infrastruktury stanowią próbę zdobycia przewagi konkurencyjnej na rzecz chińskich stosunków zagranicznych i strategicznych celów wojskowych.

Po drugie w zeszłym roku Chiny skuteczniej angażowały użytkowników mediów społecznościowych w operacje wywierania wpływu. Chińskie kampanie wywierania wpływu w Internecie od dawna opierają się na zmasowanych próbach dotarcia do użytkowników za pośrednictwem sieci nieautentycznych kont w mediach społecznościowych. Jednak od 2022 roku powiązane z Chinami sieci w mediach społecznościowych nawiązują bezpośredni kontakt z autentycznymi użytkownikami w mediach społecznościowych, celują w konkretnych kandydatów w treściach dotyczących wyborów w Stanach Zjednoczonych i udają amerykańskich wyborców. Niezależnie od tego powiązana z państwem chińskim inicjatywa obejmująca influencerów (osoby wytyczające trendy) w wielojęzycznych mediach społecznościowych skutecznie zaangażowała docelowych odbiorców posługujących się co najmniej 40 językami i zwiększyła liczbę odbiorców do ponad 103 milionów.

Po trzecie w zeszłym roku Chiny w dalszym ciągu zwiększały skalę kampanii wywierania wpływu, rozszerzając działania o nowe języki i nowe platformy, aby zwiększyć swój globalny zasięg. W mediach społecznościowych kampanie obejmują wykorzystywanie tysięcy nieautentycznych kont w dziesiątkach witryn internetowych w celu rozsyłania memów, filmów i wiadomości w wielu językach. W obszarze internetowych mediów informacyjnych chińskie media państwowe taktownie i skutecznie pozycjonują się jako wiarygodny głos w międzynarodowej dyskusji na temat Chin, korzystając z różnych środków, aby wywierać wpływ na media na całym świecie. Jedna z kampanii popularyzowała propagandę Komunistycznej Partii Chin (KPCh) za pośrednictwem zlokalizowanych serwisów informacyjnych skierowanych do diaspory chińskiej w ponad 35 krajach.

Wreszcie Korea Północna, która w przeciwieństwie do Chin nie dysponuje możliwościami wyrafinowanego źródła wywierania wpływu, pozostaje ogromnym cyberzagrożeniem. Korea Północna wykazuje ciągłe zainteresowanie zbieraniem informacji wywiadowczych i zwiększa wyrafinowanie taktyczne, wykorzystując między innymi kaskadowe ataki na łańcuch zaopatrzenia i kradzież kryptowalut.

Chińskie operacje cybernetyczne ponownie skupiają się na Morzu Południowochińskim i kluczowych segmentach przemysłu w Stanach Zjednoczonych

Od początku 2023 roku Centrum analizy zagrożeń Microsoft zidentyfikowało trzy obszary szczególnej koncentracji działań powiązanych z Chinami źródeł cyberzagrożeń: Morze Południowochińskie, bazę amerykańskiego przemysłu obronnego i amerykańską infrastrukturę krytyczną.

Cele podmiotów związanych z państwem chińskim odzwierciedlają cele strategiczne na Morzu Południowochińskim

Powiązane z państwem chińskim źródła zagrożeń wykazują ciągłe zainteresowanie Morzem Południowochińskim i Tajwanem, co jest zgodne z szeroko pojętymi interesami gospodarczymi, obronnymi i politycznymi Chin w tym regionie1. Chińskie ofensywne cyberdziałania mogą być motywowane powodującymi konflikty roszczeniami terytorialnymi, rosnącymi napięciami w Cieśninie Tajwańskiej i zwiększoną obecnością amerykańskich sił zbrojnych2.

Firma Microsoft śledzi Raspberry Typhoon (RADIUM) jako główną grupę stanowiącą zagrożenie. Atakuje ona kraje położone wokół Morza Południowochińskiego. Grupa Raspberry Typhoon konsekwentnie atakuje ministerstwa, jednostki wojskowe i podmioty korporacyjne połączone z infrastrukturą krytyczną, w szczególności telekomunikacyjną. Od stycznia 2023 roku grupa Raspberry Typhoon jest szczególnie uporczywa. W przypadku atakowania ministerstw lub infrastruktury grupa Raspberry Typhoon zwykle zbiera informacje wywiadowcze i uruchamia złośliwe oprogramowanie. W wielu krajach celami są różne instytucje, od ministerstw obrony i zajmujących się wywiadem po ministerstwa gospodarki i handlu.

Flax Typhoon (Storm-0919) to najistotniejsza grupa stanowiąca zagrożenie atakująca wyspę Tajwan. Ta grupa atakuje przede wszystkim infrastrukturę telekomunikacyjną, edukacyjną, informatyczną i energetyczną, zwykle wykorzystując przy tym niestandardowe urządzenie VPN w celu bezpośredniego ustanowienia obecności w sieci docelowej. Podobnie grupa Charcoal Typhoon (CHROMIUM) atakuje tajwańskie instytucje edukacyjne, infrastrukturę energetyczną i sektor wytwarzający produkty zaawansowane technologicznie. W 2023 roku zarówno grupa Charcoal Typhoon, jak i grupa Flax Typhoon atakowały tajwańskie instytucje z branży lotniczej i kosmicznej mające umowy z tajwańską armią.

