今天给大家推送一篇开源情报在俄乌战争中运用的研究报告,虽然该报告带有明显的西方政治倾向,没有客观反映和挖掘西方情报部门利用开源情报进行相关虚假宣传、打认知战的行动,但也描述了一些利用开源情报进行研究的方法和案例,对于开源情报从业者还是有借鉴意义的。
例如,在俄罗斯全面进攻前的2月份,闪点报告称,在各种俄语社交媒体和聊天平台上,DPR和LPR的招募和筹款活动有所增加。
(值得注意的是,乌克兰的招募和筹款活动自2014年以来也一直存在,这就是为什么我们选择关注DPR和LPR最近的招募和筹款活动。)
上图:Echosec的截图,显示了1月1日至2月21日期间收集的社交媒体情报,追踪了俄罗斯军队动员到乌克兰边境战略地点的实物证据(视频、图像、聊天),表明进攻迫在眉睫。(图片:闪点)
加密货币和非法融资
乌克兰和俄罗斯的筹款活动主要集中在银行转账和在两国可用的法定货币上。自全面进攻开始以来,闪点还观察到加密货币的使用有所增加。基于加密货币的交易允许更广泛的筹款活动,这意味着乌克兰或俄罗斯以外的个人和实体可以安全匿名地将资金转移给亲乌克兰或亲俄罗斯的事业,或使命与他们的价值观一致的组织。
然而,资金通过区块链技术转移的事实仍然允许通过集群技术追踪资金。这在很大程度上取决于接收方的操作安全。例如,闪点在3月份报道了262个加密货币地址用于广告,这些广告要求向乌克兰或俄罗斯与战争有关的事业捐款。
图表显示了包含比特币和以太坊钱包地址的独特Telegram帖子的总数,这些帖子声称正在为乌克兰或俄罗斯的人道主义或战争努力筹款或捐赠。(图形:闪点)
显示Killnet DDoS攻击结果的屏幕截图。(图片:闪点)
在战争之前(很可能在进攻之后),该组织专注于商业工作,特别是DDoS-for-hire攻击。该组织公开承诺效忠俄罗斯,特别是在战争期间,并表示反对北约和西方国家向乌克兰运送武器。目前还不清楚有多少人参与了Killnet,这应该是一个分散的和志愿者运营的组织,这意味着任何人都可以加入它的事业。2022年底,Killnet宣布成立一个伞形组织,将亲克里姆林宫的黑客组织联合起来,即使不是在组织上,至少在目的和协调上也是如此。
虽然吸引了全球媒体的关注,但“杀戮网”的攻击效果仍相对不清楚。尽管Killnet大声宣称自己是一个意识形态驱动的集体,但该组织仍然接受商业订单。它的“响亮”和上头条的能力也可以严格地从营销的角度来看待。世界顶级出版物对Killnet的所有提及都可能带来新的DDoS客户。
值得注意的是,Killnet招募新成员、筹集资金,以及策划和执行攻击,都是在专门的Telegram聊天群中进行的。积极监控这些组织的能力使分析人员和研究人员能够掌握Killnet潜在的网络活动,并有可能计划自己的防御措施。
俄语暗网之战
俄罗斯2月份的进攻加速了一个正在进行的进程,那就是俄语地下网络的分裂。裂痕最早出现在战争初期。从2015年到2017年,俄罗斯先进持续威胁(APT)组织对乌克兰关键基础设施和主要公司的攻击导致乌克兰寻求在网络防御领域与西方国家建立更紧密的联系,同时与打击网络犯罪的国际框架的法律基础保持一致。这增加了网络安全信息共享以及在逮捕和调查方面的合作。
因此,尽管乌克兰和俄罗斯的网络犯罪分子之间的跨境合作仍在继续,但这些计划的参与者越来越发现乌克兰的操作环境不安全。2019年,防弹托管提供商Whost被查封,勒索软件运营商被捕,这一点变得尤为明显。自今年2月进攻以来,这种分歧有所扩大,因为需要向俄罗斯运送货物和资金的有效跨境合作变得更加复杂。虽然俄语网络地下组织中的大多数威胁行为者仍然受到经济动机的驱使,但一些人——比如现在已经不存在的勒索软件组织——在战争中站在了一方,许多人对俄罗斯和西方执法部门之间初步合作的破裂表示欢迎。
