Mart ayında, Rusya’nın Ukrayna’yı işgalinin ortasında, Ukrayna Devlet Başkanı Volodimir Zelenskiy’in ülkesinin Rus kuvvetlerine teslim olduğunu ilan ettiğini gösteren bir video ortaya çıktı. Aynı ay içinde başka bir haberde, Ukrayna’nın askeri başarısızlıkları nedeniyle ülkesinin Rusya’ya karşı savaşını yönettiği Kiev’deki askeri sığınakta intihar ettiği söylendi.
Video, yapay zeka tarafından oluşturulan Zelensky’nin karmaşık bir derin sahtekarlığıydı. İntiharının hikayesi, Rus çıkarlarıyla uyumlu uydurma anlatıları yaymak için kurulmuş bir grubun tamamen uydurulmuş bir raporuydu. Her ikisi de, Mandiant’ın Perşembe günü, savaşın başladığı Şubat ayından bu yana Ukrayna nüfusunu ve dünyanın diğer bölgelerindeki izleyicileri hedef alan sistematik, hedefli ve organize siber etkin bilgi operasyonları (IO) olarak tanımladığı örneklerin örnekleridir.
Bu kampanyaların arkasındaki aktörlerin çoğu önceden bilinen Rus, Belarus ve diğer Rus yanlısı gruplardır. Amaçları üçlü, Mandiant’a göre: Ukraynalıları demoralize etmek; kuşatılmış ulus ve müttefikleri arasında bölünmeye neden olmak; ve Rusya’nın uluslararası alanda olumlu algılanmasını teşvik etmek. Mücadelede ayrıca, kendi ABD karşıtı ve Batı karşıtı anlatılarını ilerletmek için savaşı fırsatçı bir şekilde kullanan İran ve Çin’den aktörler de var.
Başarının Ölçülmesi Zor
Mandiant’ta kıdemli bir analist olan Alden Wahlstrom, kapsamı göz önüne alındığında bu bilgi operasyonlarının başarısını ölçmenin zor olduğunu söylüyor. “Rusya ile uyumlu faaliyetle birlikte, Ukrayna hükümetinin hızla etkileşime geçtiği ve Rusya tarafından desteklenen dezenformasyon anlatılarına karşı mesajlar yayınladığı birçok örneği gözlemledik. [information] Wahlstrom, operasyonların katıksız ölçeği ve temposunun bu görevi zorlaştırdığını söylüyor. bireyler potansiyel olarak meşru bilgi kaynaklarının geçerliliğini sorgular.”
Mandiant’ın analizi, Ukrayna’daki bilgi operasyonları faaliyetinin arkasında bilinen birkaç grubun olduğunu gösteriyor. Bunların arasında ABD hükümeti ve diğerlerinin Rus Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü’nün (GRU) bir birimine atfettiği bir tehdit grubu olan APT28 de var. Mandiant, APT28 üyelerinin, Ukraynalıları demoralize etmek ve müttefiklerin desteğini zayıflatmak için tasarlanmış içeriği tanıtmak için daha önce GRU ile ilişkilendirilen Telegram kanallarını kullandığını gözlemledi.
Avrupa’da uzun süredir devam eden bir dezenformasyon kampanyası olan Ghostwriter’ın Belarus merkezli operatörü, Ukrayna’da aktif olan bir diğer aktör. Nisan ayında Mandiant, tehdit aktörünün önceden güvenliği ihlal edilmiş gibi görünen bir web sitesini ve muhtemelen güvenliği ihlal edilmiş veya tehdit aktörü tarafından kontrol edilen sosyal medya hesaplarını, Ukrayna ile müttefiki Polonya arasında güvensizlik yaratmayı amaçlayan sahte içerik yayınlamak ve tanıtmak için kullandığını gözlemledi.
Rusya’nın Ukrayna’yı işgalinden önceki haftalarda ve o zamandan bu yana geçen aylarda Mandiant, savaşla ilgili sahte anlatılarla Ukrayna’daki izleyicileri hedef alan “İkincil Enfeksiyon” olarak izlenen bir bilgilendirme kampanyası da gözlemledi. Örneğin, Zelensky’nin intiharıyla ilgili sahte rapordan İkincil Enfeksiyon sorumluydu. Aynı grup ayrıca, Ukraynalı askerlerin Mariupol’da ölmesine izin verdiği iddiasıyla Zelenskiy’den intikam almak isteyen Ukrayna’nın Azak Alayı’ndan – Rusya’nın Nazilerden oluşuyor olarak etiketlediği bir birlik – ajanlarla ilgili hikayeleri de destekledi.
Grubun, sahte içeriğini desteklemek için genellikle sahte belgeler, broşürler, ekran görüntüleri ve diğer sahte kaynak materyalleri kullandığı gözlemlendi.
