Руска ферма за тролове превзема компютрите на американски тийнейджърки заради лайкове

Онлайн пропагандата беше само първата фаза. После дойде превземането на компютри.

Свързаната с Кремъл руска ферма за тролове, известна под името Internet Research Agency, се е заела със зловеща странична дейност: разпространение на зловреден софтуер насред кандидатпрезидентската кампания в САЩ през 2016-a като е таргетира тийнейджърки в САЩ с плъгин за Chrome, включващ браузърите им в груба мрежа от ботове.

Приложението, наречено FaceMusic, се е представяло за вграден музикален плеър, който позволява на потребителите да слушат безплатно музика, докато браузват във Facebook.

Internet Research Agency е пуснала реклами във Facebook, популяризиращи приложението през май 2016-a чрез един от фалшивите си профили - "Stop All Invaders", който обикновено пуска ксенофобски и антиемигрантски мемета в подкрепа на кампанията на Доналд Тръмп.

Данни от Facebook, разпространени от Конгреса на САЩ миналата седмица, показват, че FaceMusic рекламите са получили 24 623 импресии от 107 реклами, но общо само 85 кликвания.

Най-успешната публикувана реклама е с 28 кликвания и е използвала системата на таргетиране на Facebook, за да се насочи към потребители от женски пол в САЩ на възраст между 14 и 17 години. Общо повече от 13 000 компютри са били заразени със зловредния софтуер FaceMusic.

Google впоследствие са премахнали зловредното приложение от хранилището за плъгини на Chrome и публичният сайт на FaceMusic на fbmusic.com вече не функционира.

Анализ на архивирано копие на кода, съчетан с анализ на неговия уеб трафик, показва, че то е съдържало скрита функционалност, която е била активна дори когато жертвата не е била във Facebook.

В сравнение със сериозните и опасни зловредни софтуери, FaceMusic е относително безобиден, вероятно защото е трябвало да премине през проверка от Google, преди да бъде допуснат в Chrome Web Store.

Доколкото може да се съди, FaceMusic не събира потребителска информация извън Facebook ID на потребителя и профилната му снимка, нито разкрива за външен достъп или нарушава цялостта на файлове в компютъра.

Пост от юни 2016-а, забелязан от Wired, показва, че някои версии на кода са можели да спамят Facebook приятелите на жертвата с покани за FaceMusic, но архивираната достъпна за анализ версия на плъгина не е съдържала видими признаци за тези си възможности.

Това обаче, което е съдържала тази версия на FaceMusic, е тайна линия за комуникация към втори, частен сървър в Русия, намиращ се на адреса extad.info-"extad" вероятно е транслитерация на руската дума за "export".

Приложението е било програмирано да се свързва с този сървър всяка минута, в която е отворен браузърът, и постоянно да изпраща там уникалния идентификатор на потребителя и да очаква допълнителни инструкции.

Една от инструкциите, които то е приемало от контролния сървър, наречена "track_cpa", не е имала нищо общо с възпроизвеждането на музика. Тя е съдържала списък с web адреси, като приложението е било програмирано да се свързва с всеки от тях от компютъра на потребителя, без външни ориентири, че се случва каквото и да е.

Подобен код е бил наблюдаван в т.нар. "click-fraud" схеми за симулиране на кликове върху реклами. Остава неясно защо Internet Research Agency е имала нужда от такива възможности, но има някои възможни причини те да са от полза за организация, посветила се на разпространението на фалшиви новини и провокиращи разделение мемета.

Почти всеки уеб форум, където представители на агенцията са поствали съдържание, е имал система за гласуване, увеличаваща видимостта на по-популярните постове.

Ако агенцията е искала да си гарантира, че последният й пост за фондацията "Клинтън" примерно ще се издигне до максимален рейтинг, тя е можела да насочва FaceMusic бот-мрежата си да залее с кликове линка за одобрителен вот.

Големите форуми не биха били податливи на толкова проста схема, но при по-малките това би могло да сработи.