Mapa regionu Morza Południowochińskiego z wyróżnieniem zaobserwowanych zdarzeń w rozbiciu na kraje
Ilustracja 1. Zaobserwowane zdarzenia dotyczące poszczególnych krajów na Morzu Południowochińskim od stycznia 2022 r. do kwietnia 2023 r. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 4

Chińskie źródła zagrożeń kierują uwagę na Guam w związku z budową amerykańskiej bazy piechoty morskiej

Wiele grup stanowiących zagrożenie z Chin w dalszym ciągu atakuje bazę przemysłu obronnego Stanów Zjednoczonych, w szczególności grupy Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) i Mulberry Typhoon (MANGANESE). Mimo że cele tych trzech grup czasami się pokrywają, są to odrębne źródła zagrożeń o różnej infrastrukturze i możliwościach3.

Grupa Circle Typhoon prowadzi szeroką gamę cyberdziałań przeciwko amerykańskiej bazie przemysłu obronnego, w tym operacje mające na celu rozwój zasobów, zbieranie informacji oraz uzyskiwanie dostępu początkowego i dostępu do poświadczeń. Grupa Circle Typhoon często wykorzystuje urządzenia VPN do atakowania infrastruktury informatycznej i wykonawców z branży obronności w Stanach Zjednoczonych. Także grupa Volt Typhoon prowadzi rozpoznanie przeciwko licznym wykonawcom z amerykańskiej branży obronności. Guam jest jednym z najczęstszych celów tych kampanii, szczególnie zlokalizowane na tej wyspie instytucje zajmujące się łącznością satelitarną i telekomunikacją4.

Taktyką często używaną przez grupę Volt Typhoon jest naruszanie zabezpieczeń routerów w małych biurach i domach, zwykle w celu budowania infrastruktury5. Grupa Mulberry Typhoon także atakuje bazę przemysłu obronnego Stanów Zjednoczonych, w szczególności wykorzystując luki w zabezpieczeniach typu zero-day6. Zintensyfikowane ataki na Guam są istotne ze względu na pozycję tej wyspy jako terytorium Stanów Zjednoczonych położonego najbliżej Azji Wschodniej i kluczowego dla strategii Stanów Zjednoczonych w regionie.

Chińskie grupy stanowiące zagrożenie atakują infrastrukturę krytyczną Stanów Zjednoczonych

W ciągu ostatnich sześciu miesięcy firma Microsoft zaobserwowała ataki powiązanych z państwem chińskim grup stanowiących zagrożenie na amerykańską infrastrukturę krytyczną w wielu sektorach i znaczące działania mające na celu rozwój zasobów. Główną grupą stojącą za tymi działaniami co najmniej od lata 2021 roku jest Volt Typhoon, a zakres jej operacji nadal nie jest w pełni znany.

Atakowane sektory to między innymi transport (np. porty i kolej), usługi użyteczności publicznej (jak przedsiębiorstwa energetyczne i uzdatniające wodę), infrastruktura medyczna (w tym szpitale) oraz infrastruktura telekomunikacyjna (w tym łączność satelitarna i systemy światłowodowe). W ocenie firmy Microsoft ​​ta kampania może zapewnić Chinom możliwości zakłócania działania infrastruktury krytycznej i komunikacji między Stanami Zjednoczonymi a Azją7.

Grupa stanowiąca zagrożenie z Chin atakuje około 25 organizacji, w tym jednostki administracji publicznej Stanów Zjednoczonych

Od 15 maja grupa Storm-0558, źródło zagrożenia z Chin, wykorzystywała sfałszowane tokeny uwierzytelniające do uzyskania dostępu do kont e-mail klientów firmy Microsoft w około 25 organizacjach, w tym w instytucjach administracji publicznej w Stanach Zjednoczonych i Europie8. Firma Microsoft pomyślnie zablokowała tę kampanię. Celem tego ataku było uzyskanie nieautoryzowanego dostępu do kont e-mail. Firma Microsoft ocenia, że ​​te działania były spójne z celami szpiegowskimi grupy Storm-0558. Grupa Storm-0558 już wcześniej atakowała placówki dyplomatyczne Stanów Zjednoczonych i europejskie.

Chiny atakują też swoich partnerów strategicznych

Podczas gdy Chiny rozwijają stosunki dwustronne i partnerstwa globalne w ramach Inicjatywy Pasa i Szlaku, powiązane z państwem chińskim źródła zagrożeń prowadzą równoległe operacje cybernetyczne przeciwko instytucjom prywatnym i publicznym na całym świecie. Grupy stanowiące zagrożenie z Chin atakują kraje objęte strategią Inicjatywy Pasa i Szlaku Komunistycznej Partii Chin, w tym między innymi instytucje w Kazachstanie, Namibii i Wietnamie9. Jednocześnie szeroko zakrojona działalność chińskich źródeł zagrożeń jest konsekwentnie wymierzona w ministerstwa spraw zagranicznych w całej Europie, Ameryce Łacińskiej i Azji — prawdopodobnie w celach szpiegostwa gospodarczego lub zbierania informacji wywiadowczych10. W miarę tego, jak Chiny rozszerzają globalne wpływy, towarzyszą temu działania powiązanych grup stanowiących zagrożenie. Nie dalej niż w kwietniu 2023 roku grupa Twill Typhoon (TANTALUM) skutecznie naruszyła zabezpieczenia komputerów administracji publicznej w Afryce i Europie, a także należących do organizacji humanitarnych na całym świecie.

Zgodne z linią KPCh działania w mediach społecznościowych skuteczniej angażują odbiorców

Tajne operacje wywierania wpływu powiązane z KPCh zaczęły skutecznie angażować docelowych odbiorców w mediach społecznościowych w większym stopniu, niż obserwowano wcześniej, wykazując wyższy poziom wyrafinowania i kultywowanie zasobów internetowych operacji wywierania wpływu. Przed wyborami śródokresowymi w Stanach Zjednoczonych w 2022 roku firma Microsoft i partnerzy branżowi zaobserwowali powiązane z KPCh konta w mediach społecznościowych podszywające się pod amerykańskich wyborców — to dla operacji wywierania wpływu powiązanych z KPCh nowy obszar działań11. Konta te podszywały się pod Amerykanów reprezentujących całe spektrum polityczne i odpowiadały na komentarze autentycznych użytkowników.

