Темы расследованийFakespertsПодписаться на еженедельную Email-рассылку
Переводы

The New York Times: Как Россия создавала фейковых американцев, чтобы повлиять на выборы

The New York Times опубликовал расследование о том как российские тролли использовали Twitter и Facebook для распространения антиклинтоновских сообщений и продвижения полученных хакерами материалов. The Insider предлагает полный перевод статьи.

Нападение одного государства на другое часто начинается с нескольких не привлекающих к себе особого внимания выстрелов. Например, в прошлом году Мелвин Редик из Харрисбурга, штат Пенсильвания, дружелюбный на вид американец, отец маленькой дочери, носящий бейсболку козырьком назад, запостил в фейсбуке ссылку на новенький сайт:

«Эти парни рассказывают правду о Хиллари Клинтон, Джордже Соросе и других лидерах США, которую от нас скрывали, — написал он 8 июня 2016 года. — Заходите на сайт #DCLeaks. Это очень интересно!»

Мистер Редик оказался удивительно неуловимым: в пенсильванских архивах нет никакого Мелвина Редика, а фото, он, похоже, одолжил у ничего не подозревающего бразильца. Однако этот выдуманный персонаж заслужил местечко в истории: написанные в то утро посты Редика были одними из первых видимых признаков беспрецедентного иностранного вмешательства в американскую демократию.

Страница Мелвина Редика в фейсбуке

Русская информационная атака не закончилась взломом и утечкой электронной почты или потоком историй — правдивых, лживых и полуправдивых, —  которые обрушились на Клинтон из российских сливных бачков вроде RT и Sputnik. Совсем не такими заметными и оставлявшими куда меньше следов были эксперименты России с Facebook и Twitter — американскими компаниями, которые фактически изобрели инструменты соцсетей, что в данном случае нe помешало им стать орудиями дезинформации и пропаганды.

В расследовании The New York Times и недавнем исследовании занимающейся кибербезопасностью фирмы FireEye раскрыты некоторые из способов, с помощью которых подозреваемые русские исполнители использовали Twitter и Facebook для распространения антиклинтоновских сообщений и продвижения полученных хакерами материалов.

В среду представители Facebook сообщили, что они закрыли несколько сотен аккаунтов, созданных, по их мнению, связанной с Кремлем компанией, которая во время избирательной компании США и после нее потратила $100,000 на покупку рекламы для продвижения материалов, вызывающих раскол и разногласия.В Twitter, как и в Facebook, российские отпечатки пальцев находят на сотнях и тысячах фейковых аккаунтов, регулярно публиковавших направленные против Клинтон сообщения. Многие из них — это автоматические аккаунты (боты), часто разражающиеся идентичными сообщениями с разницей в несколько секунд. причем точно в алфавитном порядке их названий, как установили исследователи из FireEye. Например, они обнаружили, что в день выборов группа твиттер-ботов более 1700 раз разослала хештег #WarAgainstDemocrats (война с демократами).

Российские усилия иногда были топорными или неуклюжими, оставляли впечатление проб и ошибок, многие подозрительные посты не получили широкого распространения. Дезинформация, возможно, не так уж и много добавила к гаму американских голосов в предвыборной схватке, но подлила масла в огонь злости и подозрений в поляризованной стране.

Если учесть огромную роль социальных сетей в политической борьбе, понимание действий России критически важно для предотвращения или нейтрализации таких же или более изощренно проработанных атак во время выборов в Конгресс в 2018 году и президентских выборов 2020 года. Российскую атаку расследовало несколько правительственных агентств, хотя неясно, занималось ли какое-то агентство именно отслеживанием иностранного вмешательства в соцсетях. Facebook и Twitter заявляют, что изучают опыт 2016 года и способы защиты от подобного вмешательства.

«Мы понимаем, что должны быть бдительны, чтобы опережать людей, пытающихся злоупотреблять нашей платформой, — сообщил в среду директор Facebook по безопасности Алекс Стамос в посте, посвященном связанным с Россией фейковым аккаунтам и рекламе. — Мы верим в защиту неприкосновенности гражданского дискурса».

