Атака клонов: раскрыта сеть кремлевских ботов в ЖЖ и Твиттере

Начиная с весны 2014 года тысячи фальшивых блогов Живого Журнала стали массово размещать посты, продвигающие прокремлевский взгляд на мировые события, атакующие западных лидеров и восхваляющие президента России Владимира Путина. Используя собственную программу на языке Python, Лоуренс Александер смог выделить и проанализировать эти аккаунты.

Глубокое погружение в метаданные поддерживающей сети твиттер-ботов смогло предоставить ему дополнительный ключ к разгадке их происхождения.

После того как моя предыдущая статья разоблачила и исследовала сотни российских твиттер-ботов, отобранных по характерным именам их программы-клиента, Пэт О’Рейли – один из разработчиков Твиттера и создатель приложения Relevancy (релевантность) –обратил мое внимание на другую разоблачающую деталь в метаданных.

Он пояснил, что, кроме имен клиентов, Твиттер также сохраняет URL-адрес, связанный с каждым приложением, которому разрешено использовать платформу. О’Рейли создал веб-страницу с записями URL-адресов, показывающую, что твиттер-клиенты, управляющие ботами из нашей выборки, в том числе  rostislav, iziaslav and pourtwi, были связаны с одним и тем же поддоменом: add1.ru.

Связи с «фабрикой троллей»

Этот адрес имеет интересную историю. В июне 2015 года в своем расследовании пророссийских «фабрик троллей» для New York Times, журналист Адриан Чен раскрыл ряд подозрительных твиттер-аккаунтов, публикующих посты с помощью инструмента под названием «mass post». Этот инструмент, как он обнаружил, также указывал на сайтadd1.ru, изначально зарегистрированный на петербургского IT-специалиста и программиста Михаила Бурчика. Бурчик также упоминался в документах,опубликованных Анонимным Интернационалом, как исполнительный директор Агентства интернет-исследований, предполагаемой «фабрики троллей» базирующейся в том же городе.

Информация из открытых источников раскрывает связи между Бурчиком и прокремлевской интернет-сетью, описанной в моих предыдущих статьях для «Эхо Рунета». Записи WHOIS (протокол, позволяющий получить регистрационные данные о владельцах доменных имен) связывают его имя с не функционирующими в настоящее время сайтами worldsochi (архив) и sochiworld (архив). Никита Подгорный, SEO-эксперт, связанный с прокремлевскими сайтами и Агентством интернет-исследований, по-прежнему является членом группы в Фейсбуке, связанной с обоими сайтами.

Данные Бурчика также появляются в информации о регистрации домена (архивonlinepetitioninua.com. Этот веб-сайт, претендующий на то, чтобы быть украинской платформой для петиций, теперь выключен и деархивирован. Его WHOIS записи неправдоподобно представляют «владельцем» сайта украинское правительство, в комплекте с маловероятным контактным адресом электронной почты[email protected] (имя пользователя: «Ukr Gov»). Таланты Бурчика по автоматизации социальных медиа (Чен обнаружил, что он действительно «молодой tech-предприниматель») усиливаются его связью с приложением time2post, страница которого  ВКонтакте показывает, что Бурчик отвечает на технические запросы и размещает обновления для пользователей из своего личного профиля:

Burchik-Time2post-reply

Но что еще может связывать твиттер-боты, запускаемые с адреса add1.ru, и работу петербургской «фабрики троллей»?

А затем был Livejournal

Даже при поверхностном изучении поведения ботов в Твиттере видно, что значительная часть их деятельности посвящена массовым ссылкам на блоги в ЖЖ. Эти твиты AlinaViatkova – типичный пример:

Bot-Tweeting-LiveJournal-Links

Если вбить найденные ЖЖ-ники в поиск Твиттере, обнаруживается скоординированная коллективная деятельность определенной части ботов, которые постоянно ссылаются на одни и те же блоги.

