Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Security Insider

ผู้ดำเนินการภัยคุกคามจากรัสเซียรุกคืบต่อเนื่อง พร้อมฉกฉวยโอกาสจากภาวะเหนื่อยล้าจากสงคราม

ดาวน์โหลด
แชร์
การดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์
บทนำ
ผู้ดำเนินการทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสารของรัสเซียได้แสดงให้เห็นถึงความสามารถในการปรับตัวตลอดช่วงภาวะสงครามกับยูเครน โดยพยายามหาวิธีการใหม่ๆ เพื่อให้ได้เปรียบในสนามรบ และบั่นทอนแหล่งที่มาของการสนับสนุนจากภายในและภายนอกประเทศของยูเครน รายงานฉบับนี้จะนำเสนอรายละเอียดเกี่ยวกับกิจกรรมภัยคุกคามทางไซเบอร์และกิจกรรมการแทรกแซงด้านข้อมูลข่าวสารที่มุ่งร้ายที่ Microsoft สังเกตพบระหว่างเดือนมีนาคมถึงตุลาคม 2023 ในระหว่างช่วงเวลานี้เองที่บุคลากรทหารและพลเรือนของยูเครนต่างตกเป็นเป้าหมายอีกครั้ง ในขณะที่ความเสี่ยงจากการบุกรุกและการชักใยทางการเมืองขยายตัวไปสู่หน่วยงานต่างๆ ทั่วโลกที่ช่วยเหลือยูเครน และพยายามควบคุมกองกำลังของรัสเซียเพื่อดำเนินคดีด้านอาชญากรรมสงคราม

ช่วงต่างๆ ของสงครามรัสเซียในยูเครนตั้งแต่เดือนมกราคม 2022 - มิถุนายน 2023

แผนภูมิที่แสดงช่วงต่างๆ ของสงครามรัสเซียในยูเครน
เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 3 ในรายงานฉบับเต็ม

การดำเนินการที่เป็นภัยคุกคามที่ Microsoft สังเกตพบในช่วงเดือนมีนาคมถึงตุลาคม สะท้อนให้เห็นถึงการดำเนินการร่วมกันเพื่อบั่นทอนขวัญกำลังใจของประชาชนชาวยูเครนและการให้ความสำคัญกับการจารกรรมทางไซเบอร์ที่เพิ่มมากขึ้น ผู้ดำเนินการด้านการทหาร กิจกรรมทางไซเบอร์ และการโฆษณาชวนเชื่อของรัสเซียร่วมกันโจมตีภาคเกษตรกรรมของยูเครน ซึ่งเป็นเป้าหมายด้านโครงสร้างพื้นฐานของพลเรือนท่ามกลางวิกฤตตลาดธัญพืชทั่วโลก ผู้ดำเนินการภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับหน่วยงานข่าวกรองทางการทหารของรัสเซีย (GRU) หันเหความสนใจไปยังปฏิบัติการจารกรรมทางไซเบอร์ต่อกองทัพยูเครนและเส้นทางการสนับสนุนจากต่างประเทศ ในขณะที่ประชาคมระหว่างประเทศพยายามหาวิธีการลงโทษอาชญากรรมสงคราม กลุ่มต่างๆ ที่เชื่อมโยงกับบริการด้านหน่วยงานข่าวกรองต่างประเทศ (SVR) และความมั่นคงของรัฐบาลกลาง (FSB) ของรัสเซียต่างมุ่งเป้าโจมตีหน่วยงานสืบสวนด้านอาชญากรรมสงครามทั้งภายในและภายนอกยูเครน

ในฝั่งการแทรกแซงด้านข้อมูลข่าวสาร การก่อกบฏช่วงสั้นๆ ในเดือนมิถุนายน 2023 และการเสียชีวิตในเวลาต่อมาของ Yevgeny Prigozhin ซึ่งเป็นเจ้าของ Wagner Group และกลุ่มผู้ดำเนินการแทรกแซงด้านข้อมูลข่าวสารของ Internet Research Agency ที่มีชื่อเสียงในทางลบ ก่อให้เกิดคำถามเกี่ยวกับอนาคตของความสามารถในการแทรกแซงด้านข้อมูลข่าวสารของรัสเซีย ตลอดช่วงฤดูร้อนนี้ Microsoft สังเกตพบการดำเนินงานอย่างกว้างขวางโดยองค์กรต่างๆ ที่ไม่เกี่ยวข้องกับ Prigozhin ซึ่งแสดงให้เห็นถึงอนาคตของแคมเปญการแทรกแซงด้านข้อมูลข่าวสารที่มุ่งร้ายของรัสเซียแม้ Prigozhin จะไม่มีส่วนร่วมอีกต่อไปแล้วก็ตาม

ทีม Microsoft Threat Intelligence และ Incident Response ได้แจ้งและทำงานร่วมกับลูกค้าและพันธมิตรภาครัฐที่ได้รับผลกระทบเพื่อบรรเทาผลกระทบจากกิจกรรมภัยคุกคามที่อธิบายไว้ในรายงานนี้

แม้กองกำลังของรัสเซียจะพึ่งพาอาวุธทั่วไปมากขึ้นเพื่อสร้างความเสียหายในยูเครน แต่การดำเนินการทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสารยังคงเป็นภัยคุกคามเร่งด่วนต่อความปลอดภัยของเครือข่ายคอมพิวเตอร์และชีวิตพลเมืองภายในกลุ่มพันธมิตรของยูเครนในภูมิภาค, กลุ่ม NATO และทั่วโลก นอกเหนือจากการอัปเดตผลิตภัณฑ์รักษาความปลอดภัยของเราเพื่อปกป้องลูกค้าทั่วโลกในเชิงรุกแล้ว เรายังแบ่งปันข้อมูลนี้เพื่อส่งเสริมการเฝ้าระวังภัยคุกคามต่อบูรณภาพของแวดวงข้อมูลทั่วโลกอย่างต่อเนื่อง

กองกำลังด้านการเคลื่อนไหว การดำเนินการทางไซเบอร์ และการโฆษณาชวนเชื่อของรัสเซียร่วมมือกันเพื่อโจมตีภาคเกษตรกรรมของยูเครนในช่วงฤดูร้อนนี้ การโจมตีทางทหารได้ทำลายธัญพืชในปริมาณที่สามารถเลี้ยงดูประชากรได้มากกว่า 1 ล้านคนต่อปี ในขณะที่สื่อที่สนับสนุนรัสเซียยังคงผลักดันการบอกเล่าเรื่องราวเพื่อสร้างความชอบธรรมของการโจมตีตามเป้าหมายโดยไม่คำนึงถึงการสูญเสียด้านความช่วยเหลือทางมนุษยธรรม1