Pod względem zarówno zachowania, jak i treści konta te odzwierciedlają wiele dobrze udokumentowanych taktyk, technik i procedur charakterystycznych dla chińskich operacji wywierania wpływu. Przykłady: konta na wczesnym etapie publikujące wpisy w języku mandaryńskim, a potem przechodzące na inny język, wchodzące w interakcję z treściami z innych zasobów promujących politykę Chin zaraz po opublikowaniu oraz stosujące wzorzec interakcji „zalążka i nagłaśniającego”12. W przeciwieństwie do wcześniejszych kampanii operacji wywierania wpływu prowadzonych przez źródła zagrożeń powiązane z KPCh, w których wykorzystywano łatwe do wykrycia wygenerowane komputerowo nazwy użytkowników, nazwy wyświetlane i zdjęcia profilowe13, te bardziej wyrafinowane konta są obsługiwane przez prawdziwych ludzi posługujących się fikcyjnymi lub skradzionymi tożsamościami, aby ukryć powiązania tych kont z KPCh.

Zachowania kont w mediach społecznościowych w tej sieci są podobne do działań prowadzonych podobno przez elitarną grupę w Ministerstwie Bezpieczeństwa Publicznego, znaną jako Specjalna Grupa Robocza 912. Według Departamentu Sprawiedliwości Stanów Zjednoczonych ta grupa prowadziła w mediach społecznościowych farmę trolli, która wytworzyła tysiące fałszywych osób w Internecie i szerzyła propagandę KPCh kierowaną przeciwko działaczom prodemokratycznym.

Od około marca 2023 roku niektóre zasoby podejrzane o prowadzenie chińskich operacji wywierania wpływu w zachodnich mediach społecznościowych zaczęły wykorzystywać generatywną sztuczną inteligencję (AI) do tworzenia treści wizualnych. Te względnie wysokiej jakości treści wizualne wygenerowały już wyższy poziom zaangażowania ze strony autentycznych użytkowników mediów społecznościowych. Obrazy te wyglądają na wygenerowane metodami dyfuzyjnymi i przyciągają wzrok skuteczniej niż niezręczne treści wizualne z poprzednich kampanii. Użytkownicy częściej ponownie publikują te treści wizualne mimo typowych znamion wygenerowania przez sztuczną inteligencję — na przykład więcej niż pięć palców u dłoni osoby na zdjęciu14.

Umieszczone obok siebie wpisy w mediach społecznościowych z identycznymi obrazami Black Lives Matter.
Ilustracja 2. Grafika Black Lives Matter najpierw przekazana przez automatyczne konto powiązane z KPCh została siedem godzin później przekazana przez konto podszywające się pod wyborcę konserwatywnego ze Stanów Zjednoczonych.
Wygenerowany przez sztuczną inteligencję obraz propagandowy przedstawiający Statuę Wolności.
Ilustracja 3: Przykład obrazu wygenerowanego przez sztuczną inteligencję opublikowanego przez zasób podejrzany o udział w chińskiej operacji wywierania wpływu. Dłoń Statuy Wolności trzymająca pochodnię ma więcej niż pięć palców. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 6.
Zestawienie czterech kategorii influencerów — dziennikarzy, influencerów lifestylowych, rówieśników i przedstawicieli mniejszości etnicznych — na osi działań od jawnych po ukryte
Ilustracja 4. Ta inicjatywa obejmuje influencerów, których można podzielić na cztery szerokie kategorie na podstawie tego, czym te osoby się zajmują, ich docelowych odbiorców, metod rekrutacji i strategii zarządzania. Wszystkie osoby uwzględnione w naszej analizie mają bezpośrednie powiązania z chińskimi mediami państwowymi (na przykład są przez nie zatrudnione, przyjmują zaproszenia do podróżowania lub są wynagradzane pieniężnie w inny sposób). Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 7.

Inicjatywa chińskich mediów państwowych obejmująca influencerów

Inną strategią generującą znaczące zaangażowanie w mediach społecznościowych jest koncepcja Komunistycznej Partii Chin dotycząca „wielojęzycznych internetowych studiów celebrytów” (多语种网红工作室)15. Wykorzystując moc autentycznych głosów, ponad 230 pracowników mediów państwowych i osób z nimi powiązanych udaje niezależnych influencerów w mediach społecznościowych na wszystkich głównych zachodnich platformach mediów społecznościowych16. W latach 2022 i 2023 nadal średnio co siedem tygodni pojawiają się nowi influencerzy. Ci influencerzy, rekrutowani, szkoleni, promowani i finansowani przez China Radio International (CRI) i inne chińskie media państwowe, rozpowszechniają doskonale zlokalizowaną propagandę KPCh, która generuje znaczące zaangażowanie odbiorców docelowych na całym świecie, docierając łącznie do co najmniej 103 milionów obserwatorów na całym świecie na wielu platformach, których użytkownicy posługują się co najmniej 40 językami.

Mimo że influencerzy publikują przede wszystkim nieszkodliwe treści związane ze stylem życia, technika ta pozwala maskować propagandę zgodną z linią KPCh mającą łagodzić wizerunek Chin za granicą.

