The Daily Beast | 16 мая 2018 г.
Российская ферма троллей захватывала компьютеры американских девочек-подростков ради лайков
Кевин Поулсен
"Сетевая пропаганда была первой фазой, потом был захват компьютеров, - сообщает Кевин Поулсен в американском издании The Daily Beast. - Связанная с Кремлем ферма троллей, известная как "Агентство интернет-исследований", совершила зловещую вылазку в область распространения вредоносных программ в середине президентской кампании 2016 года. Она распространяла по компьютерам американских девочек-подростков плагин для программы Chrome, который стягивал их браузеры в грубую сеть ботов, как показал анализ, проведенный The Daily Beast и сторонними экспертами по безопасности".
"Это приложение, которое называется FaceMusic, распространялось как встроенный музыкальный плеер, позволяющий пользователям бесплатно слушать музыку, сидя в Facebook. "Агентство интерне-исследований" купило рекламу этого приложения в мае 2016 года с помощью одного из своих фальшивых профилей "Stop All Invaders" ("Остановите всех захватчиков". - Прим. ред.), который обычно продвигал ксенофобские антииммиграционные мемы в поддержку кампании Дональда Трампа", - говорится в статье.
Данные с Facebook, опубликованные Конгрессом США на прошлой неделе, показали, что приложение FaceMusic собрало 24623 просмотра со 107 объявлений, но получило всего 85 кликов, передает корреспондент. При самом успешном прогоне объявления, получившем 28 кликов, прицельная система Facebook использовалась для поиска американских пользователей женского пола в возрасте от 14 до 17 лет. (Всего, вероятно, вредоносной программой FaceMusic заражено более 13 тыс. ПК, согласно анализу The Daily Beast.).
"С тех пор компания Google удалила вредоносную программу из магазина дополнений для Chrome, и общедоступный вебсайт FaceMusic по адресу fbmusic[.]com более недоступен. Однако исследование архивированной копии кода в сочетании с анализом его сетевого трафика показало, что у него есть тайный функционал, который был активен даже когда жертва не пользовалась Facebook", - сообщает журналист.
Некоторые версии кода могут рассылать друзьям жертвы на Facebook приглашения в FaceMusic. Другие заставляют компьютер открывать сайты по списку, присылаемому с сервера, таким образом, чтобы это никак не проявлялось внешне. Так как на всех форумах, на которых агентство размещало свой контент, имеется система повышения видимости более популярных постов, агентство, вероятно, хотело с помощью FaceMusic добиться того, чтобы его материалы поднимались в рейтинге.
"Топовые форумы были бы неуязвимы для такой прямолинейной схемы, но мелкие могли поддаться", - уточняет автор статьи. "Я видел раньше такие случаи, - сказал Шейн Уилтон из компании Tinfoil Security, изучавшей указанный код по просьбе The Daily Beast. - Я удивился бы, если бы такая проблема была у Reddit или Facebook, но, если фабрика троллей активна в других, менее крупных соцсетях, этот код мог использоваться именно с такой целью".
"Фабрика троллей также могла использовать приложение для генерирования трафика статей, опубликованных агентством в сети или одобренных им, чтобы содействовать публикации новых подобных материалов", - говорится в статье.
Журналист передает, что в субботу пресс-секретарь Google сказал Wired, что компания изъяла программу из своего магазина приложений в 2016 году и удалила ее со всех пользовательских компьютеров. Однако The Daily Beast выяснило, что это не совсем правда.
"На прошлой неделе The Daily Beast заметило, что истек срок регистрации веб-адреса extad[.]info, использовавшегося для контроля браузерной бот-сети фермы троллей. Мы зарегистрировали этот домен и начали отслеживать входящие соединения. Сервер получает запросы от FaceMusic из 200 разных компьютеров, на которых все еще существует давно покойное дополнение для Chrome", - сообщает Поулсен.
Судя по этим данным, программа FaceMusic активна в 32 странах. Больше всего пораженных ею компьютеров - 20 - на Украине. В журналах появляются номера пользователей от 466 до 13780, значит, до блокировки приложения компанией Google его установили более 13 тыс. пользователей.
Обратная связь: редакция / отдел рекламы
Подписка на новости (RSS)
Информация об ограничениях