Компанія “Ґуґл” поділилася деталями про боротьбу з наймасовішою мережею спаму на своїх платформах у 2022 році. Мережа координованої інформаційної діяльності походила з Китаю та активно поширювала пропаганду про реакцію КНР на COVID-19, а також наративи проти США і Тайваню.

Вже кілька років поспіль компанія “Ґуґл” розбудовує напрям боротьби з кіберризиками, зокрема впливом шпигунського програмного забезпечення та координованою неавтентичною діяльністю на своїх платформах. Цим безпосередньо займається Threat Analysis Group (TAG) — експертна група, яка стежить за потенційно загрозливими суб'єктами та еволюцією їхніх тактик і прийомів. Так, у вересні 2022 року група опублікувала звіт про кібератаки на Україну протягом весни-літа минулого року.

26 січня Google опублікував оновлення щодо діяльності Threat Analysis Group із виявлення та протидії DRAGONBRIDGE, також відомої як «Spamouflage Dragon»,  — координованої мережі, пов’язаної з Китаєм, яка поширює спам ​​на багатьох платформах.

Більшість діяльності DRAGONBRIDGE — це низькоякісний контент без політичних посилів, який розповсюджують на численних каналах і блогах. Однак невелика частина облікових записів DRAGONBRIDGE також публікує повідомлення про поточні події, поширюючи прокитайські погляди. У 2022 році наративи DRAGONBRIDGE охоплювали широкий спектр новинних тем — від реакції Китаю на COVID-19 до війни в Україні — і містили чимало критичного щодо США контенту. Мережа насамперед орієнтувалася на тих, хто розмовляє китайською, але деякі меседжі публікували англійською та іншими мовами.

У 2022 році Google перервав понад 50 000 випадків активності DRAGONBRIDGE на YouTube, Blogger і AdSense. За час існування мережі ліквідовано понад 100 000 облікових записів. Попри потужне виробництво контенту, мережа практично не залучила реальних глядачів — у 2022 році, коли “Ґуґл” перервав ї] роботу, більшість каналів зовсім не мали підписників, а понад 80% відео мали менше 100 переглядів. Залучення аудиторії на платформі Blogger також було низьким: майже 95% закритих у грудні блогів мали 10 або менше переглядів.

 

DRAGONBRIDGE є найактивнішим IO, проти якого “Ґуґл” боровся у 2022 році

Хоча DRAGONBRIDGE не залучили органічну аудиторію, вони наполегливі й адаптивні. З 2019 року, коли TAG почав стежити за мережею, вона постійно експериментує з тактикою, форматами і якіснішим контентом. Зрештою, скоординована неавтентична діяльність DRAGONBRIDGE може привернути увагу реальних користувачів. Саме тому TAG і Mandiant уважно відслідковують її роботу, а “Ґуґл”застосував агресивний підхід до ідентифікації та видалення контенту. 

Контент без аудиторії

У 2022 році переважна більшість видаленого контенту DRAGONBRIDGE так і не залучила реальної аудиторії. Серед 53177 ютуб-каналів, деактивованих “Ґуґлом”, 58% не мали підписників, а 42% їхніх відео не мали переглядів. 83% цих відео мали менше 100 переглядів.

Кількість переглядів серед деактивованих ютуб-каналів DRAGONBRIDGE 

У рідкісних випадках, коли контент справді отримував залучення, воно було майже повністю неавтентичним та надходило з інших облікових записів DRAGONBRIDGE, а не від справжніх користувачів. Коментарі так само здебільшого писали інші облікові записи мережі. Аналогічно, у блогів DRAGONBRIDGE теж майже немає автентичної аудиторії: майже 95% блогів, закритих у грудні, мали 10 або менше переглядів, а понад 96% взагалі не мали коментарів.

Кількість переглядів і коментарів у блогах DRAGONBRIDGE, деактивованих у грудні 2022 року

Низька якість і спам

Особливістю DRAGONBRIDGE — і однією з причин, через яку вони не залучили органічну аудиторію — є низька якість контенту, особливо англійськомовного. Більшість публікацій — спам і безглузді матеріали без очевидного політичного посилу. Часто це відео тварин, пейзажів, їжі, спорту тощо. Характерні риси — розмиті зображення, спотворений звук, поганий переклад, неправильна вимова. Контент часто створений поспішно та містить безглузді помилки, наприклад, невидалений текст Lorem Ipsum (текст-заповнювач, який використовують у макетах відео або зображень як тестовий — ОПОРА) у відео.

Відео DRAGONBRIDGE із текстом-заповнювачем “Lorem Ipsum”

Прокитайські наративи та критика США

Невелика частина каналів і блогів DRAGONBRIDGE публікують дописи про поточні події, пропагуючи прокитайську позицію та засуджуючи США. У 2022 році DRAGONBRIDGE загострив критику Сполучених Щтатів у дописах, опублікованих здебільшого мандаринською й англійською мовами.

Політичний контент DRAGONBRIDGE вихваляв реакцію Китаю на пандемію і критикував продемократичні протести, а у 2022 році — більш рішучу підтримку Тайваню. Так, після оголошення про можливий візит тодішньої спікерки Палати представників США Ненсі Пелосі до Тайбею DRAGONBRIDGE змістив увагу на критику політикині, а також її сім’ї та фінансів, намагаючись її дискредитувати.

Під час і після військових навчань Народно-визвольної армії Китаю (НВАК) на Тайвані DRAGONBRIDGE різко загострив свою риторику — публікував мілітаристські відео НВАК і заклики до президентки Тайваню Цай Інвень та її політичних союзників до “капітуляції”. DRAGONBRIDGE продемонстрував надзвичайно узгоджену поведінку, використовуючи єдині хештеги і заголовки у різних каналах, а також одночасно й швидко завантажуючи актуальний контент. 

У 2022 році DRAGONBRIDGE також публікував контент із згадками про те, що США відповідальні за розпалювання напруженості за кордоном і втручання у внутрішні справи інших країн. Наративи, зосереджені на США, зображували американське суспільство та демократію в негативному світлі. У 2022 році “Ґуґл” видалив контент DRAGONBRIDGE про реакцію США на COVID-19, расову нерівність, політичні розбіжності, інфляцію та інші суперечливі теми. 

Напередодні проміжних виборів-2022 у США “Ґуґл” деактивував канали, на яких DRAGONBRIDGE поширював наративи про політичні розбіжності в Штатах, потенціал політичного насильства та загрози демократії. В одному з відео голосування в США назвали неефективним і марною тратою часу.

Інфраструктура масових облікових записів

Щоб публікувати спам та цифровий контент, DRAGONBRIDGE керує інфраструктурою, що складається з тисяч облікових записів. Загалом “Ґуґл” закрив 100960 акаунтів, пов’язаних із мережею, за весь період її існування.

DRAGONBRIDGE отримує акаунти від “оптових” продавців облікових записів. Так, багато обліковок мережі раніше використовували для фінансово мотивованої діяльності. 

Розбудова тактики та експерименти

DRAGONBRIDGE регулярно експериментує з новими тактиками, зокрема створенням невеликої кількості каналів із високоякісним унікальним контентом. На таких каналах публікують:

  • Високоякісний контент зі справжнім людським голосом замість голосу, створеного машиною; 
  • Токшоу з реальною людиною, яка обговорює події на камеру у формі “news like”;
  • Політичні мультфільми; 
  • Цифровий контент, змішаний із високоякісним аполітичним наповненням, таким як поради у сферах краси і кулінарії.

Як показує апдейт від компанії ‘Ґуґл”, діяльність координованих мереж поширення спам-контенту поки не залучає органічну аудиторію у суттєвих обсягах, однак ці спам-мережі можуть еволюціонувати та шукати нові способи створення контенту, камуфльованого під якісний. 

Кейс DRAGONBRIDGE — це не лише про персональну інформаційну безпеку користувачів “Ґуґл”, а й про загрози втручання тоталітарних режимів у внутрішнє політичне життя західних демократій. Протидія координованим мережам на кшталт DRAFONBRIDGE є вдалим прикладом алежної реакції платформи та її відповідальності перед користувачами щодо безпеки інфопростору.