За перші три місяці 2022 року компанія Meta, що володіє соцмережами “Фейсбук” та “Інстаграм”, прозвітувала про виявлення 3 операцій кібершпіонажу та 6 координованих неавтентичних мереж. 

Так, лише за перший квартал із платформ видалили дві китайські координовані мережі, які поширювали дезінформацію про геноцид народу уйгурів у Китаї. Також аналітики зафіксували, що уряд Грузії витратив більше 30 тисяч доларів на критику опозиції та політичний піар у фейсбуці й інстаграмі, та виявили спроби рекрутингу фейкових активістів для протесту проти Джоржа Сороса у Будапешті. 

Докладніше — у матеріалі ОПОРИ.

Пакистанська операція з кібершпіонажу залучила 120 фейсбук- та інстаграм-профілів, за допомогою яких хакери поширювали шкідливе програмне забезпечення, що збирає чутливі дані з девайсів. Жертвами хакерської операції стали користувачі з Індії та Пакистану, зокрема військовослужбовці. Зловмисники створювали фейкові профілі, які імітували реальних людей — рекрутерів справжніх і фейкових силових організацій, військовослужбовців, журналістів та жінок, котрі шукають кохання, та вибудовували довірливі стосунки зі цими людьми. Для поширення шпигунського ПЗ використовували різні тактики: зберігали їх на Google Drive та Dropbox, створювали додатки та вебсайти, що маскувалися під рекрутингові сайти та сервіси для зберігання й поширення файлів. Також хакери розробили нешкідливі програми для Windows, за допомогою яких поширювали шпигунське ПЗ. Meta обмежила активність хакерської групи на своїх платформах та співпрацює з безпековими організаціями для протидії їй в інших сегментах інтернету. 

Операція Bahamut APT, яку проводить доволі відома в професійній спільноті однойменна хакерська група, спрямована на користувачів з Пакистану та Індії (включно з регіоном Кашмір), зокрема на військових, держслужбовців, громадських активістів тощо. Ця група використовувала 110 фейкових акаунтів у фейсбуці й інстаграмі та послуговувалася тактиками, подібними до описаних вище. Для поширення шкідливого ПЗ хакери розробили додаток, заражений троянським вірусом, та навіть опублікували його на Google Play. Для поширення програми зловмисники також запускали фейкові або спуфінгові сайти, що імітували вебсторінки справжніх організацій і компаній.

За операцією Patchwork APT стоїть однойменна хакерська група з Індії. Хакери використовували 50 фейкових профілів у фейсбуці та інстаграмі, а їхніми жертвами були користувачі з Пакистану, Індії, Бангладешу, Шрі-Ланки й Китаю — військові, активісти та представники етнічних меншин. Тактики цієї групи мало відрізняються від методів їхніх колег — фейкові профілі представлялися журналістами з Великої Британії та ОАЕ зі справжніх та вигаданих медіа, військовими чи консультантами з воєнної розвідки. Хакерм теж опублікували свої шкідливі додатки в Google Play та поширювали статті на кшталт “5 найкращих месенджерів”, де на першому місці стояв їхній шпигунський застосунок. Окрім цього, Patchwork намагалися обходити безпекові заходи Meta, наприклад, надсилати посилання на шкідливе ПЗ у картинках, а не текстом.

Також Meta прозвітували про 6 прихованих кампаній впливу з ознаками координованої неавтентичної поведінки

Перша кампанія впливу координувалася з Ірану та була спрямована на користувачів з Ізраїлю, Бахрейну і Франції. Ця мережа налічувала 40 фейсбук-акаунтів, 8 публічних сторінок та одну групу. Близько 750 користувачів підписалися на одну чи більше сторінок мережі, близько 80 — вступили в групу. Ця кампанія, крім майданчиків компанії Meta, відбувалася й у твіттері, телеграмі, ютубі та на онлайн-форумах. Координатори мережі запевняли, що їм вдалося зламати та викрасти дані компаній та організацій в країнах-жертвах — медіа, логістичних і транспортних компаній, освітніх закладів урядових інституцій, аеропортів та додатку для знайомств. Втім, компанії Meta не вдалося знайти підтверджень цих заяв. Мережу виявили і видалили до того, як вона стаал масовою. 

Друга кампанія відбуваася з Китаю. Вона була скерована проти користувачів з Індії й Тибету. Ця мережа налічувала 50 фейсбук-акаунтів, 46 публічних сторінок, 31 групу та 10 інстаграм-профілів. Зловмисники витратили близько 74 тисяч доларів на рекламу в фейсбуці й інстаграмі та зібрали майже 6 тисяч користувачів, що підписалися на хоча б одну сторінку мережі, понад 19,5 тисяч учасників груп та близько 200 підписників в Інстаграмі. Ця операція також діяла у твіттері та ютубі. Сторінки, групи й профілі маскувалися під фальшиві медіа, культурні-організації та групи з захисту прав людини, що фокусувалися на проблемах Тибету і прикордонних регіонів між Китаєм та Індією. Деякі фейкові акаунти використовували фото, згенеровані штучним інтелектом. Мережа публікувала новинний контент про події в Індії й Тибеті, Також аналітики Meta встановили, що за її діяльністю стоять ті, хто проводили кампанії впливу у вересні 2022 року. Ба більше, відповідальні за кампанію люди працюють з 9:00 до 17:00 з понеділка по п’ятницю з перервами на обід.