ตั้งแต่เดือนมิถุนายนถึงกันยายน Microsoft Threat Intelligence สังเกตพบการเจาะระบบเครือข่าย การลักลอบถ่ายโอนข้อมูล หรือแม้แต่มัลแวร์ทำลายล้างที่ปรับใช้กับองค์กรที่มีความสัมพันธ์กับอุตสาหกรรมการเกษตรของยูเครนและโครงสร้างพื้นฐานการขนส่งที่เกี่ยวข้องกับธัญพืช ในเดือนมิถุนายนและกรกฎาคม Aqua Blizzard (เดิมชื่อ ACTINIUM) ได้ขโมยข้อมูลจากบริษัทที่ช่วยเหลือด้านการติดตามผลผลิตพืชผล Seashell Blizzard (เดิมชื่อ IRIDIUM) ใช้มัลแวร์ทำลายล้างขั้นพื้นฐานหลายรูปแบบที่ Microsoft ตรวจพบว่าเป็น WalnutWipe/SharpWipe กับเครือข่ายภาคส่วนอาหาร/การเกษตร2

รายละเอียดปลีกย่อยของการแสดงกิจกรรมการโฆษณาชวนเชื่อทางดิจิทัลของรัสเซียที่มุ่งโจมตีภาคเกษตรกรรมของยูเครน

การแสดงกิจกรรมการโฆษณาชวนเชื่อทางดิจิทัลของรัสเซียที่มุ่งโจมตีภาคเกษตรกรรมของยูเครน
เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 4 ของรายงานฉบับเต็ม

ในเดือนกรกฎาคม รัฐบาลรัสเซียถอนตัวจากโครงการ Black Sea Grain Initiative ซึ่งเป็นความพยายามด้านมนุษยธรรมที่ช่วยขจัดวิกฤตอาหารทั่วโลก และอนุญาตให้มีการขนส่งข้าวสาลีมากกว่า 725,000 ตันไปยังประชากรในอัฟกานิสถาน เอธิโอเปีย เคนยา โซมาเลีย และเยเมนในปีแรก3 หลังจากการดำเนินการของรัฐบาลรัสเซีย สื่อมวลชนและช่อง Telegram ที่สนับสนุนรัสเซียต่างร่วมวงกล่าวหาโครงการริเริ่มด้านธัญพืชในทางเสียหายและสร้างความชอบธรรมให้กับการตัดสินใจของรัฐบาลรัสเซีย สื่อมวลชนสายโฆษณาชวนเชื่อเริ่มกล่าวร้ายป้ายสีโครงการริเริ่ม ด้านว่าเป็นแนวหน้าในการลักลอบค้ายาเสพติดหรือระบุว่าเป็นช่องทางซ่อนเร้นในการโยกย้ายอาวุธ เพื่อลดความสำคัญด้านมนุษยธรรมของข้อตกลงดังกล่าว

ในรายงานปี 2023 หลายฉบับ เราได้เน้นย้ำถึงวิธีการที่กลุ่มนักเคลื่อนไหวด้วยการแฮ็กข้อมูลที่ถูกต้องตามกฎหมายหรือหลอกลวงซึ่งต้องสงสัยว่ามีความเกี่ยวข้องกับ GRU ได้ทำงานเพื่อปลุกปั่นความไม่พอใจของรัฐบาลรัสเซียที่มีต่อประเทศปรปักษ์ และนำเสนอจำนวนกองกำลังทางไซเบอร์ที่สนับสนุนรัสเซียมากเกินจริง4 5 6 ในฤดูร้อนนี้ เรายังสังเกตพบตัวตนของนักเคลื่อนไหวด้วยการแฮ็กข้อมูลใน Telegram กระจายข้อความที่พยายามสร้างความชอบธรรมให้กับการโจมตีทางทหารต่อโครงสร้างพื้นฐานของพลเรือนในยูเครน และมุ่งเน้นการโจมตีโดยปฏิเสธการให้บริการแบบกระจาย (DDoS) ต่อพันธมิตรของยูเครนในต่างประเทศอีกด้วย การเฝ้าติดตามกลุ่มนักเคลื่อนไหวด้วยการแฮ็กข้อมูลที่มีความสัมพันธ์กับผู้โจมตีที่กำกับโดยรัฐอย่างต่อเนื่องของ Microsoft นำเสนอข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับจังหวะการดำเนินงานของทั้งสองกลุ่ม และวิธีการที่กิจกรรมของทั้งสองกลุ่มส่งเสริมเป้าหมายของกันและกัน

จนถึงปัจจุบัน เราได้ระบุตัวตนของกลุ่มสามกลุ่ม ได้แก่ Solntsepek, InfoCentr และ Cyber Army of Russia ซึ่งต่างมีความสัมพันธ์กับ Seashell Blizzard ความสัมพันธ์ของ Seashell Blizzard กับกลุ่มนักเคลื่อนไหวด้วยการแฮ็กข้อมูลอาจเป็นเพียงการใช้งานระยะสั้นแทนที่จะเป็นการควบคุม โดยอิงจากความสามารถทางไซเบอร์ที่เพิ่มสูงขึ้นชั่วคราวในระยะเวลาสั้นๆ ของนักเคลื่อนไหวด้วยการแฮ็กข้อมูลซึ่งสอดคล้องกับการโจมตีของ Seashell Blizzard Seashell Blizzard เริ่มการโจมตีแบบทำลายล้างเป็นระยะ ซึ่งกลุ่มนักเคลื่อนไหวด้วยการแฮ็กข้อมูลบน Telegram ออกมาอ้างความรับผิดชอบต่อสาธารณะ จากนั้นนักเคลื่อนไหวด้วยการแฮ็กข้อมูลจึงกลับไปดำเนินการที่มีความซับซ้อนต่ำที่มักจะดำเนินการอยู่แล้ว รวมถึงการโจมตีแบบ DDoS หรือการปล่อยข้อมูลส่วนบุคคลของยูเครน เครือข่ายดังกล่าวแสดงให้เห็นถึงโครงสร้างพื้นฐานที่มีความคล่องตัวซึ่ง APT สามารถใช้เพื่อส่งเสริมกิจกรรมของตนได้

ภาพรายละเอียดของกลุ่มนักเคลื่อนไหวด้วยการแฮ็กข้อมูลที่สนับสนุนรัสเซีย

แผนภูมิที่แสดงภาพรายละเอียดของกลุ่มนักเคลื่อนไหวด้วยการแฮ็กข้อมูลที่สนับสนุนรัสเซีย
เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 5 ของรายงานฉบับเต็ม

กองกำลังของรัสเซียไม่เพียงแต่มีส่วนร่วมในการดำเนินการที่อาจขัดต่อกฎหมายระหว่างประเทศเท่านั้น แต่ยังมุ่งเป้าโจมตีไปยังหน่วยงานสืบสวนอาชญากรรมและอัยการที่ดำเนินการฟ้องร้องพวกเขาด้วย

ข้อมูลจากการวัดและส่งข้อมูลทางไกลของ Microsoft เปิดเผยว่าผู้ดำเนินการที่เชื่อมโยงกับหน่วยงานข่าวกรองทางการทหารและต่างประเทศของรัสเซียมุ่งเป้าโจมตีและเจาะระบบเครือข่ายด้านกฎหมายและการสืบสวนของยูเครน รวมถึงองค์กรระหว่างประเทศที่เกี่ยวข้องกับการสืบสวนด้านอาชญากรรมสงคราม ตลอดฤดูใบไม้ผลิและฤดูร้อนของปีนี้