Bots-Livejournal-3-391x400

Сразу было понятно, что эти ЖЖ-аккаунты фейковые, с юзерпиками взятыми из бесплатных баз изображений и пустыми или почти пустыми профайлами. Кроме того, мы знаем из предыдущих расследований, что «фабрика троллей» в Петербурге использует ЖЖ как одну из платформ распространения контента. Беглое изучение этих новых постов позволяет сделать вывод о том, что они в основном направлены в поддержку России и Асада и против Запада.

Эти блоги помимо прочего посвящены критике украинских властей и Европейского союза, одновременно изображая Путина благородным защитником традиционных российских ценностей. Содержание постов обычно было довольно грубым при описании украинских лидеров.

Также как и боты в Твиттере, блоги ЖЖ активно продвигали выставку «Вещдоки». Политическую ангажированность этой выставки и ее связь с Агентством интернет-исследований ранее уже удалось доказать Эху Рунета.

Комменты под каждым из постов распространялись с одних и тех же фейковых аккаунтов и либо поддерживали политический месседж поста, либо предлагали очевидно слабую и упрощенную критику, которая тут же разоблачалась другими троллями.

LiveJournal-comments

Прокремлевская сеть блогов

В ЖЖ действует система, позволяющая включать другие аккаунты в друзья, и многие из прокремлевских аккаунтов, как выяснилось, связаны в единую сеть. Используя Python, я собрал метаданные более 8700 связанных аккаунтов, начиная с нескольких юзеров и затем собирая друзей их друзей. Обратите внимание, что этот метод выявляет не все связи, поэтому реальная цифра может быть значительно больше.

В связи с тем, что в выборку могли попасть и те аккаунты, которые не имеют отношения к прокремлевской кампании, я опирался не только на наличие аккаунта в друзьях, но также использовал хронологический подход, чтобы отсеять возможные случайные аккаунты.

LiveJournal-trolls-excel

Боты и троллей зачастую создаются сразу в большом количестве за короткий период времени. В данном случае  89% аккаунтов из этих тесно связанных между собой 8700 были зарегистрированы между началом марта и концом мая 2014 года, незадолго до пика регистрации доменов сети прокремлевских сайтов летом того же года, о чем уже мы сообщали ранее.

 LiveJournal-Timeline-800x522

Как оказалось, многие номера аккаунтов были последовательны (то есть, например, у одного номер был 12345678, а у другого 12345679). Это упростило настройку Python, чтобы обозначить аккаунты, созданные в этот период. Затем я вычистил в Exel аккаунты, которые не относились к делу.

Получив «вычищенный» набор аккаунтов, я решил определить наиболее популярные темы постов у этих нескольких тысяч троллей. Здесь снова помог Python – я написал второй скрипт, чтобы собрать все слова из заголовков их последних постов. Есть ли там какие-то общие политические темы?

Анализ частотности употребления слов в заголовках говорит сам за себя. Наиболее часто употребляемыми терминами (если убрать просто распространенные части речи, как например союзы) были «мнение», «Россия», «новости», «США», «Украина» и «правда». Также в число наиболее употребляемых вошли «ЕС», «политика», «Путин», «Порошенко» и некоторые термины имеющие отношения к конфликтам (см. расширенную версию интерактивного графика). 

Эти термины в значительной степени совпадают с темами из методички по публикациям в блогах, обнаруженную в документах Агентства интернет-исследований, которые включают в себя Украину, ЕС, Россию и США среди приоритетных тем для организации.

TalkingPoints

Несмотря на активную и скоординированную стратегию распространения ссылок, остается неясным насколько успешными были эти ЖЖ-блоги в привлечении читателей или влиянии на общественное мнение, внутри или вовне России.

В момент написания этой статьи, однако, новые посты публикуются регулярно, что дает основания полагать, что 18-месячная кампания по продвижению кремлевского контента в рунете ещё продолжается.

Источник:  Global Voices /  The Insider 

You may also like...