Третя кампанія також діяла з Китаю та була спрямована на користувачів з Тайваню, країн Субсахарської Африки, Японії та спільнот китайської етнічної меншини уйгурів у всьому світі. Ця мережа налічувала 107 фейсбук-акаунтів, 36 публічних сторінок, 6 груп та 35 інстаграм-профілів. Вона зібрала близько 15,5 тисяч користувачів, що підписалися на хоча б одну її сторінку, близько 200 учасників груп та майже 200 підписників в інстаграмі. Водночас мережа діяла в ютубі, твіттері, телеграмі, а також використовувала платформи PayPal, Blogspot, Reddit, Wordpress та freelancer.com. Для її обслуговування створили юридичну особу у Великій Британії, яка займалася рекрутингом авторів контенту та перекладачів. Деякі сторінки мережі видавали себе за справжні компанії та установи — наприклад, урядові європейські інституції, американські аналітичні центри й технологічні компанії. Організатори мережі писали англійською, російською, уйгурською і китайською мовами та публікували контент про геополітику в Середній Азії, вплив ОДКБ, Тюркської ради, антиросійські санкції щодо Середньої Азії, дискримінацію мігрантів (особливо мусульман-біженців) у Європі, критику зовнішньої політики США в країнах Африки. Також сторінки мережі намагалися переконати користувачів, що життя уйгурів у Китаї комфортне (а насправді китайський уряд чинить геноцид цього нарожу), закликали протестувати проти Джорджа Сороса в Будапешті та навіть рекрутували “протестувальників” у твіттері. Meta встановили, що за цією мережею стоїть китайська компанія Xi'an Tianwendian Network Technology.

Наступну мережу координували з Венесуели та США. Вона була спрямована на користувачів з Гватемали та Гондурасу і налічувала 24 фейсбук-акаунти, 54 публічні сторінки та 4 інстаграм-профілі. Вона зібрала понад 6,5 тисяч користувачів, що підписалися на хоча б одну сторінку, та близько 400 підписників в інстаграмі. Сукупно мережа витратила щонайменше 1,5 тисячі доларів на просування. Виявити її вдалося за повідомленням журналіста видання Reuters. Здебільшого акаунти цієї мережі публікували новини від фейкових ЗМІ, маскуючись під незалежних журналістів та місцевих жителів. У Гондурасі мережа критикувала лідера Національного конгресу та вихваляла Ліберальну партію, а у Гватемалі здебільшого фокусувалася на критиці мера міста Сан-Хуан-Сакатепекес. Прикметно, що частина фейкових акаунтів були підписані кириличними іменами, хоча й писали іспанською. Вірогідно, координароди придбали ці акаунти десь у Східній Європі. Експерти Meta виявили зв’язки цієї мережі з компанією Predictvia, що зареєстрована у Флориді та працює у США й Венесуелі. Іронічно, що на своєму вебсайті компанія заявляє, що моніторить та контролює координовані спроби маніпулювати громадською думкою і працює над “балансуванням” публічної дискусії. 

П’ята мережа працювала з Того та Буркіна-Фасо і була спрямована на користувачів з Буркіна-Фасо. Ця мережа налічувала 134 фейсбук-акаунти, 142 публічні сторінки та 20 інстаграм-профілів. Вона зібрала близько 65 тисяч користувачів, що підписалися на бодай одну її сторінку, та близько 500 підписників в інстаграмі. Координатори витратили близько 500 доларів на просування. Сторінки мережі здебільшого публікували новинний контент про події в Буркіна-Фасо, зокрема позитивні коментарі щодо хунти, яка нині очолює країну — Патріотичний рух за охорону та відновлення і її лідера Ібрагіма Траоре, котрому допомогли прийти до влади найманці ПВК “Вагнер”. Meta зазначає, що їм вдалося виявити цю мережу завдяки публічним свідченням про її активність. Курує її політично-консалтингова компанія Groupe Panafricain pour le Commerce et l’Investissement, розташована в Того. 

Остання мережа, виявлена у першому кварталі 2023 року, працювала з Грузії та була спрямована на місцеву аудиторію. Ця мережа налічувала 80 фейсбук-акаунтів, 26 публічних сторінок, 9 груп та 2 інстаграм-профілі. Вона стала наймасовішою за цей період, зібравши майже 140 тисяч користувачів, що підписалися на хоча б одну її сторінку, майже 240 членів груп та близько 400 підписників в Інстаграмі. Координатори витратили близько 33,5 тисяч доларів на рекламу в фейсбуці та інстаграмі. Акаунти мімікрували під симпатиків грузинського уряду, репостили контент з офіційних державних сторінок та прихильні до грузинської влади новини. Також сторінки активно критикували представників опозиції, особливо під час протестів проти “закону про іноземних агентів” у лютому цього року. Meta встановила, що за цієї мережею стоїть сам уряд Грузії, а саме Департамент стратегічних комунікацій Державної адміністрації. 

За цей період Meta не виявила операцій впливу Росії на українську чи міжнародну аудиторію. Втім, приклади мереж, заблокованих компанією після того, як їх помітили сторонні спостерігачі, лише доводять необхідність системного моніторингу шкідливих впливів у соціальних мережах. Новим фактом стала неабияка активність Китаю у вибудовуванні власного позитивного іміджу за кордоном. Раніше ця країна не докладав особливих зусиль для координованого впливу на іноземних платформах, а китайські мережі нечасто з’являлися у звітах Meta. Втім, уже виявлені загрози є важливим уроком для України щодо можливих сценаріїв маніпулювання громадською думкою онлайн.