การดำเนินการทางไซเบอร์เหล่านี้เกิดขึ้นท่ามกลางความตึงเครียดที่เพิ่มขึ้นระหว่างรัฐบาลรัสเซียและกลุ่มต่างๆ เช่น ศาลอาญาระหว่างประเทศ (ICC) ซึ่งได้ออกหมายจับประธานาธิบดี Putin ของรัสเซียในข้อหาก่ออาชญากรรมสงครามเมื่อเดือนมีนาคม7

ในเดือนเมษายน Seashell Blizzard ที่เชื่อมโยงกับ GRU ได้โจมตีเครือข่ายของสำนักงานกฎหมายที่ดูแลคดีอาชญากรรมสงครามเป็นหลัก Aqua Blizzard ซึ่งมาจาก FSB เจาะระบบเครือข่ายภายในของหน่วยงานสืบสวนหลักในยูเครนในเดือนกรกฎาคม จากนั้นจึงใช้บัญชีที่ขโมยมาจากการดำเนินการดังกล่าวเพื่อส่งอีเมลฟิชชิ่งไปยังบริษัทโทรคมนาคมของยูเครนหลายแห่งในเดือนกันยายน

Midnight Blizzard (เดิมชื่อ NOBELIUM) ที่เป็นผู้ดำเนินการของ SVR โจมตีและเข้าถึงเอกสารขององค์กรทางกฎหมายที่มีความรับผิดชอบทั่วโลกในเดือนมิถุนายนและกรกฎาคม ก่อนที่ Microsoft Incident Response จะเข้ามาแทรกแซงเพื่อจัดการกับการบุกรุกดังกล่าว กิจกรรมนี้เป็นส่วนหนึ่งของการผลักดันในเชิงรุกมากขึ้นโดยผู้ดำเนินการรายนี้เพื่อเจาะระบบหน่วยงานในภาคส่วนการทูต กลาโหม นโยบายสาธารณะ และไอทีทั่วโลก

การตรวจสอบการประกาศด้านความปลอดภัยของ Microsoft ที่ออกให้กับลูกค้าที่ได้รับผลกระทบตั้งแต่เดือนมีนาคมพบว่า Midnight Blizzard ได้พยายามเข้าถึงองค์กรมากกว่า 240 แห่งโดยส่วนใหญ่อยู่ในสหรัฐอเมริกา แคนาดา และประเทศอื่นๆ ในยุโรปอื่น โดยมีระดับความสำเร็จที่แตกต่างกันไป8

เกือบ 40 เปอร์เซ็นต์ ขององค์กรที่ตกเป็นเป้าหมายโจมตีเป็นหน่วยงานภาครัฐ หน่วยงานระหว่างภาครัฐ หรือคณะวิจัยที่มุ่งเน้นด้านนโยบายเป็นหลัก

ผู้ดำเนินการภัยคุกคามจากรัสเซียใช้เทคนิคต่างๆ เพื่อให้มีสิทธิ์เข้าถึงเบื้องต้นและคงอยู่บนเครือข่ายเป้าหมายได้อย่างต่อเนื่องยาวนาน Midnight Blizzard ใช้แนวทางที่ครอบคลุมการดำเนินการทุกรูปแบบโดยใช้การโจมตีแบบ Password Spray, ข้อมูลประจำตัวที่ได้รับจากบุคคลที่สาม, แคมเปญการโจมตีแบบวิศวกรรมสังคมที่น่าเชื่อถือผ่าน Teams และการใช้บริการคลาวด์ในทางที่ผิดเพื่อแทรกซึมในสภาพแวดล้อมระบบคลาวด์9 Aqua Blizzard ประสบความสำเร็จในการผสานรวมการลักลอบนำเข้า HTML ในแคมเปญฟิชชิ่งเพื่อให้มีสิทธิ์เข้าถึงเบื้องต้นเพื่อลดโอกาสในการถูกตรวจพบด้วยลายเซ็นของซอฟต์แวร์ป้องกันไวรัสและการควบคุมด้านการรักษาความปลอดภัยของอีเมล

Seashell Blizzard แสวงหาประโยชน์จากระบบเซิร์ฟเวอร์เฉพาะเขต เช่น เซิร์ฟเวอร์ Exchange และ Tomcat และใช้ประโยชน์จากซอฟต์แวร์ Microsoft Office ละเมิดลิขสิทธิ์ไปพร้อมๆ กัน ซึ่งช่วยปิดบังแบ็คดอร์ของ DarkCrystalRAT เพื่อให้มีสิทธิ์เข้าถึงเบื้องต้น แบ็คดอร์อนุญาตให้ผู้ดำเนินการโหลดส่วนข้อมูลขั้นที่สองที่เราเรียกว่า Shadowlink ซึ่งเป็นแพคเกจซอฟต์แวร์ที่แฝงตัวเป็น Microsoft Defender ที่จะติดตั้งบริการ TOR บนอุปกรณ์ และให้ผู้ดำเนินการภัยคุกคามเข้าถึงแบบซ่อนเร้นผ่านเครือข่าย TOR10

ไดอะแกรมที่แสดงวิธีการที่ Shadowlink ติดตั้งบริการ TOR บนอุปกรณ์ซอฟต์แวร์
เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 6 ของรายงานฉบับเต็ม 

นับตั้งแต่กองกำลังของรัสเซียเปิดฉากการโจมตีในช่วงฤดูใบไม้ผลิปี 2023 ผู้ดำเนินการทางไซเบอร์ที่เกี่ยวข้องกับ GRU และ FSB ได้มุ่งความสนใจไปยังการรวบรวมข่าวกรองจากการติดต่อสื่อสารของยูเครนและโครงสร้างพื้นฐานทางการทหารในสมรภูมิ

ในเดือนมีนาคม Microsoft Threat Intelligence เชื่อมโยงความสัมพันธ์ของ Seashell Blizzard กับเหยื่อล่อและแพคเกจฟิชชิ่งที่อาจได้รับการปรับแต่งเพื่อมุ่งเป้าโจมตีไปยังองค์ประกอบหลักของโครงสร้างพื้นฐานด้านการสื่อสารทางการทหารของยูเครน เราไม่สามารถมองเห็นข้อมูลการดำเนินการที่เป็นผลลัพธ์ตามมาได้ ตามรายงานของหน่วยงานข่าวกรองของยูเครน (SBU) ความพยายามอื่นๆ ของ Seashell Blizzard ในการเข้าถึงเครือข่ายทางการทหารของยูเครนรวมถึงมัลแวร์ที่จะอนุญาตให้พวกเขารวบรวมข้อมูลเกี่ยวกับการกำหนดค่าของสถานีดาวเทียม Starlink ที่เชื่อมต่ออยู่ และรวบรวมตำแหน่งที่ตั้งของหน่วยทหารของยูเครน11 12 13