Wygląda na to, że strategia chińskich mediów państwowych w zakresie rekrutacji influencerów obejmuje dwie odrębne grupy: osoby z doświadczeniem w pracy dziennikarskiej (w szczególności w mediach państwowych) oraz świeżych absolwentów programów nauki języków obcych. W szczególności wygląda na to, że China Media Group(firma macierzysta CRI i CGTN) bezpośrednio rekrutuje absolwentów najlepszych chińskich szkół języków obcych, takich jak Pekiński Uniwersytet Studiów Zagranicznych i Chiński Uniwersytet Komunikacji. Osoby, które nie są rekrutowane bezpośrednio na uniwersytetach, to często byli dziennikarze i tłumacze, którzy po „rebrandingu” na influencerów usuwają ze swoich profilów informacje o powiązaniach z mediami państwowymi.

Posługujący się językiem laotańskim influencer Song Siao publikuje vlog lifestylowy, w którym mówi o ożywieniu gospodarczym w Chinach na tle pandemii COVID-19.
Ilustracja 5. Posługujący się językiem laotańskim influencer Song Siao publikuje vlog lifestylowy, w którym mówi o ożywieniu gospodarczym w Chinach na tle pandemii COVID-19. W samodzielnie nagranym filmie odwiedza salon samochodowy w Pekinie i rozmawia z mieszkańcami. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 8
Post w mediach społecznościowych Techy Rachel, anglojęzycznej influencerki.
Ilustracja 6. Techy Rachel, anglojęzyczna influencerka, która zazwyczaj publikuje wpisy na temat chińskich innowacji i technologii, odchodzi od zwykle poruszanych przez siebie tematów, aby wypowiedzieć się w debacie dotyczącej chińskich balonów szpiegowskich. Podobnie jak inne chińskie media państwowe zaprzecza, że balon był używany do szpiegostwa. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 8

Influencerzy docierają do odbiorców na całym świecie w co najmniej 40 językach

Rozrzut geograficzny języków, którymi posługują się ci powiązani z państwem influencerzy, odzwierciedla rosnący globalny wpływ i priorytetyzację regionalną Chin. Największą liczbę influencerów stanowią ci posługujący się językami azjatyckimi z wyłączeniem chińskiego, takimi jak hindi, syngaleski, paszto, laotański, koreański, malajski i wietnamski. Influencerzy anglojęzyczni stanowią drugą co do wielkości grupę.
Pięć wykresów kołowych przedstawiających influencerów powiązanych z chińskimi mediami państwowymi w rozbiciu na języki.
Ilustracja 7. Influencerzy powiązani z chińskimi mediami państwowymi w rozbiciu na języki. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 9

Chiny kierują treści do odbiorców na całym świecie

Influencerzy kierują treści do odbiorców w siedmiu obszarach (grupach językowych), które są podzielone na regiony geograficzne. Nie przedstawiono wykresów dla odbiorców z obszarów języka angielskiego ani chińskiego.

Chińskie operacje wywierania wpływu rozszerzają globalny zasięg w ramach kilku kampanii

W 2023 roku Chiny jeszcze bardziej rozszerzyły skalę internetowych operacji wywierania wpływu, docierając do odbiorców w nowych językach i na nowych platformach. Te operacje łączą działania wysoce kontrolowanego jawnego aparatu mediów państwowych z działaniami ukrytych lub nieoczywistych zasobów w mediach społecznościowych, w tym botów, które legitymizują i nagłaśniają narracje preferowane przez KPCh17.

Firma Microsoft zaobserwowała jedną z takich kampanii wspierających linię KPCh, która rozpoczęła się w styczniu 2022 roku i nadal trwała w chwili pisania tego artykułu, a której celem jest hiszpańska organizacja pozarządowa Safeguard Defenders po tym, jak ujawniła ona istnienie ponad 50 chińskich komisariatów policji za granicą18. W tej kampanii wykorzystano ponad 1800 kont na kilku platformach mediów społecznościowych i dziesiątki witryn internetowych w celu rozpowszechniania memów, filmów i wiadomości zgodnych z linią KPCh, w których krytykowano Stany Zjednoczone i inne kraje demokratyczne.

Te konta przesyłały wiadomości w nowych językach (holenderskim, greckim, indonezyjskim, szwedzkim, tureckim, ujgurskim i innych) oraz na nowych platformach (między innymi w serwisach Fandango, Rotten Tomatoes, Medium, Chess.com i VK). Pomimo skali i wytrwałości prowadzenia tej operacji publikowane w jej ramach wpisy rzadko generują znaczące zaangażowanie autentycznych użytkowników, co odzwierciedla prymitywny charakter działalności tych chińskich sieci.

Tablica 30 znanych logo marek technologicznych obok listy 16 języków
Ilustracja 8. Treści generowane w ramach operacji wywierania wpływu zgodne z linią KPCh wykryto na wielu platformach i w wielu językach. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 10
Umieszczone obok siebie zrzuty ekranu z przykładami filmów propagandowych w języku tajwańskim
Ilustracja 9. Film w języku tajwańskim z bardzo wieloma udostępnieniami, w którym rząd Tajwanu jest wzywany do „poddania się” Pekinowi. Duża różnica między liczbą wyświetleń a liczbą udostępnień z wysokim prawdopodobieństwem wskazuje na skoordynowane działania w ramach operacji wywierania wpływu. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 10