Korku ve Karışıklık Ekecek Yanlış Anlatılar
Mandiant, Ukrayna’da çok çeşitli benzer bilgi operasyonlarında yer alan diğer birçok operatörün, Rusya ile uyumlu çeşitli anlatıları tanıtmak için genellikle bot tarafından oluşturulan sosyal medya hesaplarını ve sahte kişileri kullanarak gözlemlediğini söyledi. Bu, Polonya’da Ukrayna’dan gelen mültecilere ve Polonya suç çetelerinin ülkelerine kaçan Ukraynalılardan organ toplamasına karşı artan kızgınlıkla ilgili sahte içeriği içeriyordu.
Mandiant’a göre, bilgi operasyonları genellikle diğer yıkıcı ve yıkıcı siber faaliyetlerle çakıştı. Örneğin, Zelensky’nin Rusya’ya teslim olduğu iddiasıyla ilgili içerik, tehdit aktörlerinin Zelensky’nin BM’ye yapacağı konuşmadan üç saat önce yürütülmesi planlanan bir disk silme kötü amaçlı yazılım aracıyla Ukraynalı bir kuruluşa çarpmasıyla aynı anda bozuldu.
Wahlstrom, Mandiant’ın bilgi operasyonlarını eşzamanlı yıkıcı saldırılara kesin olarak bağlayamadığını söyledi.
“Ancak, bu sınırlı örtüşme modeli dikkat etmeye değer ve bilgi operasyonlarının arkasındaki aktörlerin en azından daha kapsamlı yeteneklere sahip gruplarla bağlantılı olduğunu düşündürebilir” diyor. Wahlstrom, koordineli saldırıların aynı zamanda Ukrayna’yı hedef alan operasyonlarda tam bir aktör ve taktik yelpazesinin kullanıldığını gösterdiğini söylüyor.
Çoğunlukla, Ukrayna’da çeşitli grupların dahil olduğu bilgi operasyonları faaliyeti, daha önce yaptıklarıyla tutarlı görünmektedir. Ancak Mandiant’ta bir analist olan Sam Riddell, dikkate değer bir evrimin çift amaçlı bilgi operasyonlarının öne çıkması olduğunu söylüyor. “Popüler Rus yanlısı ‘hacktivist’ aktivite ve koordineli ‘taban’ kampanyaları, aynı anda Kremlin’e geniş bir halk desteği izlenimi yaratmaya çalışırken, belirli etki hedefleri izledi” diyor.
Ukrayna’daki çatışma, bilgi operasyon varlıklarının ve altyapısının günün teması için ne kadar hızlı bir şekilde yeniden kullanılabileceğini de gösterdi. “Savaşın başlangıcında, Rusya yanlısı IO varlıklarından oluşan bütün bir ekosistem, bir anahtarı hızla çevirebildi ve yüksek hacimlerde savaş zamanı IO’ya katılabildi” diyor. “Savunmacılar için bu, önemli küresel olaylar patlak vermeden önce varlıkları bozmanın çok önemli olduğu anlamına geliyor.”
Mandiant’ın raporu, bu hafta Nisos’tan bir başka konuya ışık tutan bir raporla aynı zamana denk geldi. “Fronton” olarak izlenen Nesnelerin İnterneti botnet, görünüşe göre birkaç yıl önce Rusya Federasyonu Federal Güvenlik Servisi’nin (FSB) talimatıyla geliştirildi. Fronton’a göre botnet’in birincil amacı, küresel ölçekte sahte içerik ve dezenformasyon oluşturmak ve dağıtmak için bir platform olarak hizmet etmektir. Nisos’un, trend olan sosyal medya olaylarını toplu ölçekte formüle etmek ve dağıtmak için SANA adlı Web tabanlı bir gösterge panosu olarak tanımladığı şeyi içerir.
Nisos’un Fronton hakkındaki raporu, Digital Revolution adlı bir hacktivist grubun FSB için botnet’i geliştiren bir taşerona ait sistemlere girmesinin ardından halka sızdırılan belgelerin incelemesine dayanıyor.
Nisos’ta araştırma müdürü olan Vincas Ciziunas, Rusya ile Ukrayna arasındaki mevcut ihtilafta Fronton veya SANA’nın kullanıldığına dair hiçbir kanıt bulunmadığını söyledi. Ancak, muhtemelen FSB’nin teknoloji için bir miktar kullanımı var, diye ekliyor Ciziunas. “Elimizde yalnızca demo görüntüleri ve belgeler var” diyor. Ancak FSB’nin Rus sosyal medya platformu V Kontakte’de sahte bir Kazak kullanıcı ağı oluşturduğu görüldü ve daha sonra bir BBC raporunun temeli haline gelen Kazakistan kentindeki bir sincap heykeliyle ilgili bazı sahte içeriklere sahiplerdi. .
“Heykelle ilgili konuşma, BBC raporu” diyor Ciziunas. “BBC makalesinde bahsedilen sosyal medya paylaşımlarının hiçbirinin platform tarafından yapıldığını doğrudan tespit etmedik.”