Secret Blizzard (เดิมชื่อ KRYPTON) ยังโยกย้ายไปยังฐานที่มั่นในการรวบรวมข้อมูลข่าวกรองอย่างปลอดภัยในเครือข่ายที่เกี่ยวข้องกับด้านกลาโหมของยูเครนอีกด้วย Microsoft Threat Intelligence ร่วมมือกับทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ของรัฐบาลยูเครน (CERT-UA) เพื่อระบุการมีอยู่ของมัลแวร์แบ็คดอร์อย่าง DeliveryCheck และ Kazuar ของ Secret Blizzard ในระบบของกองกำลังด้านกลาโหมของยูเครน14 Kazuar มีฟังก์ชันมากกว่า 40 รายการ รวมถึงการขโมยข้อมูลประจำตัวจากแอปพลิเคชันต่างๆ ข้อมูลการตรวจสอบสิทธิ์ พร็อกซี และคุกกี้ และการดึงข้อมูลจากบันทึกของระบบปฏิบัติการ15 Secret Blizzard สนใจเป็นพิเศษในการขโมยไฟล์ที่มีข้อความจากแอปพลิเคชันส่งข้อความบนเดสก์ท็อปของ Signal ซึ่งจะช่วยให้พวกเขาสามารถอ่านข้อความแชทส่วนตัวของ Signal ได้16

Forest Blizzard (เดิมชื่อ SRONTIUM) ได้กลับมาให้ความสำคัญกับเป้าหมายจารกรรมแบบดั้งเดิม นั่นคือหน่วยงานที่เกี่ยวข้องกับกลาโหมในสหรัฐอเมริกา แคนาดา และยุโรป ซึ่งให้การสนับสนุนและการฝึกอบรมทางการทหารที่ทำให้กองกำลังของยูเครนมีความพร้อมในการสู้รบต่อไป

ตั้งแต่เดือนมีนาคม Forest Blizzard ได้พยายามเข้าถึงหน่วยงานด้านกลาโหมเบื้องต้นผ่านข้อความฟิชชิ่งที่นำเทคนิคใหม่และแบบหลบเลี่ยงมาใช้ร่วมกัน ตัวอย่างเช่น ในเดือนสิงหาคม Forest Blizzard ส่งอีเมลฟิชชิ่งที่นำช่องโหว่สำหรับ CVE-2023-38831 มาใช้กับเจ้าของบัญชีในหน่วยงานด้านกลาโหมของยุโรป CVE-2023-38831 เป็นช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ WinRAR ที่ช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่กำหนดเองได้ เมื่อผู้ใช้พยายามดูไฟล์ที่ไม่เป็นอันตรายภายในไฟล์เก็บถาวรแบบ ZIP

ผู้ดำเนินการยังใช้ประโยชน์จากเครื่องมือสำหรับนักพัฒนาที่ถูกต้องตามกฎหมาย เช่น Mockbin และ Mocky เพื่อสั่งการและควบคุมอีกด้วย เมื่อปลายเดือนกันยายน ผู้ดำเนินการเริ่มแคมเปญฟิชชิ่งที่ใช้บริการของ GitHub และ Mockbin อย่างไม่เหมาะสม CERT-UA และบริษัทด้านการรักษาความปลอดภัยทางไซเบอร์อื่นๆ เผยแพร่กิจกรรมดังกล่าวในเดือนกันยายน โดยให้ข้อสังเกตว่าผู้ดำเนินการใช้หน้าเว็บไซต์อนาจารเพื่อดึงดูดเหยื่อให้คลิกลิงก์หรือเปิดไฟล์ที่จะเปลี่ยนเส้นทางพวกเขาไปยังโครงสร้างพื้นฐาน Mockbin ที่เป็นอันตราย17 18 Microsoft สังเกตพบการเปลี่ยนไปใช้หน้าเว็บไซต์ที่มีธีมเทคโนโลยีในช่วงปลายเดือนกันยายน ในแต่ละกรณี ผู้ดำเนินการจะส่งอีเมลฟิชชิ่งที่มีลิงก์ที่เป็นอันตรายซึ่งจะเปลี่ยนเส้นทางเหยื่อไปยัง URL ของ Mockbin และดาวน์โหลดไฟล์ zip ที่มาพร้อมกับไฟล์ LNK (ทางลัด) ที่เป็นอันตรายซึ่งแฝงตัวเป็นการอัปเดต Windows จากนั้นไฟล์ LNK จะดาวน์โหลดและเรียกใช้สคริปต์ PowerShell อื่นเพื่อสร้างความคงอยู่และดำเนินการที่เป็นผลลัพธ์ตามมา เช่น การโจรกรรมข้อมูล

สกรีนช็อตตัวอย่างของเหยื่อล่อในรูปแบบ PDF ที่เกี่ยวข้องกับกิจกรรมฟิชชิ่งที่มีการแอบอ้างหน่วยงานด้านกลาโหมโดย Forest Blizzard

ผู้ดำเนินการภัยคุกคามแฝงตัวเป็นเจ้าหน้าที่รัฐสภายุโรป
สิ่งที่แนบมากับอีเมล: “วาระการประชุมวันที่ 28 ส.ค. - 3 ก.ย. 2023” สำหรับการประชุมรัฐสภายุโรป การติดต่อสื่อสารด้านบริการสำหรับสื่อมวลชน bulletin.rar ขนาด 160 KB
รูปภาพที่ 5: ตัวอย่างสกรีนช็อตของเหยื่อล่อในรูปแบบ PDF ที่เกี่ยวข้องกับกิจกรรมฟิชชิ่งที่มีการแอบอ้างหน่วยงานด้านกลาโหมโดย Forest Blizzard  เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 8 ในรายงานฉบับเต็ม

ตลอดปี 2023 MTAC ยังคงเฝ้าสังเกต Storm-1099 ซึ่งเป็นผู้ดำเนินการแทรกแซงด้านข้อมูลข่าวสารที่เกี่ยวข้องกับรัสเซียซึ่งรับผิดชอบการดำเนินการแทรกแซงด้านข้อมูลข่าวสารที่ซับซ้อนเพื่อสนับสนุนรัสเซีย โดยมุ่งเป้าโจมตีไปยังผู้สนับสนุนจากต่างประเทศของยูเครนตั้งแต่ช่วงฤดูใบไม้ผลิปี 2022

กิจกรรมของ Storm-1099 ซึ่งอาจเป็นที่รู้จักกันเป็นอย่างดีจากปฏิบัติการปลอมแปลงเว็บไซต์ในวงกว้างที่มีชื่อว่า “Doppelganger” โดยกลุ่มวิจัย EU DisinfoLab19 ยังรวมถึงสื่อมวลชนที่มีเอกลักษณ์ไม่เหมือนใคร เช่น Reliable Recent News (RRN), โครงการในรูปแบบมัลติมีเดีย เช่น ซีรีส์การ์ตูนต่อต้านยูเครน “Ukraine Inc.” และการสาธิตภาคพื้นดินที่เชื่อมโยงโลกดิจิทัลและโลกแห่งความเป็นจริงเข้าด้วยกัน แม้ว่าจะไม่สามารถระบุแหล่งที่มาได้อย่างครบถ้วนสมบูรณ์ แต่นักเทคโนโลยีการเมือง นักโฆษณาชวนเชื่อ และผู้เชี่ยวชาญด้านการประชาสัมพันธ์ของรัสเซียที่ได้รับทุนสนับสนุนอย่างดีซึ่งมีความสัมพันธ์ที่พิสูจน์ได้กับสหพันธรัฐรัสเซียได้ดำเนินการและสนับสนุนแคมเปญของ Storm-1099 หลายแคมเปญ20