Zamaskowana globalna sieć witryn informacyjnych KPCh

Inną kampanią w mediach cyfrowych oddającą poszerzony zakres operacji wywierania wpływu powiązanych z KPCh jest sieć ponad 50 witryn informacyjnych, w większości chińskojęzycznych, wspierających deklarowany cel KPCh, jakim jest uzyskanie statusu najbardziej wiarygodnego głosu wszystkich mediów chińskojęzycznych na całym świecie19. Mimo że te witryny prezentują się jako w dużej mierze niezależne i niepowiązane, służące różnym społecznościom diaspory chińskiej na całym świecie, z dużą pewnością oceniamy, że są one powiązane z Wydziałem ds. Pracy Zjednoczonego Frontu KPCh — organem odpowiedzialnym za wzmacnianie wpływów KPCh poza granicami Chin: w szczególności przez współpracę z „Chińczykami zamorskimi” — na podstawie wskaźników technicznych, informacji o rejestracji witryn i udostępnianych treści20.
Mapa świata z ponad 20 logo chińskich witryn internetowych kierowanych do globalnej diaspory chińskiej.
Ilustracja 10. Mapa witryn internetowych kierowanych do globalnej diaspory chińskiej, które uznaje się za część tej strategii medialnej.  Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 11

Dzięki temu, że wiele z tych witryn ma wspólne adresy IP, zbadanie rozpoznawania domen za pomocą usługi Microsoft Defender Threat Intelligence pozwoliło nam odnaleźć więcej witryn w tej sieci. Wiele z tych witryn internetowych ma wspólny kod HTML frontonu internetowego, w którym nawet osadzone w kodzie komentarze programistów stron internetowych bywają identyczne w różnych witrynach. W ponad 30 witrynach wykorzystano ten sam interfejs programowania aplikacji (API) i system zarządzania zawartością od „jednostki w całości zależnej” firmy China News Service (CNS), agencji medialnej Wydziału ds. Pracy Zjednoczonego Frontu21. Z dokumentów Ministerstwa Przemysłu i Informatyki Chin wynika dodatkowo, że ta powiązana z Wydziałem ds. Pracy Zjednoczonego Frontu firma technologiczna i jeszcze inna zarejestrowały co najmniej 14 witryn informacyjnych w tej sieci22. Wykorzystując w ten sposób firmy zależne i zewnętrzne firmy medialne, Wydział ds. Pracy Zjednoczonego Frontu może docierać do odbiorców na całym świecie, ukrywając swoje bezpośrednie zaangażowanie.

Te witryny udają niezależnych dostawców wiadomości, a jednocześnie ustawicznie publikują te same artykuły z chińskich mediów państwowych, często podając się za pierwotne źródło tych treści. Chociaż witryny te ogólnikowo relacjonują wiadomości międzynarodowe i publikują ogólne artykuły z chińskich mediów państwowych, tematy drażliwe politycznie są w przeważającej mierze prezentowane zgodnie z narracjami preferowanymi przez KPCh. Na przykład kilkaset artykułów w witrynach z tej sieci promuje fałszywe twierdzenia, że ​​wirus COVID-19 jest bronią biologiczną wyprodukowaną w amerykańskim wojskowym laboratorium badań biologicznych w Fort Detrick23. W tych witrynach często pojawiają się też oświadczenia urzędników chińskiej administracji publicznej i artykuły z mediów państwowych z sugestiami, że wirus COVID-19 pochodzi ze Stanów Zjednoczonych, a nie z Chin. Witryny te stanowią przykład tego, do jakiego stopnia kontrola Komunistycznej Partii Chin przeniknęła środowisko mediów chińskojęzycznych, umożliwiając KPCh zagłuszanie kluczowych doniesień na drażliwe tematy.

Diagram cięciw przedstawiający pokrywające się artykuły opublikowane w wielu witrynach.
Ilustracja 11. Witryny internetowe prezentowane jako unikatowe dla poszczególnych lokalizacji, ale mające identyczną treść. Ten diagram cięciw przedstawia pokrywające się artykuły opublikowane w wielu witrynach. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 12
Zrzuty ekranu przedstawiające ponowną publikację artykułu agencji China News Service w witrynach internetowych kierowanych do odbiorców we Włoszech, na Węgrzech, w Rosji i w Grecji
Ilustracja 12. Agencja China News Service i inne chińskie media państwowe opublikowały artykuł zatytułowany „Oświadczenie WHO ujawnia tajne laboratoria biologiczne USA w Ukrainie”. Artykuł ten został następnie opublikowany w witrynach internetowych kierowanych do odbiorców na Węgrzech oraz w Szwecji, Afryce Zachodniej i Grecji. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 12

Globalny zasięg chińskich mediów państwowych

Mimo że opisana powyżej kampania wyróżnia się maskowaniem, za zdecydowaną większość globalnej oglądalności mediów kierowanych przez KPCh odpowiadają autentyczne witryny internetowe chińskich mediów państwowych. Poprzez ekspansję na języki obce24, otwieranie biur chińskich mediów państwowych za granicą25 i dostarczanie bezpłatnych treści przyjaznych Pekinowi26 KPCh rozszerza zasięg swojej „siły dyskursywnej” (话语权), wstrzykując propagandę do mediów informacyjnych w krajach na całym świecie27.
Schemat organizacyjny przedstawiający migawkę jawnego ekosystemu propagandy KPCh.
Ilustracja 13. Schemat organizacyjny przedstawiający migawkę funkcji i podmiotów tworzących część jawnego ekosystemu propagandy KPCh. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 13

Pomiar ruchu trafiającego do witryn internetowych chińskich mediów państwowych

Laboratorium AI for Good firmy Microsoft opracowało indeks do pomiaru przepływu ruchu od użytkowników spoza Chin do kanałów, których właścicielem większościowym jest rząd Chin. Ten indeks mierzy proporcję ruchu odwiedzin w tych witrynach do całkowitego ruchu w Internecie, podobnie jak indeks propagandy rosyjskiej (RPI, Russian Propaganda Index) wprowadzony w czerwcu 2022 roku28.

Konsumpcja chińskich mediów państwowych jest zdominowana przez pięć domen, które odpowiadają za około 60% wszystkich wyświetleń stron chińskich mediów państwowych.

