Kreiranjem lažnih naloga širi se propaganda o ratu u Ukrajini
Putem ‘SAnA’ aplikacije hakeri su mogli da kreiraju lažne vijesti, objave, fotografije, kratke video zapise i druge elemente za postavljanje na društvene mreže.
Iako se ruske obaveštajne službe već gotovo deceniju sumnjiče da stoje iza velikog broja računarskih virusa i malware softvera, te hakerskih napada prvenstveno na računarsku infrastrukturu u Evropskoj uniji i SAD-u, najnovija otkrića međunarodnih stručnjaka pokazuju prave razmere ruske cyber špijunaže.
U pitanju je ogromna mreža lažnih naloga, te računara i pametnih IoT (Internet of Things) uređaja, zaraženih posebno napisanim malware računarskim virusom. U celini, ova botnet mreža je korišćena za širenje proruske propagande na društvenim mrežama, kao i na internet forumima i aplikacijama za online vesti.
Stručnjaci ovu botnet mrežu nazivaju “Fronton”, a prvi put je otkrivena još 2020. godine, ali u mnogo manjem obimu. Ova mreža je tada koristila i DDoS napade (distributed denial of service), jednu od “klasičnih” tehnika za cyber-ratovanje.
Državni propagandni servisi
Ruski hakeri su “Fronton” koristili praktično kao i druge web servise, sa korisničkim imenom i lozinkom. Kada bi preko tajne IP adrese na internetu ušli u sistem, dočekivala bi ih aplikacija kodnog imena “SAnA”. Sama aplikacija je funkcionisala na principu administratora i korisnika. Hakeri koji su bili vođe timova (obično i sa višim činom u obaveštajnom sistemu), davali bi “zadatke” nižim članovima. Putem “SAnA” aplikacije hakeri su mogli da kreiraju lažne vesti, objave, fotografije, kratke video zapise i druge elemente za postavljanje na društvene mreže. Kada bi sadržaj bio unesen u sistem, sa nekoliko klikova se on putem desetina hiljada lažnih naloga na gotovo svim popularnim društvenim mrežama širio dalje. Obični korisnici, “sa druge strane interneta”, su često ovakav sadržaj dalje delili, smatrajući da se radi o “zvaničnim” izveštajima iz Ukrajine ili Rusije, te proverenim vestima ruskih medija.
Prema istraživanju iz 2020. godine, deo “Fronton” sistema, tj. njegov programski kod razvila je kompanija koja je u javnosti poznata kao civilni podizvođač (subcontractor) za rusku Federalnu službu bezbednosti (FSB). Druga kompanija, “Zero day Technology” je takođe radila na “SAnA” aplikaciji. Zanimljivo je i da je sam naziv kompanije referenca na propust u velikom broju aplikacija, a koji hakeri često koriste.
Kompanija za internet bezbednost “Nisos” je u svom istraživanju takođe došla do imena ove dve kompanije, kao i do podataka da je poznati ruski haker Pavel Sitnikov u jednom trenutku bio njihov zaposleni. Sitnikov, poznat na internetu kao “Flatl1ne”, uhapšen je krajem maja prošle godine zbog širenja malware virusa. Iako nije posve jasno da li je “Fronton” bio zvanična “aktivnost” FSB-a ili je korišćen polunezvanično, nema sumnje da je ovaj botnet odgovoran za širenje na stotine hiljada online linkova, koji su dalje uglavnom vodili na stranice ruskih “medija”, u suštini državnih propagandnih servisa Kremlja. Neki od ovakvih propagandnih kanala, poput Sputnika i RT-a, zabranjeni su odlukom Evropskog saveta još na početku ruske agresije na Ukrajinu. I Google, Facebook i Twitter su takođe ukinuli stranice ovih “medija”, citirajući svoja pravila o zabrani širenja lažnih vesti.
Facebook i Twitter uveli ‘kočnice’
Dejan Tomić, IT stručnjak, kaže da obični korisnici Facebooka ili Twittera nisu svesni da je i internet postao deo “bojnog polja”.