ปฏิบัติการ Doppelganger ของ Storm-1099 ยังคงดำเนินต่อไปอย่างเต็มรูปแบบ ณ เวลาที่จัดทำรายงานฉบับนี้ แม้ว่าบริษัทเทคโนโลยีและหน่วยงานวิจัยจะพยายามอย่างต่อเนื่องในการรายงานและลดทอนการเข้าถึง21 แม้ว่าผู้ดำเนินการรายนี้เคยมีประวัติมุ่งเป้าโจมตีไปยังยุโรปตะวันตกซึ่งโดยหลักๆ แล้วคือเยอรมนีในอดีต แต่ก็ยังมุ่งเป้าโจมตีไปยังฝรั่งเศส อิตาลี และยูเครนด้วยเช่นกัน ในช่วงหลายเดือนที่ผ่านมา Storm-1099 ได้เปลี่ยนเป้าหมายในการโจมตีไปยังสหรัฐอเมริกาและอิสราเอลแทน การเปลี่ยนแปลงนี้เริ่มต้นตั้งแต่เดือนมกราคม 2023 ท่ามกลางการประท้วงที่ขยายวงกว้างในอิสราเอลเพื่อต่อต้านข้อเสนอการปฏิรูประบบตุลาการ และทวีความรุนแรงมากขึ้นหลังจากการเริ่มต้นของสงครามระหว่างอิสราเอล-กลุ่มฮามาสเมื่อช่วงต้นเดือนตุลาคม สื่อมวลชนที่เกิดขึ้นใหม่นี้สะท้อนให้เห็นถึงการให้ความสำคัญที่เพิ่มขึ้นของการเมืองสหรัฐอเมริกาและการเลือกตั้งประธานาธิบดีสหรัฐอเมริกาในปี 2024 ที่กำลังจะเกิดขึ้น ในขณะที่กลุ่มสื่อของ Storm-1099 ที่มีอยู่ได้ผลักดันการกล่าวอ้างที่เป็นเท็จว่ากลุ่มฮามาสซื้ออาวุธจากยูเครนในตลาดมืดสำหรับการโจมตีในอิสราเอลเมื่อวันที่ 7 ตุลาคม

ล่าสุดในช่วงปลายเดือนตุลาคม MTAC สังเกตพบบัญชีที่ Microsoft ประเมินว่าเป็นกลุ่มสื่อของ Storm-1099 ที่ส่งเสริมการปลอมแปลงรูปแบบใหม่ นอกเหนือจากบทความและเว็บไซต์ปลอมบนโซเชียลมีเดีย ซึ่งเป็นคลิปข่าวปลอมขนาดสั้นแบบต่อเนื่องที่เห็นได้ชัดว่าสร้างขึ้นโดยสื่อมวลชนที่มีชื่อเสียง ซึ่งเผยแพร่การโฆษณาชวนเชื่อที่สนับสนุนรัสเซียเพื่อบ่อนทำลายการสนับสนุนสำหรับทั้งยูเครนและอิสราเอล แม้ว่ากลยุทธ์การใช้วิดีโอปลอมเพื่อผลักดันแนวคิดการโฆษณาชวนเชื่อจะเป็นกลยุทธ์ที่สามารถสังเกตพบได้จากผู้ดำเนินการสนับสนุนรัสเซียในวงกว้างตลอดช่วงหลายเดือนที่ผ่านมา แต่การส่งเสริมเนื้อหาของวิดีโอดังกล่าวโดย Storm-1099 มุ่งเน้นเฉพาะเทคนิคการแทรกแซงด้านข้อมูลและเป้าหมายในการส่งสารที่หลากหลายของผู้ดำเนินการเท่านั้น

บทความที่เผยแพร่บนเว็บไซต์ปลอมของ Doppelganger

Microsoft เฝ้าสังเกตและติดตามแคมเปญที่ดำเนินการโดย Storm 1099 ซึ่งเป็นผู้ดำเนินการภัยคุกคามทางไซเบอร์ด้านการแทรกแซงด้านข้อมูลข่าวสารจากรัสเซีย
เฝ้าสังเกตและติดตามโดย Microsoft เมื่อวันที่ 31 ตุลาคม 2023 บทความที่เผยแพร่บนเว็บไซต์ปลอมของ Doppelganger แคมเปญที่ดำเนินการโดย Storm 1099 ซึ่งเป็นผู้ดำเนินการภัยคุกคามทางไซเบอร์ด้านการแทรกแซงด้านข้อมูลข่าวสารจากรัสเซีย
เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 9 ในรายงานฉบับเต็ม

นับตั้งแต่การโจมตีของกลุ่มฮามาสในอิสราเอลเมื่อวันที่ 7 ตุลาคม สื่อของสหพันธรัฐรัสเซียและผู้ดำเนินการที่เกี่ยวข้องกับรัฐได้พยายามแสวงหาประโยชน์จากสงครามระหว่างอิสราเอล-กลุ่มฮามาสเพื่อส่งเสริมการบอกเล่าเรื่องราวเพื่อต่อต้านยูเครน ความรู้สึกต่อต้านสหรัฐอเมริกา และยกระดับความตึงเครียดรุนแรงของทุกฝ่าย กิจกรรมนี้แม้จะเป็นปฏิกิริยาตอบสนองต่อสงครามและโดยทั่วไปแล้วมีขอบเขตที่จำกัด แต่ก็เกี่ยวข้องกับสื่อที่ได้รับการสนับสนุนจากรัฐอย่างเปิดเผยและเครือข่ายโซเชียลมีเดียที่เกี่ยวข้องกับรัสเซียในทางลับซึ่งครอบคลุมแพลตฟอร์มโซเชียลมีเดียหลายแห่ง

 

การบอกเล่าเรื่องราวที่ได้รับการส่งเสริมโดยนักสร้างโฆษณาชวนเชื่อชาวรัสเซียและเครือข่ายโซเชียลมีเดียที่สนับสนุนรัสเซียพยายามที่จะทำให้อิสราเอลต่อต้านยูเครน และลดทอนการสนับสนุนจากฝั่งตะวันตกสำหรับยูเครน ด้วยการกล่าวอ้างที่เป็นเท็จว่ายูเครนติดอาวุธให้กับกลุ่มติดอาวุธฮามาสผ่านสื่อมวลชนที่มีชื่อเสียงและวิดีโอที่มีการบิดเบือน วิดีโอปลอมซึ่งอ้างว่ามีการโยกย้ายทหารเกณฑ์ต่างประเทศรวมถึงชาวอเมริกันจากยูเครนเพื่อเข้าร่วมปฏิบัติการของกองกำลังป้องกันอิสราเอล (IDF) ในฉนวนกาซา ซึ่งมียอดผู้ชมหลายแสนครั้งบนแพลตฟอร์มโซเชียลมีเดีย เป็นเพียงตัวอย่างหนึ่งของเนื้อหาดังกล่าว กลยุทธ์นี้ช่วยขับเคลื่อนการบอกเล่าเรื่องราวเพื่อต่อต้านยูเครนสู่ผู้ชมในวงกว้าง และกระตุ้นการมีส่วนร่วมด้วยการกำหนดรูปแบบการบอกเล่าเรื่องราวที่เป็นเท็จเพื่อให้สอดคล้องกับเนื้อหาข่าวสำคัญที่กำลังเกิดขึ้น

 