Grafika przedstawiająca konsumpcję chińskich mediów
Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 14

Ten indeks pomaga naświetlić trendy dotyczące względnego sukcesu chińskich mediów państwowych w rozbiciu na regiony geograficzne na przestrzeni czasu. Na przykład wśród państw członkowskich Stowarzyszenia Narodów Azji Południowo-Wschodniej (ASEAN) Singapur i Laos wyróżniają się względnym ruchem trafiającym do witryn internetowych chińskich mediów państwowych ponad dwukrotnie większym niż w przypadku trzeciego w rankingu Brunei. Najniższe miejsce przypada Filipinom, których ruch do witryn internetowych chińskich mediów państwowych jest 30 razy mniejszym niż Singapuru i Laosu. W Singapurze, gdzie mandaryński jest językiem oficjalnym, wysoki poziom konsumpcji chińskich mediów państwowych odzwierciedla wpływ Chin na wiadomości w języku mandaryńskim. W Laosie znacznie mniej osób mówi po chińsku, co odzwierciedla względny sukces chińskich mediów państwowych w środowisku tego kraju.

Zrzut ekranu ze stroną główną najczęściej odwiedzanej domeny — PhoenixTV.
Ilustracja 14. Strona główna najczęściej odwiedzanej domeny, PhoenixTV, na którą przypada 32% wszystkich wyświetleń stron. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 14

Coraz bardziej wyrafinowane północnokoreańskie operacje cybernetyczne służą zbieraniu informacji wywiadowczych i generowaniu dochodów dla państwa

Północnokoreańskie źródła cyberzagrożeń prowadzą operacje cybernetyczne mające na celu (1) zbieranie informacji wywiadowczych na temat działań krajów uważanych przez państwo za przeciwników: Korei Południowej, Stanów Zjednoczonych i Japonii, (2) zbieranie informacji wywiadowczych na temat możliwości wojskowych innych krajów w celu ulepszenia własnych oraz (3) zbieranie środków kryptowalutowych dla państwa. W ciągu zeszłego roku firma Microsoft zaobserwowała większe pokrywanie się celów ataków różnych północnokoreańskich źródeł cyberzagrożeń oraz zwiększenie wyrafinowania działań północnokoreańskich grup aktywności.

Działania cybernetyczne Korei Północnej świadczą o priorytetowym traktowaniu badań technologii morskich na tle testowania podwodnych dronów i pojazdów

W ciągu zeszłego roku Centrum analizy zagrożeń Microsoft zaobserwowało większe pokrywanie się celów ataków różnych północnokoreańskich źródeł zagrożeń. Na przykład od listopada 2022 roku do stycznia 2023 roku trzy północnokoreańskie źródła zagrożeń — Ruby Sleet (CERIUM), Diamond Sleet (ZINC) i Sapphire Sleet (COPERNICIUM) — atakowały sektor morski i stoczniowy. Firma Microsoft nie zaobserwowała wcześniej takiego pokrywania się celów wielu północnokoreańskich grup aktywności, co sugeruje, że badania nad technologiami morskimi miały w tym okresie dla północnokoreańskiego rządu wysoki priorytet. Według doniesień w marcu 2023 roku Korea Północna wystrzeliła testowo dwie strategiczne rakiety manewrujące z łodzi podwodnej w kierunku Morza Japońskiego (czyli Morza Wschodniego) jako ostrzeżenie przed wspólnymi ćwiczeniami wojskowymi Korei Południowej i Stanów Zjednoczonych „Freedom Shield”. Później w tym samym miesiącu i w miesiącu następnym Korea Północna miała testować dwa podwodne drony szturmowe Haeil u wybrzeża wschodniego kraju w kierunku Morza Japońskiego. Te testy możliwości wojskowych na morzu przeprowadzono niedługo po atakach trzech północnokoreańskich cybergrup na jednostki obrony morskiej w celu zebrania informacji wywiadowczych.

Źródła zagrożeń naruszają zabezpieczenia firm z branży obronnej w ramach zbierania informacji o wysokim priorytecie dla reżimu północnokoreańskiego

Od listopada 2022 roku do stycznia 2023 roku firma Microsoft zaobserwowała drugi przypadek pokrywania się ataków — grupy Ruby Sleet i Diamond Sleet naruszały zabezpieczenia firm z branży obronnej. Te dwa źródła zagrożeń włamały się do dwóch firm produkujących broń z siedzibami w Niemczech i Izraelu. Wynika z tego, że rząd Korei Północnej przydziela zadania zbierania informacji o wysokim priorytecie mających poprawić możliwości wojskowe kraju wielu grupom jednocześnie. Od stycznia 2023 roku grupa Diamond Sleet naruszyła też zabezpieczenia firm z branży obronnej w Brazylii, Czechach i Finlandii, we Włoszech oraz w Norwegii i Polsce.
Wykres kołowy z najczęściej atakowanymi przez Koreę Północną branżami obronnymi w rozbiciu na kraje
Ilustracja 15. Ukierunkowane ataki Korei Północnej na przemysł obronny w rozbiciu na kraje, od marca 2022 r. do marca 2023 r.

