Meta удалила сеть «кремлеботов», создающих впечатление поддержки военных действий. Главное из отчёта о «Кибер фронте Z» Статьи редакции
Преемники «пригожинских троллей» работают семь дней в неделю, но не могут добиться эффективности.
Фото «РИА ФАН»
Meta* расследовала деятельность российской «фабрики троллей», которая массово размещала комментарии в фейсбуке*, инстаграме*, тиктоке, ютубе, «ВКонтакте» и других соцсетях, чтобы создать видимость онлайн-поддержки военных действий в Украине. Об этом говорится в отчёте компании Adversarial Threat Report за второй квартал 2022 года.
Meta* обратила внимание на сеть «спамеров» в своих соцсетях и удалила более тысячи поддельных аккаунтов после расследования издания «Фонтанка» о петербургской «фабрике» по написанию комментариев о событиях в Украине. «По всей видимости, это было плохо реализованной попыткой создать впечатление массовой онлайн-поддержки военных действий. Делалось это через размещение соответствующих комментариев с поддельных аккаунтов под контентом влиятельных лиц и медиа», — говорится в отчёте.
«Киберфронтом Z», предположительно, управляют структуры Евгения Пригожина, которого связывают с «фабриками троллей».
Как работали «кремлеботы»
Наёмные «тролли» работали посменно семь дней в неделю с небольшим перерывом на обед. Они были разделены на команды, специализирующиеся на конкретных платформах, в которые они должны были «рассылать спам». Meta* обнаружила их следы в инстаграме*, фейсбуке*, тиктоке, твиттере, ютубе, LinkedIn, «ВКонтакте» и «Одноклассниках».
Деятельность имела явную и скрытую составляющую. Открыто «кремлеботы» вели канал в телеграме, который регулярно призывал своих подписчиков переходить на определённые аккаунты, посты общественных деятелей или СМИ и заполонять их пророссийскими комментариями. Они тайно управляли фальшивыми учётными записями, которые сами размещали такие комментарии — вероятно, чтобы создать впечатление, что их краудсорсинг востребован.
Поведение участников «Кибер фронта Z» похоже на поведение других «ферм троллей», например, в Албании и Никарагуа, отметила Meta*. «Кремлеботы» публиковали комментарии по фиксированному графику, семь дней в неделю, с медленным стартом утром и всплеском к концу дня — возможно, потому, что они спешили выполнить свой план по количеству постов. Различия между будними и выходными днями были незначительными.
Новые особенности текста «спамеров»
Как утверждает Meta*, поведение «ботов» не отличалось сложностью. В случае отдельных учётных записей аналитики не видели серьёзных попыток «конструирования личности», чтобы поддельные аккаунты выглядели правдоподобно. Сеть не использовала несколько стратегий влияния — она была сосредоточена исключительно на массовых комментариях. Зачастую автоматические системы соцсетей выявляли «спам» ещё до проверки специалистом.
Тем не менее, «спамеры» использовали в основном уникальные комментарии и не публиковали их повторно. «Это свидетельствует о преднамеренных и трудоёмких усилиях, отличающих сеть от других случаев, подпадающих под действие нашей политики в отношении спама и недобросовестного взаимодействия», — отметила Meta*. Кроме того, «кремлеботы» не действовали хаотичным образом: они выбирали чёткие цели, иногда даже для противодействия конкретным проукраинским сообщениям.
«Кибер фронт Z» и «пригожинские тролли»
Компания связала деятельность спамеров, создающих впечатление поддержки российских действий в Украине, с Агентством интернет-исследований. Тактика «Кибер фронта Z» аналогична методам «кремлеботов», которые с 2013 года пытались бороться с российской оппозицией, включая Алексея Навального*.
Meta отметила, что «Кибер фронт Z» уступает в эффективности своему предшественнику. В основном, под постами, на которые нацеливались новые «тролли», «антивоенных» комментариев было больше, чем пророссийских. Например, 28 марта «Кибер фронт Z» атаковал аккаунт министра обороны Финляндии. Однако в итоге, из 255 учётных записей, прокомментировавших сообщение, почти 200 поддерживали Украину, а немногим более 20 выступали за военные действия.