รัสเซียยังขยายกิจกรรมการแทรกแซงด้านข้อมูลข่าวสารทางดิจิทัลไปยังการสนับสนุนกิจกรรมในโลกแห่งความเป็นจริงอีกด้วย สื่อมวลชนของรัสเซียได้ส่งเสริมเนื้อหาก่อความไม่สงบอย่างจริงจังซึ่งหยิบยกการประท้วงที่เกี่ยวข้องกับสงครามระหว่างอิสราเอล-กลุ่มฮามาสในตะวันออกกลางและยุโรปขึ้นมานำเสนอ รวมถึงผ่านทางผู้สื่อข่าวภาคสนามจากสำนักข่าวของสหพันธรัฐรัสเซีย ในช่วงปลายเดือนตุลาคม 2023 เจ้าหน้าที่ของฝรั่งเศสแจ้งข้อกล่าวหากับชาวมอลโดวา 4 คนว่าอาจมีส่วนเกี่ยวข้องกับภาพกราฟฟิตีรูปดาราแห่งดาวิดในพื้นที่สาธารณะของปารีส มีรายงานว่าชาวมอลโดวา 2 คนอ้างว่าพวกเขาได้รับคำสั่งจากบุคคลที่พูดภาษารัสเซีย ซึ่งบ่งบอกถึงความเป็นไปได้ที่รัสเซียจะมีส่วนรับผิดชอบต่อภาพกราฟฟิตีดังกล่าว รูปภาพของกราฟฟิตีได้รับการหยิบยกขึ้นมานำเสนอในภายหลังโดยกลุ่มสื่อของ Storm-109922

 

รัสเซียมีแนวโน้มที่จะประเมินว่าตนเองมีข้อได้เปรียบทางภูมิรัฐศาสตร์ในความขัดแย้งระหว่างอิสราเอลและกลุ่มฮามาสที่กำลังดำเนินอยู่ เนื่องจากเชื่อว่าความขัดแย้งดังกล่าวเบี่ยงเบนความสนใจของชาติตะวันตกจากสงครามในยูเครน ตามกลยุทธ์ที่ใช้บ่อยในคู่มือการวางแผนกลยุทธในการแทรกแซงด้านข้อมูลข่าวสารของรัสเซีย MTAC ประเมินว่าผู้ดำเนินการดังกล่าวจะยังคงเผยแพร่การโฆษณาชวนเชื่อทางออนไลน์ และใช้ประโยชน์จากเหตุการณ์สำคัญระดับนานาชาติอื่นๆ ต่อไป เพื่อกระตุ้นความตึงเครียดและพยายามกีดขวางความสามารถของชาติตะวันตกในการต่อต้านการรุกรานยูเครนของรัสเซีย

การโฆษณาชวนเชื่อเพื่อต่อต้านยูเครนได้แพร่ขยายในวงกว้างในทุกกิจกรรมการแทรกแซงด้านข้อมูลข่าวสารของรัสเซียนับตั้งแต่ก่อนการรุกรานเต็มรูปแบบในปี 2022 อย่างไรก็ตาม ในช่วงไม่กี่เดือนที่ผ่านมา เครือข่ายการแทรกแซงด้านข้อมูลข่าวสารที่สนับสนุนรัสเซียและเกี่ยวข้องกับรัสเซียได้มุ่งเน้นไปที่การใช้วิดีโอเป็นสื่อแบบไดนามิกมากขึ้นในการเผยแพร่สารเหล่านี้ ควบคู่ไปกับการปลอมแปลงเป็นสื่อมวลชนที่เชื่อถือได้เพื่อยกระดับความน่าเชื่อถือของตน MTAC ได้สังเกตพบแคมเปญที่กำลังดำเนินอยู่สองแคมเปญที่ดำเนินการโดยผู้ดำเนินการสนับสนุนรัสเซียที่ยังไม่สามารถระบุตัวตนได้ ซึ่งเกี่ยวข้องกับการหลอกลวงในข่าวกระแสหลักและแบรนด์สื่อบันเทิงเพื่อผลักดันเนื้อหาของวิดีโอที่มีการบิดเบือน เช่นเดียวกับแคมเปญการโฆษณาชวนเชื่อของรัสเซียก่อนหน้า กิจกรรมนี้มุ่งเน้นไปที่การนำเสนอภาพประธานาธิบดี Volodymyr Zelensky ของรัสเซียว่าเป็นผู้ติดยาเสพติดที่เสื่อมทราม และการสนับสนุนจากชาติตะวันตกสำหรับยูเครนว่าเป็นอันตรายต่อประชากรในประเทศเหล่านั้น เนื้อหาในทั้งสองแคมเปญพยายามลดทอนการสนับสนุนยูเครนอย่างต่อเนื่อง แต่ปรับแต่งการบอกเล่าเรื่องราวให้สอดคล้องกับข่าวสารเหตุการณ์ที่เกิดขึ้น เช่น การระเบิดของเรือดำน้ำ Titan ในเดือนมิถุนายน 2023 หรือสงครามระหว่างอิสราเอล-กลุ่มฮามาสเพื่อเข้าถึงผู้ชมในวงกว้างขึ้น

ไดอะแกรมที่แสดงภาพรวมของคลิปข่าวปลอม

การแสดงภาพรวมของคลิปข่าวปลอม
เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 11 ในรายงานฉบับเต็ม

หนึ่งในแคมเปญที่มุ่งเน้นวิดีโอเป็นหลักเกี่ยวข้องกับวิดีโอที่ปลอมแปลงขึ้นแบบต่อเนื่องซึ่งเผยแพร่เนื้อหาที่เป็นเท็จ ต่อต้านยูเครน และเกี่ยวข้องกับรัฐบาลรัสเซีย และการบอกเล่าเรื่องราวด้วยการแฝงตัวในรูปแบบรายงานข่าวสั้นจากสื่อกระแสหลัก MTAC สังเกตพบกิจกรรมนี้ครั้งแรกในเดือนเมษายน 2022 เมื่อช่อง Telegram ที่สนับสนุนรัสเซียโพสต์วิดีโอ BBC News ปลอม ซึ่งอ้างว่ากองทัพยูเครนต้องรับผิดชอบต่อการโจมตีด้วยขีปนาวุธที่คร่าชีวิตพลเรือนหลายสิบคน วิดีโอดังกล่าวใช้โลโก้, รูปแบบสีและการนำเสนอของ BBC และมีคำบรรยายภาษาอังกฤษที่มีข้อผิดพลาดที่มักเกิดขึ้นเมื่อแปลจากภาษาสลาฟเป็นภาษาอังกฤษ

แคมเปญนี้ยังคงดำเนินต่อไปตลอดปี 2022 และทวีความรุนแรงยิ่งขึ้นในช่วงฤดูร้อนปี 2023 ในขณะที่รวบรวมรายงานนี้ MTAC ได้สังเกตพบวิดีโอสื่อมวลชนปลอมหลายสิบรายการในแคมเปญดังกล่าว โดยสื่อมวลชนที่ถูกปลอมแปลงบ่อยที่สุด ได้แก่ BBC News, Al Jazeera และ EuroNews ช่อง Telegram ภาษารัสเซียได้หยิบยกวิดีโอขึ้นมานำเสนอเป็นครั้งแรก ก่อนจะเผยแพร่ไปยังแพลตฟอร์มโซเชียลมีเดียกระแสหลัก