“Propaganda je vitalni deo svake vojne akcije. Obe strane u sukobu, što vidimo sada i u Ukrajini, u svojim objavama u medijima, uvek maksimiziraju svoje aktivnosti, te minimizuju uspeh druge strane. Budući da je trenutni konflikt u Ukrajini prvi sukob koji se praktično u realnom vremenu prenosi na društvenim mrežama, i Rusija i Ukrajina od samog početka nastoje da ih ‘zatrpaju’ informacijama”, objašnjava Tomić.
“Kada neko na društvenim mrežama naiđe na sliku ratnih razaranja ili neke od brojnih tragedija, često ne obrati pažnju na izvor vesti ili informacije, već taj sadržaj odmah podeli. I Facebook i Twitter su zbog toga uveli ‘kočnicu’, zapravo obaveštenje koje vam kaže da prvo vest pročitate pre nego što je podelite. U martu su masovno deljene slike srušenog obdaništa i igračaka razbacanih po ruševinama, navodno nastale u gradu Poltava. Kasnije je dokazano da su te fotografije nastale 2016. u Siriji, u gradu Alep”, dodaje.
Stručnjaci za bezbednost nazivaju “Fronton” i “sistemom za koordinisano lažno predstavljanje” na internetu. Više od 150.000 lažnih Facebook i 30.000 Twitter naloga koordinisano je od strane samo nekoliko “glavnih” naloga. Istraživači su došli i do naloga na popularnoj mreži VK (VKontakte) pod imenom “Ruslan Saidov” i njegovog identifikacionog broja u sistemu “498424584”. Iako gotovo sigurno i sam lažni nalog (ili ukradeni identitet), sa ovog naloga je “poticalo” najveći broj lažnih vesti i objava, koje su se dalje širile širom interneta. Drugi “kontrolni” nalog je bio pod imenom “Azamat Aldabergen”.
Unutar sistema, lažne vesti (fake news) su nazivane “člancima” ili “najnovijim vestima” (breaknews). Hakeri su mogli i da naprave grupe na većini društvenih mreža, te bi jednim klikom kroz grupe ove “članke” proširili dalje do regularnih korisnika. Koliko je sistem bio sofisticiran, govori i činjenica da su postojali i “rečnici” sa često korišćenim ili popularnim frazama na raznim evropskim jezicima, a sve u cilju kako bi lažni nalozi, i hakeri iza njih, delovali kao legitimni korisnici. Uz ovo, kroz opcije u “SAnA” interfejsu mogli su se čak i dodavati prijatelji, bilo lažni ili pravi.
Lažni botovi i pravi špijuni
Početkom aprila, web adresa koja je služila za pristup “Fronton” sistemu i “SAnA” interfejs je ugašena, a najverovatnije samo premeštena na drugi web-server tj. drugu adresu. Većina “botovskih” naloga za koje se znalo da su deo “Fronton” sistema su ili ugašeni ili više nisu aktivni, i ne objavljuju novi sadržaj.
Kompanija za internetsku sigurnost “Mandiant” navodi da veoma sličan sistem postoji i u Belorusiji, kako i u još nekim bivšim sovjetskim republikama, a sa istom namenom. “Mandiant” ove sisteme naziva CIO (concerted information operation, fokusirane informacijske operacije).
Ono što je takođe zanimljivo je i da se na društvenim mrežama u regionu poslednjih meseci mogli primetiti obrisi targetirane kampanje. Na stranicama većine medija na Facebooku i Twitteru se “vrte” isti nalozi, koji šalju iste komentare i poruke – “Srbija je uz Rusiju”, “Rusija brani Kosovo”, “Nećemo uvesti sankcije Rusiji”. Ono što se odmah primeti je i da su na profilnim slikama uglavnom crtani junaci ili grbovi fudbalskih klubova.
Još je zanimljivije da su skoro svi ovi “domaći botovi” otvorili svoje naloge u periodu od sredine februara do kraja marta ove godine. Da se radi o sličnom (ili čak istom) sistemu kao “Fronton” govori i to što ovi lažni nalozi uvek objavljuju komentare ili tvitove istim redosledom, bez obzira o kom mediju ili stranici se radi.