[blockquote]Facebook, по словам его представителей, закрывает по миллиону аккаунтов в день — в том числе связанных с французскими и предстоящими немецкими выборами, но с трудом справляется с противоправной активностью. [/blockquote]

Критики утверждают, что, поскольку акционеры оценивают компании в том числе и на основании такого показателя, как число активных пользователей за месяц, они неохотно прибегают к слишком агрессивному контролю, опасаясь снизить количество пользователей. Для выявления фальшивых аккаунтов компании используют технические инструменты и команды аналитиков, однако сам масштаб этих сайтов — 328 миллионов пользователей Twitter и почти 2 миллиарда пользователей Facebook — приводит к тому, что мошенников часто удаляют только после жалоб.

Хотя обе компании не спешили вступить в схватку с проблемой манипулирования, они приняли меры для очистки от фейковых аккаунтов. Facebook, по словам его представителей, закрывает один миллион аккаунтов в день, в том числе связанных с французскими и предстоящими немецкими выборами, но с трудом справляется с противоправной активностью. Однако компания заявляет, что злоупотребление касается лишь небольшой части социальной сети; по оценке представителей Facebook, из всего «гражданского контента», размещенного на этом сайте в связи с выборами в США, менее десятой части процента было результатом «информационных операций» — таких, как российская кампания.

В отличие от фейсбука, в твиттере не требуется использовать свое настоящее имя и не запрещены автоматические аккаунты — компания заявляет, что стремится быть ареной для открытой дискуссии. При этом в нем постоянно обновляется лист трендов, — наиболее обсуждаемых тем — и компания заявляет, что старается предотвращать попытки применения ботов для создания фейковых трендов. Однако FireEye обнаружила, что именно это и удавалось время от времени подозреваемым российским ботам, что один раз привело к появлению в трендах хештега #HillaryDown.

Бывший агент ФБР Клинтон Уоттс, плотно занимавшийся российской активностью в Интернете, заявил, что платформы фейсбука и твиттера «заражены раковыми опухолями ботов». Он добавил, что в то время как фейсбук «начал вырезать опухоли, удаляя фальшивые аккаунты и противодействуя распространению фейковых новостей», твиттер мало что предпринял, и в результате «боты лишь распространились за время, прошедшее после выборов».

После того, как Twitter попросили прокомментировать это, компания сослалась на июньское сообщение, в котором говорится о «повышении ставок» в борьбе с манипуляциями, но не смогла раскрыть подробности, опасаясь дать подсказку тем, кто стремится обойти принятые меры. По заявлению компании, «открытость и работа в реальном времени, заложенные в самой природе Twitter, представляют собой мощный антидот» для фальшивок.

«Это важно, поскольку мы не можем определить, правдив ли каждый конкретный твит каждого конкретного пользователя, — говорится в заявлении. — Мы как компания не можем решать, что правда, а что нет».

Утечки и поддельные профили

Россия не слишком скрывала, что разыгрывает хакерские карты. В феврале прошлого года на конференции в Москве главный советник Путина по вопросам кибербезопасности намекнул, что Россия готова к разрушительной информационной атаке на США.

«Мы живем в 1948 году, — сказал советник Андрей Крутских, имея в виду время накануне первого испытания советской атомной бомбы. — Предупреждаю: мы в ближайшее время получим на информационной арене нечто, что позволит нам на равных разговаривать с американцами».

Андрей Крутских

Путин застенчиво отрицал российское вмешательство. В июне он признался, что «свободные, как художники» хакеры могли в один прекрасный день проснуться в хорошем настроении и вдруг начать «вносить свою, как они считают, правильную лепту в борьбу с теми, кто плохо отзывается о России». В интервью NBC News он отверг идею о том, что свидетельства указывают на Россию, при этом показав удивительную осведомленность о способах, которыми хакеры могут скрывать свои следы.

«IP-адреса можно вообще придумать, — сказал Путин, имея в виду интернет-протокол, позволяющий определить конкретные компьютеры. — Такие специалисты в мире в сфере технологий: что угодно придумают, а потом кого угодно обвинят. Никаких доказательств нет».

