23.03.2022
«Вентиляторный завод»: как разгоняют компромат
Игорь Нежданов
Руководитель департамента управления репутацией Group-IB
Первая реакция жертвы — фигуранта компрометирующей статьи — примерно всегда одинаковая: "Клевета! Надо срочно все удалить из интернета! ". Увы, Интернет помнит все. Поэтому, если компроматчики уже дали информационный залп по известному бренду или персонам, задача специалистов по управлению репутацией оперативно найти ответы на правильные вопросы: кто и как провел кампанию и можно ли минимизировать последствия ущерба от нее?
На протяжении последних лет наша команда исследовала огромное количество атак злоумышленников на репутацию известных людей и популярных брендов. По данным Group-IB, количество компрометирующих публикаций за последние два года увеличилось почти в 20 раз!
В нашем прошлом материале мы подробно разбирали, как злоумышленники готовят кампании по дискредитации репутации, а теперь мы расскажем о различных способах доставки ударного контента до целевой аудитории.
На протяжении последних лет наша команда исследовала огромное количество атак злоумышленников на репутацию известных людей и популярных брендов. По данным Group-IB, количество компрометирующих публикаций за последние два года увеличилось почти в 20 раз!
В нашем прошлом материале мы подробно разбирали, как злоумышленники готовят кампании по дискредитации репутации, а теперь мы расскажем о различных способах доставки ударного контента до целевой аудитории.
Сценарии распространения негативных материалов
Самая простая схема — вброс и разовый разгон
Вброс — это первичная публикация ударного материала. Простой вброс — публикация материала на какой-то бесплатной площадке, посложнее — на специализированном сайте за деньги. Иногда стартовую публикацию удаляют после того, как ее начали дублировать. Видимо, это делают с целью скрыть следы, но в большинстве случаев следы удаленной публикации можно найти.
А вот разгон, в зависимости от изощренности атакующей стороны, может преследовать разные цели. Например, создать видимость того, что людей заинтересовала публикация, или обеспечить максимальный охват аудитории, или сделать так, чтобы атакуемый не смог удалить из интернета материал, так как он продублирован тысячи раз.
А вот разгон, в зависимости от изощренности атакующей стороны, может преследовать разные цели. Например, создать видимость того, что людей заинтересовала публикация, или обеспечить максимальный охват аудитории, или сделать так, чтобы атакуемый не смог удалить из интернета материал, так как он продублирован тысячи раз.
При более сложной схеме атаки используется каскадное распространение негативной информации
Это подразумевает несколько ударных материалов, публикуемых с какой-то периодичностью. Для разгона каждого материала используются "подпорные" публикации, репостинг, социальная активность и, конечно же, поисковая оптимизация определенных страниц. Но такая схема распространения используется значительно реже в силу своей трудоемкости.
Куда чаще атака происходит по другому сценарию. На сайте, который называют сливным бачком, агрегатором компромата или вентилятором, вдруг появляется тот самый ударный материал, который несколько раз дублируется на похожих, но менее заметных ресурсах. Может быть еще несколько ссылок на материал в соцсетях от имени аккаунтов, в названиях которых присутствуют названия тех же сайтов, которые его уже опубликовали. Наиболее известные из этих сайтов: "Компромат.ру", "Руспрес", The Moscow Post.
Присмотревшись к таким ресурсам, жертва приходит к убеждению, что все сайты, где разместили гадости, похожи между собой. Не внешне — хотя есть и клоны — а содержанием. Тексты дублируют друг друга, даже картинки одни и те же. И в этот момент у жертвы появляется ощущение какой-то искусственности происходящего. Как будто она смотрит очень плохо поставленное представление, где актеры и не пытаются играть свои роли, а лишь лениво обозначают их. На самом деле так оно и есть: перед взором жертвы разыгрывается спектакль, цель которого — запугать несчастного. Но об этом чуть позже, а сейчас — о самих ресурсах.
Сайты имеют простую, а то и примитивную структуру, минимальное оформление — как самого сайта, так и публикуемых материалов. Материалы написаны как под копирку, и все указывает на то, что задачи поразить дизайном у авторов нет. Вероятно, и задачи удерживать внимание аудитории тоже нет. Точнее, сайты ориентированы на очень специфическую аудиторию — тех самых жертв информационных атак. А для удержания их внимания особых стилистических изысков не нужно, достаточно написать о них гадость — и внимание обеспечено.