Подобна схема е забелязвана и преди. Изненадващо е, ако Reddit или Facebook имат този проблем, но ако фермата за тролове е била активна в други социални медии, това е точно типът действия, за които подобна функция би била полезна.

Фермата за тролове също така е можела да използва приложението, за да генерира трафик за публикации, писани или одобрени от агенцията, за да насърчи разпространението им.

Ако например статия използва тракинг пиксел за следене на импресиите, фермата за тролове би могла изкуствено да завиши това, като зарежда пиксела чрез мрежата си от ботове. Ако издание или агрегатор използва импресиите като метрика за популярност, това би изтласкало въпросния материал начело в списъка.

Така или иначе, за администраторите на уеб сайтове всеки клик е изглеждал като идващ от различен потребител.

В зависимост от уеб сайта, върху който се прилага този метод, фермата за тролове е можела дори да избира да активира само потребители в "полезен" регион, например кликовете за уеб сайт, занимаващ се със специфични за Украйна теми, да идват само от браузъри в тази държава.

Ако сайтът е бил с глобална аудитория, цялата мрежа от ботове е можела да се активира едновременно, заливайки линка с кликове от цял свят.

Google обявиха в събота пред Wired, че компанията е премахнала разширението за Chrome от хранилището си за плъгини през 2016, и са го премахнали "от компютрите на всички потребители".

Последното обаче не е напълно вярно.

Журналисти от Daily Beast са забелязали миналата седмица, че е изтекла регистрацията на домейна extad.info, използван за контролиране на браузърната мрежа от ботове на фермата за тролове. Те са регистрирали домейна и са започнали да съхраняват логове на постъпващите комуникации. Сървърът е получавал FaceMusic заявки от над 100 различни компютри, където отдавна умиращото Chrome разширение все още съществува.

Данните показват, че FaceMusic код все още е активен в 32 различни държави. Най-много случаи има в Украйна - 20 на брой. В САЩ, страната, която е била таргетирана в рекламите във Facebook, е имало само 5 заявки.

User ID номерата в логовете варират от 466 до 13 780, което показва, че над 13 000 потребители са инсталирали приложението, преди Google да го блокират.

Това неравномерно географско разпределение загатва, че руската ферма за тролове може да е приложила зловредния софтуер първо по-близо до границите си. Украйна е била мишена на Internet Research Agency много преди фермата за тролове да се намеси в изборите в САЩ.

"Може би са го разработили за Украйна, и то до известна степен е проработило, и са решили да го пробват и в САЩ", коментира Клинт Уотс, бивш агент от ФБР и експерт по руската кампания за влияние.

Това означава, че FaceMusic може да представлява нова, притеснителна тактика в руската пропагандна война или просто да е единичен експеримент, който не е дал очакваните резултати.

Фермата за тролове понякога е имала мащабни провали, от рода на фалшивото "секс-видео" на Хилъри Клинтън и също толкова игнорираната "Hilltendo" Flash игра.

"Те са правили експерименти с реални потребители и ако нещата не са сработвали, те не са се притеснявали особено", казва Уотс. "В случаите, когато някой друг би правил тестове при строго контролирани условия, те са го правили в реална среда, защото не са се вълнували особено".

Архивни данни показват, че публичният сайт на FaceMusic, fbmusic.com, е бил регистриран през април 2016-а на името на човек в Санкт Петербург, Русия, където е и седалището на Internet Research Agency.

Той твърди, че самоличността му е била открадната, за да бъде регистриран сайтът.

"Не е мой", казва той. "Сега ще се свържа с регистратора: кой и как, и най-вече защо е регистрирал този домейн на мое име?"

Въпросният човек категорично отрича да има каквито и да е връзки с Internet Research Agency: "Нямам нищо общо с тази организация. Сега чета за тях и съм уплашен от ужасиите, които са тяхно дело".

Остава неясно дали той троли разследващите журналисти.

Новините

Най-четените