В словах Путина был некоторый смысл. В мире соцсетей определить, кому принадлежит тот или иной фейковый аккаунт — России или кому-то другому — всегда непростая задача. В январе ЦРУ, ФБР и АНБ пришли к выводу, что «с высокой вероятностью» Путин приказал провести операцию влияния, чтобы нанести вред кампании Хиллари Клинтон и в конечном счете помочь Дональду Трампу. В апреле Facebook опубликовал публичный отчет об информационных операциях с использованием поддельных аккаунтов. Упоминать Россию в качестве виновника долго не решались, но в эту среду компания сообщила, что удалила 470 «неаутентичных» аккаунтов и страниц, которыми, скорее всего, «управляли из России». Представители Facebook указывали на связанную с Кремлем петербургскую компанию под названием «Агентство интернет-исследований».

Американские разведчики утверждают, что Россия целенаправленно затеняет свою роль в операциях влияния. Даже специалисты по расследованиям не всегда с уверенностью могут установить, кто создал тот или иной пост в фейсбуке или бота в твиттере — сотрудники российской разведки, платные «тролли» из Восточной Европы или хакеры из огромного российского криминального подпольного мира. Российский сайт buyaccs.com («Оптовая продажа аккаунтов по лучшим ценам») предлагает огромное количество уже существующих аккаунтов в соцсетях, включая фейсбук и твиттер. Аккаунты как вино: чем они старше, тем выше ценятся — их история затрудняет разоблачение уловки.

Впрочем, след, связывающий российскую операцию с фальшивым Мелвином Редиком, вполне очевиден. Американская разведка пришла к выводу, что сайт DCLeaks.com в июне 2016 года создало ГРУ. Сайт начал публиковать разномастную подборку похищенных хакерами электронных писем, в том числе от финансиста и спонсора Демократической партии Джорджа Сороса, бывшего командующего НАТО и некоторых сотрудников партийных аппаратов — и демократического, и республиканского. Некоторые языковые детали — Клинтон называют «президентом Демократической партии», а ее избирательный штаб electional staff вместо campaign headquarters — заставляют усомниться в том, что сайт, позиционирующий себя как форум, организованный американскими активистами, действительно американского происхождения.

Вскоре после DCLeaks появился блог под названием Guccifer 2.0, и там было еще больше указаний на российское происхождение. Однако публикации на этом сайте вскоре затмило появление на сайте WikiLeaks тысяч электронных писем американских демократов. Власти США считают, что эти письма были через посредника получены от хакеров, связанных с российской разведкой. И каждый раз хор сомнительных аккаунтов в фейсбуке и твиттере аплодировал утечкам.

Некая «Кэтрин Фултон» рекламировала DCLeaks на таком же корявом английском, как и Редик. «Привет, искатели правды! — писала она. — Кто может сказать мне, кто такие #DCLeaks? Что-то вроде WikiLeaks? Вам стоит зайти на их сайт, там конфиденциальная информация о наших лидерах, таких, как Хиллари Клинтон и другие».

То же самое делала и «Элис Донован», указывая на документы фонда Сороса Open Society, которые, по ее мнению, доказывают его проамериканский уклон. В необычном для фейсбука официальном стиле она пишет: «Они описывают возможные средства и планы поддержки оппозиционных движений, групп или отдельных лиц в различных странах».

Могли ли Редик, Фултон, Донован быть настоящими американцами, которые в тот день просто случайно заметили DCLeaks? Нет. The New York Times задала Facebook вопросы об этих и еще нескольких аккаунтах, и оказалось, что они российского происхождения. Компания провела стандартную проверку, предложив пользователям доказать свою подлинность. Все подозрительные аккаунты проверку не прошли и были удалены.

Мобилизация «армии ботов»

Тем временем в твиттере сотни аккаунтов методично распространяли антиклинтоновские сообщения и рекламировали материалы, добытые российскими хакерами. Команда специалистов из FireEye потратила несколько месяцев на изучение аккаунтов, связанных с конкретными интернет-персонажами, представляющимися активистами и, по-видимому, имеющими отношение к России, — DCLeaks, Guccifer 2.0, Anonymous Poland и другими. FireEye пришла к выводу, что что они связаны между сбой и с российскими хакерскими группами, в том числе APT28, она же Fancy Bear, которую американская разведка обвиняет во взломе и утечке электронной переписки демократов.