受战争叙事影响的一个重大事态发展是美国和德国执法部门于2022年4月查获地下市场九头蛇(Hydra)后的后果,这导致了一场“地下市场战争”。虽然九头蛇主要专注于毒品,但近年来,它越来越多地提供网络犯罪和关键的洗钱工具,正如Flashpoint分析师在Chainalysis的2021年白皮书中指出的那样,九头蛇市场:加密洗钱之路变得黑暗。可以预见的是,它的消亡给俄语地下网络带来了翻天覆地的变化。随着Hydra的消亡,几个新的市场如雨后春笋般出现,试图吸引过去依赖Hydra的供应商和客户。
供应商和客户最初聚集在RuTor上,这是一个长期存在的暗网聚集地。然而,在5月和6月,曾经与Hydra相关的活动开始分解为各种相互竞争的市场,这导致了谣言传播、DDoS攻击和市场之间的数据泄露。今年夏天出现的两个主要竞争对手RuTor/OMGOMG和WayAWay/Kraken之间的竞争,反映了乌克兰战争的情况,当时有传言称,RuTor已经受到乌克兰安全局(SBU)的控制。
不管这个故事是否有任何根据,考虑到它与俄罗斯安全委员会的指控一致,即SBU在俄罗斯传播麻醉品,它很快被RuTor的对手,包括Killnet,所接受和使用。Killnet也在下半年与WayAWay和Solaris(另一个新兴的Hydra继承者)结盟。闪点在多个场合报道了这些进展,包括我们的情报报告:释放海怪:为俄语暗网而战。
截至2022年底,市场战争仍在继续,乌克兰战争的网络战场仍在演变。尽管有关俄罗斯和乌克兰之间意识形态分歧的争论只是主要由经济利益驱动的竞争的一个幌子,但分歧的扩大始于2月份之前,在可预见的未来不太可能停止。现在看来,平行的、相互敌对的生态系统正在以前更加合作的空间中出现。监测这些发展对于了解组织所面临的不断变化的威胁格局至关重要。
记录暴力
在整个战争期间,特别是自2022年2月以来,Telegram已成为战场和被占地区第一手信息的重要来源(也是宣传和虚假信息传播的不可或缺的一部分)。
这在一定程度上是因为Telegram没有被俄罗斯当局屏蔽,尽管俄罗斯试图屏蔽鼓励俄罗斯人逃离军队的频道。这在一定程度上也是由于Telegram宽松的审核政策,允许在该平台上发布非常广泛的露脸或令人不安的图像,尽管主流社交媒体网络近年来已经加强了监管。
在战争期间,目击者、军事博主、记者、士兵和雇佣军都在Telegram和其他社交媒体平台上分享文本信息和视觉媒体。这些资料被用于公开调查部队的部署、活动和身份,以及他们犯下的暴行。在未来有关战争罪的法庭诉讼中,这些电报数据可能成为至关重要的证据。
但是,Telegram频道和群组可以被删除,其中的内容也可以被更改或删除。乌克兰OSINT等项目强调了保存这些证据的重要性,OSINT是一个与战争有关的Telegram内容的公共档案馆,它存储了来自150多个与冲突有关的频道的存档帖子,包括照片和视频。这样的档案,无论如何精心策划,仍然只允许相当有限数量的渠道和内容的档案。
自2月开始,闪点已经优先确定和背景化尽可能多的消息组和渠道分享有关战争的信息(或虚假信息)。我们的能力使我们不仅可以在文本档案中进行有针对性的搜索,而且可以在这些团体和渠道共享的媒体中进行有针对性的搜索。这些媒体还可以与通过闪点平台访问的主流社交媒体帖子进行交叉引用。
战争博客与政策
