Amerikai tinilányok gépeit szállta meg az orosz trollhadsereg

Újabb elképesztő adalékkal rukkolt elő a Daily Beast az amerikai-orosz kiberháború elnökválasztási csatáival kapcsolatban: a hírhedt orosz trollhadsereg, az IRA (Internet Research Agency) amerikai fiatalok, főként lányok, számítógépeihez férhetett hozzá 2016-ban, és a nevükben lájkolt, osztott meg tartalmakat a Facebookon.

Az már eddig is tudott volt, hogy az IRA a lehető legváltozatosabb módszerekkel avatkozott be amerikai elnökválasztásba, de a most ismertetett módszer tűnik talán a legaggasztóbbnak. Az IRA tizenéves lányokat vett célba egy a Google Chrome böngészőbe épülő kiegészítő alkalmazással: a FaceMusic app miközben zenehallgatást kínált facebookozás közben a fiataloknak, a felhasználók gépeit egy kezdetleges botnetbe kötötte, és tudtuk nélkül tevékenykedett a Facebookon.

Először 2016 májusában kezdte Facebookon reklámozni a FaceMusic appot a “Stop All Invaders” nevű, bevándorlásellenes és xenofób mémeket gyűjtő, Donald Trump megválasztását támogató – és természetesen az IRA-hoz köthető – oldal. A múlt héten a kongresszus által közzétett adatok szerint a FaceMusic reklámjait 24 623 alkalommal jelenítette meg a Facebook a különféleképp célzott felhasználóköröknek. A legsikeresebb reklám 14 és 17 éves lányokra volt targetálva és 28 kattintást hozott az IRÁ-nak. A Daily Beast becslése szerint összességében 13 000 számítógépet sikerült megfertőzni a FaceMusic malware-rel.

A Daily Beast a programkódot és az általa generált netes adatforgalmat elemezve arra jutott, hogy a FaceMusic titokban akkor is akítv volt, ha a felhasználó épp nem facebookozott. Az app, amit kellően ártalmatlannak tudtak álcázni készítői ahhoz, hogy átmenjen a Google szűrőjén, a háttérben orosz szerverekhez kapcsolódott és különféle tartalmakon generált felhasználói aktivitást az IRA kénye-kedvére. Álhírek, Hillary Clintont támadó mémek, konfliktusos internetes szavazások, lájkok és megosztások tömkelege – a facemusicos botnet ahol kellett, tolta az IRA szekerét, leggyakrabban kisebb, jól belőhető közösségi médiás fórumokon.

A Google szombaton annyit közölt, hogy még 2016-ban törölték minden felhasználó gépéről a rosszindulatú orosz gyártmányú plugint, és kivették az elérhető Chrome-kiegészítők közül is, valamint már az appot támogató fbmusic.com oldal sem működik. A Daily Beast szerint ez nem teljesen van így. Ugyanis szemfülesen megszerezték az egyik facemusicos orosz webszerver (az extad.info) időközben lejárt domainregisztrációját, és mérni kezdték a befutó adatkéréseket. Ezek alapján úgy találták, hogy több mint száz még aktív FaceMusic plugin garázdálkodik az internet dzsungelében, igaz ezek zöme már nem az Egyesült Államokban, hanem Ukrajnában – ami egyébként arra utal, hogy az IRA feltehetően először hazai terepen, az ellenséges Ukrajnában vetette be a kifinomult kiberfegyvert.

A Daily Beast SMS-ben kapcsolatba lépett egy szentpétervári férfival, aki a regisztrációs adatok szerint az extad.info domain előző tulajdonosa volt. Az illető tagadta, hogy ő jegyeztette volna be 2016 áprilisában a webcímet, és ragaszkodott hozzá, hogy semmi köze az amúgy szentpétervári székhelyű IRÁ-hoz, sőt most először olvasott róluk és most egy merő rettegés az élete. A Daily Beast szerint lehet, hogy csak trollkodott velük.