Как установили исследователи, в некоторых аккаунтах видны явные признаки того, что ими управляли вручную. Но большинство их действовало как автоматизированные твиттер-боты, размещая твиты согласно встроенным в программу указаниям.

Удалось составить длинный список аккаунтов-ботов, рассылавших идентичные сообщения с интервалом в секунды или минуты, причем строго соблюдая алфавитный порядок. Исследователи назвали их warlists — «военными списками». В день выборов один из таких списков создал больше 1700 твитов со ссылкой на утечку, опубликованную Anonymous Polan.  Вот фрагмент последовательности:

@edanur01 #WarAgainstDemocrats 17:54@efekinoks #WarAgainstDemocrats 17:54@elyashayk #WarAgainstDemocrats 17:54@emrecanbalc #WarAgainstDemocrats 17:55@emrullahtac #WarAgainstDemocrats 17:55

Ли Фостер, возглавляющий в FireEye команду исследователей информационных операций, сказал, что некоторые твиттер-аккаунты, входящие в «военные списки», прежде были использоваы для незаконного маркетинга; это позволяет предположить, что они были куплены на черном рынке. Некоторые оказались подлинными аккаунтами, которые взломали и захватили. Так, молодой калифорнийский инженер Рэчел Юздом писала в основном о своей студенческой ассоциации, пока не потеряла к этому интерес в 2014 году. В ноябре 2016 года ее аккаунт захватили, переименовали в ClintonCorruption и использовали для продвижения российских утечек.

Рэчел Юздом и не догадывалась, что ее аккаунт реквизировали антиклинтоновские пропагандисты. «Я была в шоке и некотором смущении, когда узнала», — призналась она.

[blockquote]Трамп получал больше прямых ответов, чем кто-либо еще, — сказал Бергер. — Это явно была попытка повлиять на Дональда Трампа. Они знали, что он читает твиты[/blockquote]

Примечательно, что твиты «военных списков» часто включали имена пользователей, которых авторы рассылки хотели привлечь, — СМИ, журналистов, государственные органы и политиков, включая и самого Дональда Трампа. Как говорит Фостер, обращаясь к таким лидерам общественного мнения, создатели списков явно хотели активизировать дискуссию об утечках.

Дж. М. Бергер, исследователь из Кембриджа, штат Массачусетс, создал для вашингтонского Альянса за сохранение демократии «приборную панель» в интернете, чтобы отслеживать сотни твиттер-аккаунтов, подозреваемых в связях с Россией или распространяющих российскую пропаганду. Как он рассказывает, за время кампании он часто замечал, что эти аккаунты помещали ответы на твиты Трампа.

«Трамп получал больше прямых ответов, чем кто-либо еще, — сказал Бергер. — Это явно была попытка повлиять на Дональда Трампа. Они знали, что он читает твиты».

Иногда подозреваемые российские операторы работали грубовато. «Не все они американофилы, знающие все нюансы американской политики», — сказал Ли Фостер из FireEye.

К примеру, в прошлом октябре сотни твиттер-аккаунтов, связанных с Anonymous Poland, опубликовали поддельное письмо на бланке консервативного фонда Брэдли из Милуоки, согласно которому этот фонд пожертвовал в фонд кампании Клинтон $150 млн. Фонд отрицал такое пожертвование, которое было бы незаконно, а с учетом политической направленности фонда и крайне маловероятно.

«Информационная битва»

В поле зрения исследователей попала лишь небольшая часть подозрительных аккаунтов в соцсетях, действовавших во время избирательной кампании. Но есть множество оснований подозревать, что российское вмешательство могло быть куда более широкомасштабным.

К примеру, несколько активистов, которые вели страницы в фейсбуке, связанные с кампанией Берни Сандерса, заметили подозрительный поток враждебных комментариев о Клинтон после того, как Сандерс уже закончил свою кампанию и поддержал ее кандидатуру.

Джон Мэттис, администратор страницы «Сан-Диего за Берни Сандерса», сказал, что стало появляться больше комментариев от новичков, чем от старых знакомых из Сан-Диего; у некоторых из них были восточноевропейские имена — включая четыре аккаунта на имя некоего Оливера Митова.