自2月以来,Telegram上出现了大量亲克里姆林宫的频道。他们由国家支持的媒体的战地记者、军事博主、雇佣军组织以及国内政客和宣传家经营。通过在Telegram上收集数十万粉丝,他们开始塑造这场战争的国内形象。此外,他们的受众和帖子与那些与俄罗斯结盟的黑客活动频道有明显的重叠。一些最受欢迎的声音包括Semyon Pegov,又名“WarGonzo”;尤里·Podolyak;《俄罗斯之春的通讯员》;还有“雷巴”,此人被确认为前俄罗斯国防部官员米哈伊尔·兹温丘克(Mikhail Zvinchuk)。
虽然他们宣扬的叙事往往与克里姆林宫喜欢的叙事一致,但有时他们也明显批评了俄罗斯领导人。例如,在乌克兰9月份在哈尔科夫地区成功反攻后,一些频道和民族主义团体的用户批评俄罗斯的军事领导层,攻击国防部长谢尔盖·绍伊古(Sergey Shoigu),甚至在克里姆林宫做出决定之前就呼吁乌克兰局势升级,呼吁俄罗斯进行军事动员。瓦格纳集团(Wagner Group)负责人叶夫根尼•普里戈津(Yevgeny Prigozhin)和车臣领导人、俄罗斯最受关注的Telegram网红拉姆赞•卡德罗夫(Ramzan Kadyrov)等国内政治人物都对这些袭击表示欢迎。
克里姆林宫承认了这些Telegram频道日益上升的重要性,同时试图控制和利用它们。据报道,今年10月,俄罗斯执法部门检查了有关俄罗斯军队的“抹黑”和“发布虚假信息”的渠道,这些行为在俄罗斯可能会被判处长期监禁。俄罗斯总统普京的发言人警告这些频道的运营商不要批评克里姆林宫。去年12月,克里姆林宫在一个新成立的组织中加入了四名军事博主“动员委员会”。尽管如此,截至2023年1月,克里姆林宫仍在努力控制这些渠道分享的叙事。普京在1月份宣布的东正教圣诞节期间的“圣诞停火”虽然没有真正实现,但遭到了几位军事博主的严厉批评。
自2月以来,闪点一直在监测这些频道中的几十个,并根据它们在亲克里姆林宫媒体、主流社交媒体和我们自己的收集中的存在,努力确定最重要和最有影响力的频道。随着俄罗斯在2022年末面临进一步的战场挫折,关注和了解这些持续流行的电报频道所宣传的叙事,对于了解国内如何理解这场战争以及俄罗斯的失败和成功如何被争夺影响力的国内权力经纪人所利用是至关重要的。
伊朗无人机为俄罗斯军队带来力量
开源情报对于了解任何物理威胁环境的全谱至关重要。事实证明,伊朗神风特攻队无人驾驶飞行器(uav)不断涌入乌克兰战区,这使得普京总统能够保存俄罗斯的武器库。
“闪点”注意到了美国国家安全委员会的早期警告。例如,2021年7月,国家安全委员会表示,俄罗斯打算从伊朗购买无人机,以补充其库存。此外,国家安全委员会通过地面人员分享伊朗无人机的图像和视频,几乎实时地了解到俄罗斯军队在乌克兰使用的几种伊朗无人机类型在伊朗实施。
上图:Echosec搜索的截图,追踪从伊朗到俄罗斯的重型飞机活动,这些飞机涉嫌向乌克兰运送无人机,以及无人机发动机中使用的中国部件。(图片:闪点)
大量与在乌克兰使用的伊朗无人机有关的图像和镜头使闪点能够监测俄罗斯军队使用的无人机类型。报告还清晰地描绘了这些无人机如何融入俄罗斯的战争战略,以及乌克兰军队如何应对威胁。
闪点敏锐地意识到伊朗无人机对乌克兰军队构成的挑战;伊朗的无人机技术已经广泛扩散到整个中东地区的伊朗武装代理人手中,并被用于攻击该地区的联军部队和船只。伊朗很早就看到了无人机在中东战场(叙利亚、伊拉克、也门等)改变游戏规则的潜力。因此,闪点关于伊朗在中东的无人机战术的情报帮助闪点分析如何在乌克兰实施这些战术。开源情报不断被证明对全面评估任何给定的威胁形势至关重要,在乌克兰,这比以往任何时候都更加重要。
俄罗斯动员抗议活动