Rosyjska administracja publiczna i przemysł obronny pozostają celem ataków Korei Północnej służących zbieraniu informacji wywiadowczych

Wiele północnokoreańskich źródeł zagrożeń atakuje ostatnio rosyjską administrację publiczną i przemysł obronny, podczas gdy państwo to zapewnia jednocześnie Rosji wsparcie materialne w wojnie w Ukrainie32. W marcu 2023 roku grupa Ruby Sleet włamała się do instytutu badań lotniczych i kosmicznych w Rosji. Oprócz tego na początku marca grupa Onyx Sleet (PLUTONIUM) włamała się do urządzenia należącego do uniwersytetu w Rosji. Niezależnie od tego, w tym samym miesiącu konto atakującego uznawane za należące do grupy Opal Sleet (OSMIUM) wysłało na konta rosyjskich placówek dyplomatycznych wiadomości e-mail służące do wyłudzania informacji. Być może północnokoreańskie źródła zagrożeń wykorzystują okazję wynikającą ze skupienia się Rosji na wojnie w Ukrainie do zbierania informacji wywiadowczych na temat instytucji tego kraju.

Północnokoreańskie grupy prowadzą bardziej wyrafinowane operacje obejmujące kradzież kryptowalut i ataki na łańcuch zaopatrzenia

W ocenie firmy Microsoft ​​północnokoreańskie grupy aktywności prowadzą coraz bardziej wyrafinowane operacje obejmujące kradzież kryptowalut i ataki na łańcuch zaopatrzenia. W styczniu 2023 roku Federalne Biuro Śledcze (FBI) publicznie przypisało kradzież kryptowalut o wartości 100 mln USD z czerwca 2022 roku z platformy Horizon Bridge firmy Harmony grupie Jade Sleet (DEV-0954), czyli Lazarus Group/APT3833. Ponadto firma Microsoft przypisała atak na łańcuch zaopatrzenia firmy 3CX z marca 2023 roku, w którym wykorzystano wcześniejsze naruszenie zabezpieczeń łańcucha zaopatrzenia amerykańskiej firmy zajmującej się technologiami finansowymi z 2022 roku, grupie Citrine Sleet (DEV-0139). Był to pierwszy przypadek, w którym firma Microsoft zaobserwowała wykorzystanie przez grupę aktywności istniejącego naruszenia zabezpieczeń łańcucha zaopatrzenia do przeprowadzenia kolejnego ataku na łańcuch zaopatrzenia, co oddaje rosnące wyrafinowanie północnokoreańskich operacji cybernetycznych.

Grupa Emerald Sleet stosuje sprawdzoną taktykę wyłudzania informacji ukierunkowanego na konkretne osoby (tzw. spearphishing), nakłaniając ekspertów do przekazywania szczegółowych informacji na temat polityki zagranicznej

Grupa Emerald Sleet (THALLIUM) pozostaje najbardziej aktywnym północnokoreańskim źródłem zagrożenia śledzonym przez firmę Microsoft w zeszłym roku. Grupa Emerald Sleet nadal często wysyła wiadomości e-mail służące do wyłudzania informacji do ekspertów w zakresie Półwyspu Koreańskiego na całym świecie w celu zbierania informacji wywiadowczych. W grudniu 2022 roku Centrum analizy zagrożeń Microsoft szczegółowo opisało kampanie wyłudzania informacji grupy Emerald Sleet ukierunkowane na wpływowych ekspertów w zakresie Korei Północnej w Stanach Zjednoczonych i ich krajach sojuszniczych. Firma Microsoft ustaliła, że zamiast używać złośliwych plików lub linków do złośliwych witryn internetowych, grupa Emerald Sleet stosuje wyjątkową taktykę: podszywa się pod renomowane instytucje akademickie i organizacje pozarządowe, aby nakłonić ofiary do udzielenia odpowiedzi — z eksperckimi szczegółowymi informacjami i komentarzami na temat polityki zagranicznej dotyczącej Korei Północnej.

Możliwości: wywieranie wpływu

W ciągu zeszłego roku Korea Północna przeprowadziła ograniczone operacje wywierania wpływu na platformach mediów społecznościowych służących do udostępniania filmów, takich jak YouTube i TikTok34. Północnokoreańscy influencerzy w serwisie YouTube to głównie dziewczęta i kobiety, jedna z nich zaledwie jedenastoletnia, publikujące vlogi o swoim codziennym życiu i promujące pozytywną narrację o reżimie. Część influencerów mówi w filmach po angielsku, próbując dotrzeć do szerszej grupy odbiorców na całym świecie. Influencerzy z Korei Północnej są znacznie mniej skuteczni niż inicjatywa obejmująca influencerów wspierana przez chińskie media państwowe.

Spojrzenie w przyszłość w obliczu napięć geopolitycznych stymulujących działania cybernetyczne i operacje wywierania wpływu

W ostatnich latach Chiny nieustannie rozwijały możliwości cybernetyczne i wykazywały znacznie większą ambicję w kampaniach operacji wywierania wpływu. W najbliższej perspektywie oczekuje się, że Korea Północna nadal będzie koncentrować się na celach związanych z jej interesami politycznymi, gospodarczymi i obronnymi w regionie. Możemy oczekiwać szerszych działań cyberszpiegostwa zarówno wobec przeciwników, jak i wobec zwolenników celów geopolitycznych KPCh na wszystkich kontynentach. Mimo że chińskie grupy stanowiące zagrożenie nadal rozwijają i wykorzystują imponujące możliwości cybernetyczne, nie zaobserwowaliśmy, aby Chiny łączyły operacje cybernetyczne i wywierania wpływu — w przeciwieństwie do Iranu i Rosji, które prowadzą kampanie polegające na hakowaniu, a potem upublicznianiu informacji (tzw. „hack-and-leak”).

Powiązane z Chinami źródła wpływu, działające na skalę nieporównywalną z innymi źródłami szkodliwego wpływu, są gotowe do wykorzystania kilku kluczowych trendów i wydarzeń w ciągu najbliższych sześciu miesięcy.