Неискушенный пользователь с ходу может назвать десяток таких ресурсов, которые на слуху. Но их гораздо больше, чем пара десятков: русскоязычных около тысячи. Неточность обусловлена тем, что постоянно появляются новые, или перестают существовать те, которые исполнили свою роль и стали не нужны, или их владелец вдруг утратил возможность управлять ими.
Куда чаще атака происходит по другому сценарию. На сайте, который называют сливным бачком, агрегатором компромата или вентилятором, вдруг появляется тот самый ударный материал, который несколько раз дублируется на похожих, но менее заметных ресурсах. Может быть еще несколько ссылок на материал в соцсетях от имени аккаунтов, в названиях которых присутствуют названия тех же сайтов, которые его уже опубликовали. Наиболее известные из этих сайтов: "Компромат.ру", "Руспрес", The Moscow Post.
Присмотревшись к таким ресурсам, жертва приходит к убеждению, что все сайты, где разместили гадости, похожи между собой. Не внешне — хотя есть и клоны — а содержанием. Тексты дублируют друг друга, даже картинки одни и те же. И в этот момент у жертвы появляется ощущение какой-то искусственности происходящего. Как будто она смотрит очень плохо поставленное представление, где актеры и не пытаются играть свои роли, а лишь лениво обозначают их. На самом деле так оно и есть: перед взором жертвы разыгрывается спектакль, цель которого — запугать несчастного. Но об этом чуть позже, а сейчас — о самих ресурсах.
Сайты имеют простую, а то и примитивную структуру, минимальное оформление — как самого сайта, так и публикуемых материалов. Материалы написаны как под копирку, и все указывает на то, что задачи поразить дизайном у авторов нет. Вероятно, и задачи удерживать внимание аудитории тоже нет. Точнее, сайты ориентированы на очень специфическую аудиторию — тех самых жертв информационных атак. А для удержания их внимания особых стилистических изысков не нужно, достаточно написать о них гадость — и внимание обеспечено.
Неискушенный пользователь с ходу может назвать десяток таких ресурсов, которые на слуху. Но их гораздо больше, чем пара десятков: русскоязычных около тысячи. Неточность обусловлена тем, что постоянно появляются новые, или перестают существовать те, которые исполнили свою роль и стали не нужны, или их владелец вдруг утратил возможность управлять ими.
Бюджеты рынка компромата
Если подобных ресурсов так много, то, вероятно, их выгодно создавать. Ведь нужно тратить деньги — хоть и небольшие — и время на их создание, содержание и наполнение. Почему содержать подобные площадки выгодно? Безусловно, обоснованным вариантом является создание сети влиятельных (для поисковиков) ресурсов для поисковой оптимизации на заказ и продажи рекламы. Но это безопаснее делать с использованием других тем, не вызывающих такую бурю эмоций у влиятельных людей.
Причина существования подобных площадок в том, что это высокодоходный бизнес, смысл которого сводится к продаже возможности кого-то в чем-то обвинить либо эти обвинения снять. Другими словами, владельцы ресурсов предоставляют свои сайты всем, кто хочет за деньги разместить негативный материал о ком угодно, убрать такой материал с сайта или запретить на некоторое время публиковать на сайте материалы о выбранном объекте. При этом услуга может стоить от пары сотен рублей до нескольких сотен тысяч — это без учета эксклюзивных услуг.
Причина существования подобных площадок в том, что это высокодоходный бизнес, смысл которого сводится к продаже возможности кого-то в чем-то обвинить либо эти обвинения снять. Другими словами, владельцы ресурсов предоставляют свои сайты всем, кто хочет за деньги разместить негативный материал о ком угодно, убрать такой материал с сайта или запретить на некоторое время публиковать на сайте материалы о выбранном объекте. При этом услуга может стоить от пары сотен рублей до нескольких сотен тысяч — это без учета эксклюзивных услуг.
Мы изучили прайсы таких сервисов, отследили их активность и смогли оценить масштабы рынка. Результаты нас удивили и объемами бюджетов, и их ростом за всё те же пару лет
"Ударные материалы" на таких площадках бывают очень разные, часто не совсем соответствующие действительности и всегда негативного характера. Проще говоря, большинство таких публикаций подпадают под понятие клеветы, что не только вызывает гнев высокопоставленных жертв, но и позволяет запустить правовые процессы воздействия на владельцев соответствующих ресурсов. По этой причине владельцы вынуждены соблюдать скрытность в своей работе, а нарушение скрытности приводит к физическому воздействию, арестам и скандалам, о которых мы иногда узнаем из прессы.