鉴于乌克兰在哈尔科夫地区反攻成功,俄罗斯总统普京发布政令,宣布在俄“部分”动员。这一声明立即在俄罗斯人中引起了震动。在接下来的几天里,随着反对该草案的抗议活动在几个地区开始,数十万俄罗斯公民逃往国外。
反对动员的抗议未能阻止这一进程。然而,后来,许多被动员起来的人抗议虐待、缺乏适当的设备和训练,以及没有兑现普京法令中承诺的给自己和家人的付款。目前还不清楚当局动员了多少人,甚至不清楚动员是否已经结束。然而,估计在20万到50万之间,他们似乎被分为两组。一些应征入伍者接受了更多的训练,而另一些人几乎立即被派往前线,他们只接受了基本的训练,装备也有问题。
监测这样的事件有助于了解俄罗斯社会对正在进行的战争的国内反应,并跟踪抗议活动的存在或其对俄罗斯内部政变的影响。值得注意的是,政变不仅仅取决于抗议活动,还包括策划的潜在成本、潜在的回报,以及普京及其政策的替代方案。
动员的宣布也影响了网络空间的趋势。在普京的动员令首次宣布后,“闪点”发现,俄语非法社区和社交媒体平台上出现了越来越多的聊天和广告,提供了避免征兵的方法或途径。这包括伪造的就业证明、伪造的疾病证明、人工除名和伪造的教育证书。值得注意的是,其中一些报价很可能是骗局,并加剧了恐慌。在俄罗斯主流社交媒体上,闪点分析人士还发现,提及北高加索抗议活动和边境口岸局势的帖子数量稳步增加。
虚假信息、阴谋论和正当化叙事
虚假信息叙事已经与这场战争的事件紧密地交织在一起,从2014年俄罗斯吞并克里米亚到今天对乌克兰的持续进攻。这些叙述具有塑造政治和动态决策的力量;它们也是心理影响的有效工具。也许最著名的虚假信息叙述是俄罗斯对乌克兰所谓的“去纳粹化和非军事化”的宣传,这是(现在仍然是)克里姆林宫对乌克兰发动全面战争的官方理由。
俄罗斯国防部也提出了一种虚假信息,声称美国正在资助乌克兰“生产生物武器的生物实验室”,以帮助秘密传播“致命病原体”,包括COVID-19和“非洲猪瘟和炭疽”。这场支持战争的虚假宣传活动的一部分重点是使用“鸟类杀手”,然后是通过“生物武器”“只针对俄罗斯族人”的蚊子。还有未经证实的说法称,乌克兰正在制造一枚“脏弹”,这是一种与放射性物质结合的常规爆炸物,乌克兰当局正在俄罗斯传播麻醉品。
俄罗斯的一些虚假信息叙事已被西方极端分子和阴谋论者采纳。例如,在COVID-19大流行期间,“秘密生物实验室”的叙述可能会引起观众的共鸣,他们开始想象这种机构的存在。然而,研究表明,俄罗斯的虚假信息叙述在发展中国家尤其成功,例如某些非洲国家和印度。
虽然克里姆林宫严密控制着亲克里姆林宫的媒体的编辑政策,但虚假信息的叙述并不总是源自官员。事实上,也许最重要的并不一定是这些虚假信息叙述如何开始,而是它们如何传播和影响重大事件。在整个战争期间,闪点观察到各种虚假信息叙述是如何被亲俄的Telegram频道和亲克里姆林宫的主流媒体采用,并经过调整,直到被俄罗斯主流媒体转载。其中一个例子是,与俄罗斯有关的账户放大了一名法国社交媒体用户未经证实的信息,该用户表示,在乌克兰的法国榴弹炮被转卖牟利。这并非个例。俄罗斯国家宣传部门制造并推动了虚假故事,指责乌克兰在暗网市场上出售美国捐赠的武器。在传播这一消息的同时,往往还威胁说,武器将进入犯罪群体,并可能导致高度武装的土匪活动。这种说法的主要目的是迫使伙伴国停止向乌克兰提供武器。
这些对话发生的聊天群对跟踪非常重要,因为它们经常会导致对公开支持乌克兰的乌克兰难民、组织和政治家的网络或物理攻击,并可能导致在国际活动中针对乌克兰外交官或代表团的极端主义行动。
长按识别下面的二维码可加入星球
里面已有6000多篇资料可供下载
越早加入越便宜
续费五折优惠
往期关联阅读:
如有侵权请联系:admin#unsafe.sh