Расследование компании не выявило следов поддержки «кремлеботов» аутентичными сообществами. Вероятно, отсутствию успеха способстовали регулярные промахи, считают аналитики. Например, 26 марта подписчикам телеграм-канала «Кибер фронта Z» предложили написать министру иностранных дел Великобритании Лиз Трасс, что «денацификация Украины неизбежна, даже если Лондон защищает укро-нацистов». Авторы телеграм-канала приложили ссылки на учётные записи политика в твиттере, инстаграме и фейсбуке. Однако вместо её оригинальной страницы они сослались на фан-страницу с примерно 30 подписчиками, на которой ничего не публиковали с 2018 года.
Имеющиеся данные свидетельствуют о том, что «Кибер фронту Z» не удалось заручиться существенной подлинной онлайн-поддержкой.
*Meta, владеющая фейсбуком и инстаграмом, признана в России экстремистской организацией.
*А Алексей Навальный внесён в список террористов и экстремистов.
Зарегают новые аккаунты и все начнётся заново уже через неделю. В любом случае в продуктах Мета они сидели используя VPN, потому и реальные адреса компьютеров или подсети не удастся заблокировать. Провайдеров VPN блокировать Мета вряд ли станет. Скорее все это рядовая отчётность что что-то делается со стороны Меты.
А FB по контенту блочат, и по профилю активности, им адреса давно уже до лампочки, хотя и могут быть использованы, если окажутся полезны.
У них давно уже крайне развитые методы борьбы с различными дикпиками, и прочими q-anon’ами.
Обнаружили первый раз — снесли аккаунты.
Второй раз — провели расследование.
Обнаружат третий раз — поставят задачу отделу аналитики пошорудить данные, и выделить маркеры работы этой конкретной группы, а потом внесут в блоклист, и выложут маркеры в открытый доступ.
Так что против фейсбука, и тех, кому он продаёт свои услуги, тягаться жалкой кучке троллей будет крайне сложно.
Кстати, очевидный, например, маркер — координация через группу в ТГ.
Чтобы найти троллей:
1) Выгружаешь посты из группы
2) Вычленяешь из сообщений ссылки на твои страницы
3) К каждой ссылке привязываешь время ее публикации
4) Запрашиваешь у себя из базы (ты же сотрудник ФБ) всех пользователей удовлетворяющих каждому из критериев:
a) зашедших на страницу в течение недели после публикации
b) не заходивших на эту страницу в течение недели перед публикацией
c) оставивших на странице комментарий
5) Объединив множества таких пользователей под парой-тройкиой постов, получаешь в моменте набор аккаунтов, очень с высокой вероятностью принадлежащих этой группе ботоводов.
А дальше берёшь, и блочишь 90% акков.
Оставшиеся 10% объединяешь в пока неактивный шедоубан-пузырь, чтобы они посты друг друга видели, а добросовестные юзеры — нет, и потихоньку, в течение недельки, его врубаешь, по пути собирая новых бодоводов под постами, посещаемыми акками старых, уже попавших в пузырь.
Работы — на пару дней для одного спеца. Реалистичных вариантов обойти такой блок — очень немного. Разве что всей группой постепенно заводить новые аккаунты, и комментить со старых и с новых строго под разными постами и с разных IP.
Учитывая человеческий фактор, и область компетенции ботоводов, такой бан скорее всего окончится медленной смертью группы примерно за 4 недели.
Разве ботофермы парсерами не пользуются и не увидят что они в пузыре?
Кстати, можно ещё сделать вот такой хитрый шедоубан:
Комментарий доступен по прямой ссылке, но не виден в общей ленте под постом. И куратор доволен, и пузырь цел.
Так а чем им это поможет?
1) 10% незапузыренных акков надо ещё догадаться поменять
2) если толпой ломануться регать новые акки, или расчехлять консервы — при небольшом модификации алгоритма сразу снова окажетесь в том же пузыре.
Любая скоординированная активность прекрасно видна на агрегированных данных, так что даже видя, что ты в пузыре, что-либо с этим сделать ты вряд ли сможешь.