Как и любой теневой бизнес, сливные бачки подразумевают абсолютную непрозрачность процессов, начиная с того, что вы не имеете информации о человеке, с которым хотите обсудить снятие материала. Ведь, написав администрации сайта, на котором расположен негативный материал, вы знаете только анонимный email, указанный в контактах. А кто за ним стоит, вы можете лишь гадать. Раз владельца никто не знает, у него возникает соблазн нарушать договоренности и обещания: наказания-то не будет, никто не подаст в суд и не сможет на него надавить просто потому, что никто его не знает.
Правда, есть один подвох. Корифеи бизнеса на компромате стараются выполнять те обещания, которые они дали за деньги (опубликовать материал, снять материал, поставить блок). И связано это, как ни странно, с репутацией их ресурса. Если на рынке узнают, что владелец ресурса берет деньги, но обещания не выполняет, то ему перестанут нести деньги и он потеряет доход. По этой же причине в работе с наиболее известными ресурсами наблюдается относительная стабильность, чего нельзя сказать о недавно созданных площадках.
Владельцы новых площадок, решившие заработать на компромате, ориентированы на быстрое получение денег и чаще всего не отягощены долгосрочными планами формирования рынка. А потому, почуяв запах прибыли, готовы поступиться любыми нормами. Так появляются сайты и группы сайтов, которые даже их коллеги называют беспредельщиками. Они берут деньги за публикацию заказного материала, а когда приходит жертва — берут деньги за съем этого материала, несмотря на то, что оплачено его присутствие на сайте. После съема материала его публикуют на другом ресурсе, ведь если жертва заплатила один раз, то заплатит и второй.
Для получения денег от обеих сторон конфликта владельцы сливных бачков и создают свои ресурсы. Через эти сайты они решают несколько задач: получить деньги от заказчиков инфоатак (желательно затем получить еще раз) и получить деньги от жертвы инфоатаки (желательно тоже несколько раз).
Как и любой теневой бизнес, сливные бачки подразумевают абсолютную непрозрачность процессов, начиная с того, что вы не имеете информации о человеке, с которым хотите обсудить снятие материала. Ведь, написав администрации сайта, на котором расположен негативный материал, вы знаете только анонимный email, указанный в контактах. А кто за ним стоит, вы можете лишь гадать. Раз владельца никто не знает, у него возникает соблазн нарушать договоренности и обещания: наказания-то не будет, никто не подаст в суд и не сможет на него надавить просто потому, что никто его не знает.
Правда, есть один подвох. Корифеи бизнеса на компромате стараются выполнять те обещания, которые они дали за деньги (опубликовать материал, снять материал, поставить блок). И связано это, как ни странно, с репутацией их ресурса. Если на рынке узнают, что владелец ресурса берет деньги, но обещания не выполняет, то ему перестанут нести деньги и он потеряет доход. По этой же причине в работе с наиболее известными ресурсами наблюдается относительная стабильность, чего нельзя сказать о недавно созданных площадках.
Владельцы новых площадок, решившие заработать на компромате, ориентированы на быстрое получение денег и чаще всего не отягощены долгосрочными планами формирования рынка. А потому, почуяв запах прибыли, готовы поступиться любыми нормами. Так появляются сайты и группы сайтов, которые даже их коллеги называют беспредельщиками. Они берут деньги за публикацию заказного материала, а когда приходит жертва — берут деньги за съем этого материала, несмотря на то, что оплачено его присутствие на сайте. После съема материала его публикуют на другом ресурсе, ведь если жертва заплатила один раз, то заплатит и второй.
Для получения денег от обеих сторон конфликта владельцы сливных бачков и создают свои ресурсы. Через эти сайты они решают несколько задач: получить деньги от заказчиков инфоатак (желательно затем получить еще раз) и получить деньги от жертвы инфоатаки (желательно тоже несколько раз).
Поэтому структура таких ресурсов значительно шире одного сайта и имеет свою схему управления и взаимодействия с заказчиками
Наиболее распространенная схема включает в себя головной ресурс, какое-то число вспомогательных ресурсов и аккаунтов в социальных сервисах. Головной ресурс — это по сути витрина, наиболее раскрученный сайт, который хорошо индексируется поисковиками и попадает в различные ленты. Его и подсовывают потенциальным клиентам с обеих сторон. На головном сервисе публикуется основной ударный материал, который очень быстро становится известен жертве или ее окружению.
Вспомогательные ресурсы представляют из себя облегченные версии головного ресурса, цель существования которых заключается в поисковой оптимизации головного ресурса и создании у жертвы иллюзии того, что темой заинтересовалось много людей. Нередко один-два вспомогательных сайта используются для повторного принуждения жертвы к оплате за снятие негативных материалов уже с этих площадок.