สกรีนช็อตของวิดีโอที่เลียนแบบโลโก้และรูปแบบการนำเสนอของสำนักข่าว BBC News (ซ้าย) และ EuroNews (ขวา)

คลิปข่าวปลอมที่มีข้อมูลบิดเบือนของรัสเซีย
Microsoft Threat Intelligence: ข่าวปลอมเชื่อมโยงความล้มเหลวของกองทัพยูเครน การโจมตีของกลุ่มฮามาส และความรับผิดชอบของอิสราเอลที่เป็นข้อมูลเท็จ
คลิปข่าวปลอมที่มีข้อมูลบิดเบือนของรัสเซีย สกรีนช็อตของวิดีโอที่เลียนแบบโลโก้และรูปแบบการนำเสนอของสำนักข่าว BBC News (ซ้าย) และ EuroNews (ขวา) เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 12 ในรายงานฉบับเต็ม

แม้ว่าเนื้อหานี้มีการเข้าถึงที่จำกัด แต่ก็อาจเป็นภัยคุกคามที่น่าเชื่อถือต่อเป้าหมายในอนาคตหากได้รับการปรับแต่งหรือปรับปรุงด้วยพลังของ AI หรือหยิบยกขึ้นมานำเสนอโดยผู้ส่งสารที่น่าเชื่อถือมากขึ้น ผู้ดำเนินการสนับสนุนรัสเซียที่รับผิดชอบในการสร้างคลิปข่าวปลอมพร้อมตอบสนองต่อเหตุการณ์โลกในปัจจุบันและมีความความว่องไวอยู่เสมอ ตัวอย่างเช่น วิดีโอปลอมของ BBC News ที่แอบอ้างอย่างไม่ถูกต้องว่า Bellingcat ที่เป็นองค์กรสื่อสารมวลชนเชิงสืบสวนค้นพบว่ามีการขายอาวุธให้กับกลุ่มติดอาวุธฮามาสโดยเจ้าหน้าที่ทางการทหารของยูเครนผ่านตลาดมืด เนื้อหาของวิดีโอนี้สะท้อนถ้อยแถลงต่อสาธารณะของอดีตประธานาธิบดี Dmitry Medvedev ของรัสเซียเพียงหนึ่งวันก่อนที่จะมีการเผยแพร่วิดีโอ ซึ่งแสดงให้เห็นถึงความสอดคล้องกันอย่างชัดเจนของแคมเปญดังกล่าวกับการนำเสนอสารของรัฐบาลรัสเซียอย่างเปิดเผย23

ตั้งแต่เดือนกรกฎาคม 2023 ช่องทางโซเชียลมีเดียที่สนับสนุนรัสเซียเริ่มเผยแพร่วิดีโอของบุคคลผู้มีชื่อเสียง โดยมีการตัดต่อแบบหลอกลวงเพื่อผลักดันการโฆษณาชวนเชื่อเพื่อต่อต้านยูเครน วิดีโอดังกล่าวซึ่งเป็นผลงานของผู้ดำเนินการแทรกแซงด้านข้อมูลข่าวสารในรัสเซียที่ยังไม่สามารถระบุตัวตนได้ ดูเหมือนจะใช้ประโยชน์จาก Cameo ซึ่งเป็นเว็บไซต์ยอดนิยมที่บุคคลผู้มีชื่อเสียงและบุคคลสาธารณะอื่นๆ สามารถบันทึกและส่งข้อความวิดีโอแบบเฉพาะตัวให้แก่ผู้ใช้ที่ชำระค่าธรรมเนียมได้ ข้อความวิดีโอสั้นๆ ซึ่งมักนำเสนอบุคคลผู้มีชื่อเสียงที่ร้องขอให้ “Vladimir” เข้ารับการบำบัดการใช้สารเสพติด ได้รับการตัดต่อโดยผู้ดำเนินการที่ยังไม่สามารถระบุตัวตนได้โดยเพิ่มอีโมจิและลิงก์เข้าไปด้วย วิดีโอเผยแพร่ผ่านชุมชนโซเชียลมีเดียที่สนับสนุนรัสเซีย และได้รับการหยิบยกขึ้นมานำเสนอโดยสื่อมวลชนที่เกี่ยวข้องกับสหพันธรัฐรัสเซียและดำเนินกิจการโดยรัฐ ซึ่งนำเสนอข้อความที่ไม่ถูกต้องถึงประธานาธิบดี Volodymyr Zelensky ของยูเครน ในบางกรณี ผู้ดำเนินการได้เพิ่มโลโก้ของสื่อมวลชนและชื่อบัญชีโซเชียลมีเดียของบุคคลผู้มีชื่อเสียงเพื่อทำให้วิดีโอดูเหมือนคลิปข่าวจากการรายงานเกี่ยวกับบุคคลผู้มีชื่อเสียงที่ร้องขอต่อ Zelensky แบบสาธารณะหรือโพสต์บนโซเชียลมีเดียของบุคคลผู้มีชื่อเสียงเอง เจ้าหน้าที่รัฐบาลรัสเซียและการโฆษณาชวนเชื่อที่รัฐสนับสนุนของรัสเซียได้ส่งเสริมการกล่าวอ้างที่เป็นเท็จมาอย่างยาวนานว่าประธานาธิบดี Zelensky ประสบปัญหาด้านการใช้สารเสพติด อย่างไรก็ตาม แคมเปญนี้ถือเป็นแนวทางใหม่ของผู้ดำเนินการสนับสนุนรัสเซียที่ต้องการนำเสนอการบอกเล่าเรื่องราวเพิ่มเติมในแวดวงข้อมูลออนไลน์

วิดีโอแรกในแคมเปญดังกล่าวซึ่งสังเกตพบในช่วงปลายเดือนกรกฎาคม มีอิโมจิธงชาติยูเครน, ลายน้ำจาก TMZ ที่เป็นสื่อมวลชนจากอเมริกา และลิงก์ไปยังศูนย์ฟื้นฟูสมรรถภาพผู้ติดสารเสพติดและหนึ่งในหน้าโซเชียลมีเดียอย่างเป็นทางการของประธานาธิบดี Zelensky เมื่อปลายเดือนตุลาคม 2023 ช่องทางโซเชียลมีเดียที่สนับสนุนรัสเซียได้เผยแพร่วิดีโออีก 6 รายการ โดยเฉพาะอย่างยิ่งในวันที่ 17 สิงหาคม สำนักข่าวของสหพันธรัฐรัสเซีย RIA Novosti เผยแพร่บทความเกี่ยวกับวิดีโอที่มีการนำเสนอนักแสดงชาวอเมริกัน John McGinley ราวกับว่าเป็นการร้องขอที่เกิดขึ้นจริงจาก McGinley ไปยัง Zelensky24 นอกเหนือจาก McGinley แล้ว บุคคลผู้มีชื่อเสียงที่ปรากฏในเนื้อหาของแคมเปญดังกล่าว ได้แก่ นักแสดงอย่าง Elijah Wood, Dean Norris, Kate Flannery และ Priscilla Presley นักดนตรีอย่าง Shavo Odadjian และนักมวยอย่าง Mike Tyson สื่อมวลชนอื่นๆ ของรัสเซียที่เกี่ยวข้องกับรัฐ รวมถึง Tsargrad ซึ่งเป็นสื่อมวลชนที่สหรัฐอเมริกาประกาศคว่ำบาตร ได้หยิบยกเนื้อหาของแคมเปญดังกล่าวขึ้นมานำเสนอด้วยเช่นกัน25