«Кто голосовал за Берни, те не будут голосовать за коррумпированную Хиллари, — написал 7 октября один из Митовых. — Революция должна продолжаться. Хиллари никогда!»

[blockquote]Да, русские были причастны. Да, у Трампа множество настоящих сторонников. Отличить одних от других было, мягко выражаясь, трудно.[/blockquote]

Мэттиса беспокоило, что его могут принять за сумасшедшего бойца холодной войны, но в конечном счете он пришел к выводу, что источником антиклинтоновских комментариев, возможно, была Россия. «Это было с таким размахом и злобой... Я предположил бы, что на этом были их отпечатки пальцев; такой повестки не было больше ни у кого».

Впрочем, некоторые скептики — и среди левых, и среди правых сторонников Трампа — жаловались, что Россию превратили в некое автоматическое пугало и обвиняли в нарушениях без достаточных доказательств. Даже те, кто отcлеживал российскую активность в интернете, признают, что во время выборов не всегда легко понять, кто есть кто.

«Да, русские были причастны. Да, у Трампа множество настоящих сторонников, — сказал интернет-исследователь из Иллинойса Эндрю Вайсбурд, часто писавший в соцсетях о российском вмешательстве. — Отличить одних от других было, мягко выражаясь, трудно».

Вайсбурд рассказал, что признал некоторые твиттер-аккаунты «кремлевскими троллями» только на основании пророссийского содержания их твитов, доказательств их связи с российским государством не было. The New York Times связалась с некоторыми из этих пользователей, и они утверждали, что сами пришли к своим антиамериканским и пророссийским взглядам, без каких-либо платежей и инструкций из Москвы.

«Хиллари — разжигательница войны», — сказала 66-летняя Мэрилин Джастис из канадской провинции Новая Шотландия, ведущая твиттер-аккаунт @mkj1951. О Путине она сказала в интервью: «думаю, он очень терпелив, когда сталкивается с провокациями».

Джастис сказала, что впервые заинтересовалась Россией во время Олимпийских Игр 2014 года в Сочи, когда следила за публикациями о хоккее и обнаружила, что западная пресса склонна ехидничать по поводу России. Она постоянно следит за новостями на RT и Sputnik, а когда слышит, что они могут быть связаны с Кремлем, только смеется.

[embed]https://twitter.com/AricToler/status/905920337359065088[/embed]

Эксперт международной исследовательской группы Bellingcat Арик Толер без труда нашел Джастис, и она оказалась вполне реальным человеком: «Мэрилин Джастис — одна из самых несносных проповедниц «настоящей правды» о MH17, но каждому, кто думает, что она «российский тролль», следовало бы заняться чем-то другим. Десять секунд исседования — и становится ясно, что она реальная канадка и искренне верит во всю ту чушь, которую распространяет (и она даже не знает русского языка)».

Другой предполагаемый «кремлевский тролль», 48-летний веб-продюсер из Цюриха Марсель Сардо, открыто называет себя в твиттере «пророссийским медиаснайпером». Он рассказал, что каждый день через Skype и Twitter обменивается посланиями с интернетовскими знакомыми, в том числе и с миссис Джастис, по поводу споров между Россией и Западом о том, кто сбил малайзийский лайнер над Украиной и кто применял зарин в Сирии.

«Это информационная битва, в которой я и такие, как я, решили занять определенные стороны», — сказал Сардо. Во время избирательной кампании он постоянно ссылался на российские источники и каждый день нападал на Клинтон. Но он отрицает, что у него есть какие-то связи с российским государством.

Если это так, Россия может считать его многочисленные посты победой в информационной войне — поклонники Кремля сами распространяют то, что американское государство считает российской дезинформацией, по поводу роли хакеров в избирательной кампании, Сирии, Украины и так далее.

Но если российские официальные лица и ликуют по поводу своих успехов на прошлогодних выборах и не только там, то они редко снимают маску. В интервью Bloomberg незадолго до выборов Путин говорил, что журналистов слишком заботит, кто именно похитил материалы.

«Послушайте меня, потом ведь разве важно, кто взломал вот эти какие-то там данные? — заявил он, а потом этой точке зрения несколько раз вторил Трамп. — Важно, что является содержанием того, что было предъявлено общественности».