Po pierwsze normą stają się operacje z wykorzystaniem filmów i mediów wizualnych. Sieci powiązane z KPCh od dawna wykorzystują zdjęcia profilowe wygenerowane przez sztuczną inteligencję, a w tym roku zaczęły wykorzystywać wygenerowaną przez sztuczną inteligencję grafikę w memach wizualnych. Grupy wspierane przez państwo będą też nadal korzystać z usług prywatnych studiów tworzących treści i firm zajmujących się kształtowaniem wizerunku, aby zlecać szerzenie propagandy na żądanie35.

Po drugie Chiny będą nadal działać na rzecz angażowania prawdziwych odbiorców, inwestując czas i zasoby w rozwijanie zasobów w mediach społecznościowych. Influencerzy mający dogłębną wiedzę na temat kultury i języka oraz oferujący wysokiej jakości treści wideo są pionierami skutecznego generowania zaangażowania w mediach społecznościowych. KPCh będzie stosować niektóre z tych taktyk, w tym wchodzenie w interakcje z użytkownikami mediów społecznościowych i prezentowanie szczegółowej wiedzy kulturowej, aby zwiększać skuteczność swoich tajnych kampanii w mediach społecznościowych.

Po trzecie Tajwan i Stany Zjednoczone prawdopodobnie nadal będą dwoma głównymi priorytetami chińskich operacji wywierania wpływu, szczególnie w związku z nadchodzącymi w obu krajach wyborami w 2024 roku. Biorąc pod uwagę to, że źródła wpływu zgodne z linią KPCh prowadziły działania związane z wyborami w Stanach Zjednoczonych w niedawnej przeszłości, jest niemal pewne, że będą to robić ponownie. Podszywające się pod amerykańskich wyborców zasoby w mediach społecznościowych prawdopodobnie będą przejawiać wyższy poziom wyrafinowania, aktywnie siejąc niezgodę na tle rasowym, społeczno-ekonomicznym i ideologicznym za pomocą materiałów ostro krytykujących Stany Zjednoczone.

  1. [1]
  2. [2]

    Nowe bazy na Filipinach to zwiększenie obecności wojskowej Stanów Zjednoczonych w regionie, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    Obecnie brakuje wystarczających dowodów, aby powiązać te grupy.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; Ta statystyka odzwierciedla dane aktualne w kwietniu 2023 r.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Tego typu źródła wpływu są czasem określane jako „Spamouflage Dragon” lub „DRAGONBRIDGE”.
  18. [18]
  19. [19]
  20. [20]

    Zobacz: Struktura Centrum analizy zagrożeń Microsoft do przypisywania wpływu. https://go.microsoft.com/fwlink/?linkid=2262095; Diaspora chińska jest zwykle określana przez chiński rząd jako „Chińczycy zamorscy” lub 华侨 (huaqiao) — odnosi się to do osób mających obywatelstwo lub pochodzenie chińskie i mieszkających poza ChRL. Więcej szczegółowych informacji na temat postrzegania diaspory chińskiej przez Pekin można znaleźć tutaj: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Chiński rząd zapoczątkował tę narrację na początku pandemii COVID-19, zobacz: https://go.microsoft.com/fwlink/?linkid=2262170; Przykłady należących do tej sieci witryn internetowych promujących to twierdzenie:: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Obrona Ukrainy: wczesne wnioski z cyberwojny, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Inną interpretacją Xuexi Qiangguo jest „Studiuj Xi, wzmacniaj kraj”. Ta nazwa to gra słów nawiązująca do nazwiska rodowego Xi Jinpinga. Jednostki administracji publicznej, uniwersytety i przedsiębiorstwa w Chinach usilnie promują korzystanie z aplikacji, czasami zawstydzając lub karząc podwładnych za zbyt rzadkie jej używanie, zobacz: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    Właścicielem tej gazety jest Shanghai United Media Group będąca własnością Komitetu Partii Komunistycznej w Szanghaju: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    KPCh inwestowała wcześniej w firmy z sektora prywatnego wspomagające kampanie operacji wywierania wpływu za pomocą technik manipulacji SEO, fałszywych polubień i obserwatorów oraz innych usług. Takie oferty ujawniają dokumenty dotyczące zamówień, zobacz: https://go.microsoft.com/fwlink/?linkid=2262522

Operacje wywierania cyberwpływu Raporty dotyczące podmiotów państwowych z Azji Wschodniej Raporty dotyczące podmiotów państwowych Wyłudzanie informacji Źródła zagrożeń

Powiązane artykuły

Grupa Volt Typhoon atakuje infrastrukturę krytyczną Stanów Zjednoczonych za pomocą technik LOTL

Zaobserwowano, że sponsorowane przez państwo chińskie źródło zagrożenia Volt Typhoon używa technik niewidzialnych działań do atakowania infrastruktury krytycznej Stanów Zjednoczonych, prowadzenia szpiegostwa i przebywania w naruszonych środowiskach.
Dowiedz się więcej

Propaganda w epoce cyfrowej: Podważanie zaufania przez działania w zakresie wywierania wpływu informacyjnego

Zbadaj świat cyberoperacji w zakresie wywierania wpływu informacyjnego, w którym podmioty państwowe rozpowszechniają propagandę stanowiącą zagrożenie dla wiarygodnych informacji niezbędnych dla rozkwitu demokracji.
Dowiedz się więcej

Iran zwraca się w stronę cyberataków, aby przeprowadzać działania w zakresie wywierania wpływu informacyjnego o większym zasięgu

Analiza zagrożeń Microsoft ujawniła wzmożone działania w zakresie wywierania wpływu informacyjnego oparte na cyberatakach ze strony Iranu. Uzyskaj szczegółowe informacje o zagrożeniach, w tym o nowych technikach i potencjalnych źródłach przyszłych zagrożeń.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft