Игорь Нежданов

Рынок компромата. Часть 2

2021-10-20T13:49:59.468Z

Происходит изменение «интереса» компроматчиков. Какое-то время назад предпочитали атаковать людей, а в настоящее время – бренды. Неужели это приносит больше денег? Или это такое проявление борьбы за рынки между брендами?) Конечно-же одна публикация может быть направлена как против персоны, так и против государства. Или против бренда, против организации и против персоны или нескольких персон, или еще какое сочетание объектов атаки. В этом случае данная публикация будет отнесена сразу к нескольким типам.

Группы связанных источников (сокращенно ГСИ) это агрегаторы компромата, про которые мы знаем, что они управляются одним человеком или одной группой лиц. Таких групп много и их размерность самая разная. От пяти площадок до шестисот. Да-да 600 площадок под управлением одного человека. Так вот наблюдается значительный рост активности именно таких площадок. В настоящее время именно ГСИ публикуют до 80% ударного контента. С одной стороны такие сетки куда эффективнее в плане и охвата и продвижения. А с другой, за снятие компрометирующего материала с каждой площадки нужно заплатить отдельно.

В своей работе компроматчики вынуждены использовать ботов. Это объясняется увеличением доли ГСИ. В результате в управлении одного админа много площадок внутри таких групп и нужно как-то оптимизировать работу с ними. Вручную уже не получается. Процесс автоматизируют, площадки управляются программно вот и рост участия ботов.

Большая часть агрегаторов компромата хостится на территории Украины, да и управляется оттуда-же. Это вполне объяснимо так как «с Дона выдачи нет», а расценки там минимальные в силу экономической ситуации.

Рынок компромата. Часть 1

2021-10-06T15:50:38.146Z

Для начала немного статистики по сервисам, специализирующимся на распространении компромата в инете.

Сколько таких «сервисов»

Число «площадок», специализирующихся на распространении компромата неуклонно растет. Оно и понятно – бизнес прибыльный, затрат минимум. О рисках мало кто задумывается, особенно в начале.

Самые высокие темпы роста в Телеграме. И как-то скачками растет. Видно три периода резкого роста. Рост именно в Телеграме объясним простотой реализации и иллюзией анонимности. Сервис давно уже называют некой альтернативой TOR-у.

Сколько публикаций

Объем создаваемых этими сервисами публикаций растет еще большими темпами. Почти в 20 раз за последние два года.

И здесь тоже лидирует Телеграм.

А вот по числу уникальных публикаций Телеграмм конечно отстает. Сервисы, мимкрирующие под традиционные СМИ, дают больше уникального контента.

НЕ мониторинговая система

2021-07-13T10:41:13.775Z

В какой-то момент нам стало важно быстро выявлять репутационные атаки на защищаемый объект. Долго пробовали и эксперементировали и в результате появился Альбатрос.

Альбатрос это не мониторинговая система в её общепринятом понимании. Мы не стремимся дать максимально полную картину по медиаактивности вокруг исследуемого Объекта. Для этого есть много хороших уже существующих систем, о которых вы все слышали. Все они прекрасно показывают кто, что и когда говорит. А наша задача - вовремя увидеть атаку на репутацию и предупредить. В идеале – когда атаку еще готовят, неплохо – в момент ее начала.

Альбатрос нацелен на определение атак на репутацию защищаемого Объекта. Мы выявляем признаки таких атак, а иногда и подготовки атаки. И в этом смысле концепция Альбатроса очень созвучна с концепцией, продвигаемой Андреем Масаловичем. Нам не нужно найти и собрать всё, нам нужно найти главное. То, что прямо укажет на искомое. А для этого нет смысла тратить ресурсы на сбор всего. Именно концентрация на определенных признаках в сочетании с уникальными компетенциями коллег в области расследования киберпреступлений и позволила создать алгоритмы, эффективно выявляющие атаку на репутацию.

Первое принципиальное отличие от известных мониторинговых систем это источники данных. Конечно, мы собираем и публикации в СМИ и в соцсетях, и комментарии и репосты. Но все они играют скорее вспомогательную роль. Нашими главными источниками являются площадки, где обычно зарождается атака на репутацию или где происходит ее развитие. В результате наблюдения за процессами вокруг репутации разных объектов, нами выявлено только основных типов таких площадок с десяток. Наиболее известный из них это агрегаторы компромата. Да-да те самые сайты Компромат-ру или давний Коготь. Но вот сколько вы знаете подобных ресурсов? Десять, двадцать, пятьдесят?... Вот и мониторинговые системы знают примерно столько-же, а их значительно больше. Мы в данный момент отслеживаем больше двух тысяч таких площадок. И эта цифра меняется практически каждый день. Дело в том, что подобные сайты создаются не только на «федеральном» уровне, но и на региональном и на местном. Мало того такие сайты создаются под определенную отрасль, и нередко под определенный объект. Да еще они имеют свойство «умирать» в силу прекращения финансирования атаки, выкупа сайта заинтересованной стороной или его блокировки. И это всё нужно уметь отслеживать. И желательно не вручную. А еще есть «сливные бачки» и это не совсем агрегаторы компромата, хотя зарабатывают на том-же, есть отзовики и их тоже не десяток и не два, есть сайты петиций и их тоже гораздо больше чем один change.org))) И еще раз повторю, это только «традиционные» для проявления проблемы типы площадок.

Второе важное отличие – алгоритмы, заложенные в систему. В первую очередь это алгоритмы анализа слабых сигналов, по которым можно выявить атаку еще на стадии ее зарождения. Мы нашли и проверили ряд закономерностей, которые указывают на подготовку атаки или ее начало. Их вновь не пять и не десять, а гораздо больше. Все они имеют свои тонкости, требуют своих специфических данных, своих способов интерпретации и нацелены каждый на свой узкий набор особенностей. Эти алгоритмы обогащают результаты друг друга. По отдельности каждый из них даёт много ложных срабатываний, но вместе их точность высока. Это отдельное большое направление, тесно связанное с расследованием киберпреступлений и частично в него интегрированное.

Не менее важны алгоритмы выявления сайтов, которые могут быть источником атак. Например, учитывая объемы и постоянное изменение числа сайтов-агрегаторов компромата, их выявление нужно автоматизировать, что мы и сделали. Безусловно это не исключает ручной труд аналитиков. В качестве иллюстрации есть смысл привести сбор данных на закрытых площадках в DarkNet. На тех самых, где аккаунт блокируют по первому подозрению ибо риски пользователей доходят до пожизненного заключения. А ведь на таких площадках в том числе продают краденные аккаунты соцсетей, которые часто используют в репутационных атаках или нанимают исполнителей для таких атак. Для отслеживания и обработки всего этого в компании есть еще одно специализированное подразделение threat intelligence.

Третье важное отличие от мониторинговых систем – представление данных пользователю. В нём потребовалось совместить несовместимое. С одной стороны, людям, принимающим решения некогда разглядывать красивые развесистые графики и диаграммы, им необходимо быстро понять есть проблема или нет. Вплоть до красной лампочки. Если не горит, значит всё норм и нет смысла заглядывать. Если загорелась – выявили зарождение атаки, надо действовать. И для этого рядом с лампочкой есть одна большая красная кнопка. Примерно так выглядит идеальный интерфейс с точки зрения занятого человека. Этот минимализм нам надо было совместить с объяснениями в чем выражается угроза, где и как она проявляется, чтобы на основе этих данных принять обоснованное решение о дальнейших действиях. И мы нашли способ такого совмещения.

Теперь имея одновременно в работе несколько десятков активных проектов не нужно всматриваться в графики каждого чтобы увидеть опасную корреляцию и понять надо тратить время в данный момент или можно заглянуть попозже. Всё это видно сразу и по всем проектам и видно где сейчас проблема, где она будет завтра, а где всё спокойно.

Здесь приведен уже устаревший интерфейс. В данный момент мы модернизируем его в сторону еще большего упрощения восприятия опасности и предоставления более детальной информации по выявленной опасности. Вновь совмещаем несовместимое. И по отзывам коллег, задействованных в тестировании, вполне удачно совмещаем.

Прогнозирование информационных атак

2021-07-13T10:03:04.480Z

Сразу скажу это не просто, не быстро и не так однозначно как хотелось-бы, но вполне возможно. И мы это уже опробовали.

Только начать нужно с цикла информационной атаки. Именно из понимания данных процессов выросло понимание того, что и где нужно отслеживать. При этом речь идёт о масштабных и долгосрочных проектах, когда атакующий рассчитывает на сотни миллионов выгоды, а мишень может потерять аналогичные объемы. Или о политических проектах. В разовых и не дорогих акциях об этом не вспоминают по разным причинам от незнания об этих тонкостях исполнителем или заказчиком до отсутствия необходимости выстраивания стратегии.

Итак, цикл информационной атаки это последовательность действий, которая в случае необходимости повторяется с возможной корректировкой вплоть до достижения цели. Собственно поэтому и называется циклом.

Что интересно, данный цикл работает и при информационной атаке и при защите от атаки, и прои формировании позитивной репутации и при формировании негативной.

Планирование

Начинается такая «работа» с планирования. На этапе планирования уточняется конечная цель мероприятия – что хотим получить в результате проекта, разрабатывается примерный план и проводится примерный расчет необходимых ресурсов на основе этого плана. В последствии и план уточняется, и расчет затрат и иногда кардинально уточняется.

Подготовка инфраструктуры

Затем начинается подготовка воздействия, что выражается в определении «уязвимостей» и сильных сторон объекта и аудитории, в создании необходимой инфраструктуры для осуществления воздействия и в подготовке ударных материалов – контента, с помощью которого будет осуществляться воздействие.

Распространение

И только после этого начинается активная фаза – собственно воздействие. Это распространение ударных материалов, отслеживание реакции аудитории и внесение корректировки в воздействие при необходимости (когда аудитория реагирует не так как нужно манипулятору).

Так вот, если смотреть на процесс со стороны защищающегося, то обычно всё начинается с выявления атаки, но выявление атаки это уже опоздание и необходимость бороться с последствиями, хотя чаще всего именно выявление атаки является началом хоть каких-то действий со стороны обороняющегося. Но ведь гораздо важнее выявить подготовку к нападению. В этом случае у вас появляется время на подготовку, на адаптацию своей инфраструктуры под особенности предполагаемой атаки. И тут главное понять, по каким признакам можно определить, что идет подготовка к информационной атаке.

Выявление на этапе планирования

Выявить работу оппонента на этапе «Планирования» можно только агентурными методами, прослушкой, в общем тем, чего в нашем арсенале нет. Да и гражданским структурам такая деятельность крайне противопоказана по правовым причинам. А потому не будем на ней останавливаться. Хотя наблюдение (в интернете) за действиями ключевых фигур вероятного противника, так или иначе могущих быть причастными к подготовке информационной войны, и может дать возможность обнаружить изменения, свойственные принятию или обсуждению решений об информ-агрессии.

Выявление на этапе подготовки

На этапе подготовки информационной атаки противник вынужден совершать некоторые предварительные действия оставляющие следы. И если вам удается их обнаружить, то вы имеет возможность спрогнозировать атаку до ее начала, а значит получить время на подготовку к отражению. Например, чтобы воздействие на аудиторию было максимальным, а затраты на такое воздействие свести к минимуму, необходимо понять уязвимости этой аудитории, выявить те темы, на которые аудитория реагирует, определить какие каналы доставки ударного контента наиболее эффективны для этой аудитории, кто для этой аудитории является авторитетным источником и т.п.. Частично ответы на эти вопросы получают в ходе кабинетных исследований, но для проверки гипотезы приходится проводить локальные полевые испытания. Как вариант – опросы, пусть не объемные, пусть полушуточные или провокационные (как например «Самый уродливый памятник»). И такие действия, даже локальные, вполне можно выявлять, оценивать и формировать на основе оценки соответствующие прогнозы.

Другой пример – при создании инфраструктуры часто используют фрилансеров для решения локальных задач. Создать небольшой скрипт для отслеживания активности аккаунта/паблика/группы, или для информирования о чем-то небольшой группы пользователей. Иногда встречаются откровенные предложения помочь в организации ddos-атаки, дать аккаунт в аренду, наставить дизлайков и т.п.. И всё это на площадках фрилансеров.

Так вот отслеживание подобных объявлений и их правильная интерпретация помогает выявить подготовку атаки. Еще вариант – когда собирают группу единомышленников для организации совместной атаки на бренд под видом обиженного клиента, которого кинули на много денег. Сложность лишь в том, что таких площадок много и наиболее интересные расположены в даркнете. Тем-ни менее мы научились такое отслеживать и интерпретировать.

Не менее интересны предложения по распространению какого-то контента на соответствующих биржах. Такие предложения содержат прямое указание на цель, преследуемую пользователем их разместившим. Надеюсь вы понимаете о каких биржах идёт речь.

Еще одно перспективное направление – отслеживание активности вокруг защищаемого объекта на площадках, посвященных созданию и хранению демотиваторов, фотожаб, карикатур и т.п. визуального контента. Здесь, помимо выявления подготовки атаки, можно вовремя выявить зарождение негативного контента.

