Масштабная спам-кампания Dragonbridge в социальных сетях

31 января 2023 г. 17:53
 399

Dragonbridge способен стать более мощной угрозой.

Google предпринимает масштабные меры по борьбе с атакой, однако широкие возможности Dragonbridge по созданию и распространению огромного количества в основном спам-контента ставят под сомнение мотивацию группы.

Группа анализа угроз Google (TAG) провела 2022 год, работая над нарушением онлайн присутствия про-китайской операции влияния «Dragonbridge» (она же «Spamoflage Dragon») в 2022 году, выявив и зачистив (!) более 50 000 случаев активности в Twitter, YouTube, Blogger и других каналах.

В отчете команды сообщается что, несмотря на производство большого количества контента, Dragonbridge не смог привлечь органическую аудиторию, в основном из-за низкокачественного и бессмысленного характера контента, который в основном состоит из аполитичных, спамерских, часто бессмысленных роликов о спорте, еде или животных.

Кроме того, «часто встречаются размытые изображения, искаженный звук, плохой перевод, малапропизмы и неправильное произношение» - отмечается в отчете. «Контент часто создается наспех и допускает ошибки - например, небрежное удаление текста Lorem Ipsum из видео».

Из 56 771 канала YouTube, созданных Dragonbridge и удаленных TAG в прошлом году, почти 60% каналов имели ноль подписчиков, а 42% видео, размещенных на этих каналах, имели ноль просмотров.

Примерно 95% блогов получили 10 или менее просмотров, а более 96% сообщений имели ноль комментариев.

В отчете говорится, что за время проведения операции было закрыто 100 960 аккаунтов на различных каналах, включая YouTube, Blogger и AdSense.

Группа действительно генерирует некоторые прокитайские и антиамериканские сообщения на мандаринском, английском и других языках: Например, в то время как прокитайский контент восхваляет ответные меры страны на пандемию COVID-19, он критикует США за вмешательство в международные дела, а в одном видео голосование изображается бесполезным. Но эти темы составляют лишь малую часть контента.

Несмотря на практически несуществующий уровень вовлеченности, Dragonbridge продолжает экспериментировать с форматами контента и пытается улучшить общее низкое качество своих усилий, отмечается в отчете.

Dragonbridge присоединяется к другим китайским IO-кампаниям, включая HaiEnergy - кампанию влияния фейковых новостей, использующую по меньшей мере 72 неаутентичных новостных сайта для продвижения контента, стратегически согласованного с политическими интересами страны.

Такие операции могут быть опасными: в США, например, кампании по дезинформации были развернуты во время прошлогодних промежуточных выборов в попытке изменить отношение неопределившихся избирателей и побудить сторонников выйти и проголосовать.

Исследователи Google TAG говорят, что Dragonbridge также способен стать более мощной угрозой.

 

Активизация деятельности во время политических событий.

Активность Dragonbridge возросла в июле 2022 года после заявления Нэнси Пелоси о возможном визите на Тайвань, причем риторика группы становилась все более воинственной, поскольку Народно-освободительная армия Китая (НОАК) готовила учения вокруг острова.

Dragonbridge «демонстрировала необычайно последовательное поведение, используя единые хэштеги и названия на всех каналах, быстро и многократно загружая тематический контент с высокой производственной ценностью, который не перемежался с обычным спамом с неправильной направленностью» - отмечается в отчете.

Несмотря на отсутствие вовлеченности в сообщество и кажущуюся халтурность контента, Dragonbridge управляет обширной сетью аккаунтов Google, которые он, вероятно, приобретает у массовых продавцов аккаунтов, которые ранее были приобретены для финансово мотивированной деятельности, прежде чем стать неактивными.

В отчете также отмечается, что Dragonbridge экспериментирует с более качественными формами контента с реальными человеческими голосами вместо компьютерного повествования, более сложными форматами чатов, похожих на новости, и анимированными политическими сегментами.

Постоянный уровень распространения контента и попытки сети внедрить инновации в тактику и методы вызывают постоянное беспокойство, отмечает TAG.

 

Мост Дракона в никуда?

«Интересно то, что никто не ставит под сомнение объем ресурсов, затраченных на решение этой проблемы» - говорит Эндрю Барратт, вице-президент компании Coalfire, предоставляющей консультационные услуги в области кибербезопасности. «Это может быть механизм, используемый как часть мошенничества в стиле «приманка и подмена», заставляющий Google заниматься большим количеством удалений - за этим контентом явно не следят».

Майк Паркин, старший технический инженер компании Vulcan Cyber, поставщика программного обеспечения как услуги (SaaS) для устранения киберрисков на предприятиях, добавляет, что, хотя это может показаться неудачным, существует множество людей, готовых купиться даже на самую возмутительную дезинформацию.

«Хотя такие сообщения кажутся неэффективными даже для легковерных людей, существует большая вероятность того, что существует множество таких сообщений, которые более успешны и сумели избежать удаления» - говорит он.

Паркин добавляет, что существует множество возможных причин для того, что делает эта группа: от простой траты ресурсов до использования этих явно спамерских аккаунтов для обучения модели машинного обучения тому, как избежать идентификации и удаления.

Барратт согласен с тем, что неустанное наступление Dragonbridge может быть просто показателем возможностей, демонстрируя, что группа может найти способы истощения ресурсов Google, используя его собственные инструменты против него.

«Кастомные боты могут создавать аккаунты, размещать контент, а затем продвигать его; это действительно небольшие расходы для Dragonbridge по сравнению со стоимостью размещения видео, его просмотра и удаления» - говорит он. «Это очень высокая отдача от инвестиций, если измерять отдачу в затратах, с которыми сталкивается противник».

С его точки зрения, это, скорее всего, дезинформационный эквивалент проведения военных маневров на границе.

«Кто-то показывает, что может сделать и как трудно его остановить» - говорит он.

Паркин добавляет, что можно программно создать несколько аккаунтов, разместить видео и связать их все в комментариях.

«Если это делается именно так, то это не требует огромных ресурсов, и вполне возможно, что небольшая группа с нужными навыками сможет это провернуть. Но без изучения данных Google трудно сказать, так ли это было сделано в данном случае».

 

Источник: https://www.darkreading.com

Системы Информационной Безопасности