ภาพนิ่งจากวิดีโอที่มีการแสดงเสมือนว่าบุคคลผู้มีชื่อเสียงส่งเสริมการโฆษณาชวนเชื่อที่สนับสนุนรัสเซีย

ภาพนิ่งจากวิดีโอที่มีการนำเสนอเสมือนว่าบุคคลผู้มีชื่อเสียงส่งเสริมการโฆษณาชวนเชื่อที่สนับสนุนรัสเซีย
เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 12 ในรายงานฉบับเต็ม

ข้อมูลจากผู้บัญชาการทหารของยูเครนระบุว่ากองทัพจากรัสเซียกำลังเบนเข็มเข้าสู่เวทีแห่งใหม่ของการทำสงครามสนามเพลาะแบบไม่ต้องเคลื่อนไหว ซึ่งชี้ให้เห็นถึงความขัดแย้งที่ยืดเยื้อยาวนานยิ่งขึ้น26 ยูเครนต้องได้รับการจัดหาอาวุธอย่างต่อเนื่องและการสนับสนุนจากประชาชนเพื่อดำเนินการต่อต้านต่อไป และเรามีแนวโน้มที่จะพบเห็นผู้ดำเนินการทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสารของรัสเซียยกระดับความพยายามในการบั่นทอนขวัญกำลังใจของประชากรยูเครน และลดทอนความช่วยเหลือทางทหารและทางการเงินจากแหล่งสนับสนุนภายนอกของยูเครน

เมื่อฤดูหนาวใกล้เข้ามา เราอาจพบเห็นการโจมตีทางทหารที่มุ่งเป้าไปที่ระบบสาธารณูปโภคด้านไฟฟ้าและน้ำประปาในยูเครนอีกครั้ง ร่วมกับการโจมตีแบบทำลายล้างข้อมูลบนเครือข่ายเหล่านั้น27 หน่วยงานด้านการรักษาความปลอดภัยทางไซเบอร์ของยูเครน CERT-UA ได้ประกาศในเดือนกันยายนว่าเครือข่ายพลังงานของยูเครนต้องเผชิญภัยคุกคามอย่างต่อเนื่อง และ Microsoft Threat Intelligence สังเกตพบอาร์ทิแฟกต์ของกิจกรรมภัยคุกคามจาก GRU ในเครือข่ายภาคพลังงานของยูเครนตั้งแต่เดือนสิงหาคมถึงตุลาคม28  Microsoft สังเกตพบการใช้โปรแกรม Sdelete แบบทำลายล้างอย่างน้อยหนึ่งครั้งกับเครือข่ายบริษัทด้านพลังงานของยูเครนในเดือนสิงหาคม29

ภายนอกประเทศยูเครน การเลือกตั้งประธานาธิบดีสหรัฐอเมริกาและการแข่งขันทางการเมืองที่สำคัญอื่นๆ ในปี 2024 อาจทำให้ผู้ดำเนินการแทรกแซงด้านข้อมูลข่าวสารที่มุ่งร้ายมีโอกาสนำทักษะด้านสื่อวิดีโอและ AI ที่เกิดขึ้นใหม่มาใช้เพื่อพลิกกระแสทางการเมืองจากเจ้าหน้าที่ที่ได้รับการเลือกตั้งซึ่งพร้อมให้การสนับสนุนยูเครน30

Microsoft กำลังทำงานในหลายด้านเพื่อปกป้องลูกค้าของเราในยูเครนและทั่วโลกจากภัยคุกคามที่มีหลายแง่มุมเหล่านี้ ภายใต้โครงการ Secure Future Initiative เรากำลังบูรณาการความก้าวหน้าในการป้องกันทางไซเบอร์ที่ขับเคลื่อนด้วย AI และวิศวกรรมซอฟต์แวร์ที่ปลอดภัย เข้ากับความพยายามที่จะเสริมสร้างบรรทัดฐานระหว่างประเทศเพื่อปกป้องพลเรือนจากภัยคุกคามทางไซเบอร์ 31 เรายังปรับใช้ทรัพยากรควบคู่ไปกับชุดหลักการหลักเพื่อปกป้องผู้มีสิทธิเลือกตั้ง ผู้สมัคร แคมเปญ และหน่วยงานการเลือกตั้งทั่วโลกอีกด้วย เนื่องจากผู้คนมากกว่า 2 พันล้านคนเตรียมที่จะมีส่วนร่วมในกระบวนการประชาธิปไตยในปีหน้า32

  1. [1]
  2. [2]

    สำหรับข้อมูลทางเทคนิคเกี่ยวกับวิธีการโจมตีแบบทำลายล้างล่าสุดในยูเครน โปรดดู https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    อิงตามการประกาศที่ออกระหว่างวันที่ 15 มีนาคม 2023 ถึง 23 ตุลาคม 2023 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]

    สำหรับรายละเอียดทางเทคนิค https://go.microsoft.com/fwlink/?linkid=2262377

  30. [30]
  31. [31]
  32. [32]

บทความที่เกี่ยวข้อง

ภัยคุกคามทางดิจิทัลจากเอเชียตะวันออกขยายวงกว้างและมีประสิทธิภาพมากขึ้น

เจาะลึกและสำรวจแนวโน้มที่เกิดขึ้นใหม่ในแวดวงภัยคุกคามที่มีการพัฒนาอย่างต่อเนื่องของเอเชียตะวันออก โดยที่จีนดำเนินการทั้งทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสาร (IO) ในวงกว้าง ในขณะที่ผู้ดำเนินการภัยคุกคามทางไซเบอร์ของเกาหลีเหนือแสดงให้เห็นถึงความซับซ้อนที่เพิ่มมากขึ้น
เรียนรู้เพิ่มเติม

อิหร่านหันมาใช้การปฏิบัติการข่าวสารทางไซเบอร์เพื่อผลลัพธ์ที่ดียิ่งขึ้น

Microsoft Threat Intelligence ค้นพบการปฏิบัติการข่าวสารทางไซเบอร์เพิ่มขึ้นจากอิหร่าน รับข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามพร้อมรายละเอียดของเทคนิคใหม่ๆ และตำแหน่งที่อาจเกิดภัยคุกคามในอนาคต
เรียนรู้เพิ่มเติม

การดำเนินการทางไซเบอร์และด้านข่าวสารของสงครามในสนามรบดิจิทัลของยูเครน

Microsoft Threat Intelligence ตรวจสอบการดำเนินการทางไซเบอร์และด้านข่าวสารในยูเครนในระยะเวลาหนึ่งปี ค้นพบแนวโน้มใหม่ของภัยคุกคามทางไซเบอร์ และสิ่งที่คาดหวังได้เมื่อสงครามเข้าสู่ปีที่สอง
เรียนรู้เพิ่มเติม

ติดตาม Microsoft Security