Предположим теперь вы осознали, что важно не только вовремя видеть упоминания вашего объекта в СМИ и соцсетях, но и выявлять его упоминания на довольно специфических площадках. Сразу замахиваться на все такие площадки не стоит. Во первых их много, во вторых часть из них требует авторизации и определенного уровня доступа, в третьих часть из таких площадок, при чем наиболее ценная часть, находится в Даркнете. Но всё-же большая их часть открыта, доступна и не требует сложных механизмов для скачивания. Вот с них и нужно начинать. Ниже приведены несколько таких типов источников, но далеко не все.

Видеохостинги

Роль видео в манипулировании общественным мнением неуклонно возрастает, что делает этот вид источников важным. В данном случае имеется ввиду выдача видеохостингов (Ютуб, Ру-Туб и иных), а также выдача глобальных поисковиков по видео-контенту ( Яндекс-Видео и т.п..) по наименованию защищаемого Объекта. Это направление вполне освоили мониторинговые сервисы.

Но помимо «больших» сервисов нельзя забывать и о специфических, локальных, нишевых. Именно на них зарождается большинство трендов, а манипуляторы их используют для создания ударного контента и его тестирования перед началом горячей фазы. А ведь именно это нам и нужно для прогнозирования. Примеры наиболее известных из них, но не всех: coub.com , flickr.com , metacafe.com, dailymotion.ru, livestream.com, no-clip.com, photobucket.com, rutube.ru, Smotri.com, smotretvidos.ru, Twitch.tv, Ustream, Vevo, vimeo.com, Vine, YouTube

Соцсети

С соцсетями сложнее. Тут нужно рассматривать несколько направлений. Первое и очевидное это сообщения/комментарии пользователей об Объекте исследования. Это направление мониторинговые сервисы так-же хорошо освоили. Но нам нужно больше.

Второе направление это наличие/появление групп, «брендированных» под Объект исследования. Обычно такие группы создают чтобы выплеснуть негатив или мошенники, которые хотят воспользоваться известностью бренда. И тогда становится важно не только наличие таких объединений, но и их активность, влиятельность.

Третье направление это наличие/появление аккаунтов с именем Объекта. Это могут быть персональные странички или паблики. Их роль в распространении негатива чуть шире чем просто вбросы. Нередко такие аккаунты используют и для подставы.

Отдельно нужно отметить, что соцсетей много. Помимо топовых есть куча более мелких или узкоспециализированных. Вот примеры только микроблогов помимо всем известного Твиттера: bestpersons.ru, chikchirik.ru , identi.ca . jot-it.ru, juick.com, mastodon.social, myspace.com, status.net, plurk.com, tumblr.com

Специфические изображения

Еще одна группа площадок, на которую важно обращать внимание это сайты, специализирующиеся на создании и публикации мемов, фотожаб, демотиваторов и карикатур. Часто именно на них первым выплескивается креативный негатив и начинается планомерная атака на репутацию через высмеивание. Манипуляторы также используют такие площадки для создания ударного контента и его тестирования перед началом горячей фазы. А ведь именно это нам и нужно для прогнозирования.

Несколько примеров сайтов для мемов и демотиваторов: 1001mem.ru, admem.ru, mem.lt, mem.ru, memok.net, memesmix.net, memoteka.com, mr-mem.ru и сайтов для демотиваторов6 ademotivatory.ru, demotions.ru, demotivatori.net, demotivatory.net, demotivators.in, demotivators.cc, demotivators.to, demotivatorium.ru, demotivs.ru, demotiviruy.ru, demotos.ru, rusdemotivator.ru

Сервисы вопросов и ответов

В случае работы с репутацией политиков нужно брать под контроль такие источники как сервисы вопросов и ответов и сайты правозащитных организаций. Для этой группы объектов именно данные площадки являются местом зарождения негативных трендов и тестирования ударного контента.

Несколько примеров сервисов вопросов: akak.ru, askguru.ru, domotvetov.ru , genon.ru, manual.ru, mirsovetov.ru , otvetin.ru, otvetof.org , ph4.ru, shkolazhizni.ru, superotvet.ru , thequestion.ru, tonnavoprosov.ru, vorum.ru, wikiotvet.ru, znaikak.ru

А это примеры сайтов правозащитных организаций: agora.legal, antirasizm.ru, civitas.ru, idc-europe.org, hro.org, gdf.ru, golosinfo.org, ksmrus.ru, memo.ru , mhg.ru, npar.ru, otcydeti.ru, pravorf.org, pytkam.net, stop-ham.com, raipon.info, team29.org, zdravomyslie.info