Аккаунты в соцсетях предназначены в первую очередь для поисковой оптимизации и создания видимости интереса пользователей. Это могут быть и аккаунты, "брендированные" под головной и вспомогательные ресурсы (паблики, реже — группы), так и аккаунты, имитирующие рядовых пользователей.
Площадки компромата
Число площадок, специализирующихся на распространении компромата, неуклонно растет. И это понятно: бизнес прибыльный, затрат минимум. О рисках мало кто задумывается.
Самые высокие темпы роста в Telegram. Видно два периода резкого роста. Популярность Telegram объясняется тем, что там просто достичь анонимности. Сервис давно уже называют альтернативой TOR.
публикации в Telegram
По числу публикаций тоже лидирует Telegram — из-за простоты репостинга и активного использования автоматизации процесса репостинга.
А вот по числу уникальных публикаций Telegram в самом низу списка. На площадках, имитирующих СМИ, уникального контента больше.
Кого атакуют компроматчики
Любопытно изменение "интересов" компроматчиков: раньше они предпочитали атаковать людей, а сейчас — бренды. Неужели это приносит больше денег? Или так проявляется борьба за рынки между брендами? Конечно, одна публикация может быть направлена и против персоны, и против государства. Или против бренда, организации и персоны или нескольких персон. Возможны и другие сочетания объектов атаки. В этом случае данная публикация будет относиться сразу к нескольким типам.
Как атакуют: разгон ботами и агрегаторы компромата
Группы связанных источников (ГСИ) — это агрегаторы компромата, которые управляются одним человеком или группой лиц. Мы видим значительный рост активности именно таких площадок. В настоящее время именно ГСИ публикуют до 80% "ударного контента". С одной стороны, такие сетки куда эффективнее в плане охвата и продвижения. А с другой, за снятие компрометирующего материала с каждой площадки нужно заплатить отдельно.
Разгон ботами
Рост использования ботов для распространения компромата объясняется увеличением доли ГСИ. Дело в том, что один админ управляет множеством площадок внутри таких групп и ему нужно как-то оптимизировать управление. Для этого используют автоматизацию: площадки управляются программно — вот и рост ботов.
География хостинга
В последние годы наибольшая часть агрегаторов компромата хостилась на территории Украины и управлялась оттуда же. Это вполне объяснимо в связи с геополитической ситуацией, а расценки там минимальные в силу экономики.
Какие сценарии используют
Под сценарием распространения имеется в виду где, когда, от имени какого аккаунта, какой ударный контент и с какой частотой демонстрируется целевой аудитории. В самых простых случаях атакующая сторона ограничивается разовой публикацией ударного контента. Редко — с незначительной поддержкой репостами и обсуждением от имени подконтрольных аккаунтов и аккаунтов, нанятых на биржах. Таких атак больше всего.
При этом в качестве площадки первичной публикации может использоваться мелкое СМИ, только что созданный аккаунт в соцсетях, известный агрегатор компромата или сайт топовой газеты, а поддержка может осуществляться откровенными ботами или аккаунтами с десятками тысяч читателей. Это лишь вопрос масштабов и финансов инициатора атаки, но схема простая и незатейливая — обнародование ударного контента и его последующий одноуровневый разгон.
Чуть сложнее, когда разгон ударного контента осуществляется в несколько этапов и/или используется посев. В этом случае манипулятор, в зависимости от особенностей аудитории, контента и целей мероприятия, с каждым шагом своей схемы усиливает воздействие на аудиторию. И таких шагов может быть несколько, а может быть и десяток. Но это тоже относительно простая, линейная схема атаки, отличающаяся только числом этапов усиления воздействия.
Более изощрённые схемы распространения включают в себя параллельные процессы, которые начинаются как вроде бы несвязанные, но в конце концов или усиливающие друг друга, или приводящие разные аудитории разными путями к одному выводу. Еще это могут быть процессы, вытекающие из одного общего инфоповода и идущие своими путями как будто к разным целям.
Такие схемы распространения сложнее в реализации и более требовательны к ресурсам. Но они позволяют решить одновременно несколько задач:
Втянуть в процесс несколько разных аудиторий с серьезными отличиями по своим уязвимостям
Дезинформировать объект атаки относительно сценария атаки, конечной цели и т.п., в результате чего не происходит существенного противодействия
Скрыть до последнего момента факт манипулирования от самой целевой аудитории, если она включает в себя людей думающих
Понимание схемы распространения ударного контента позволяет:
С высокой достоверностью предположить реальную цель атаки
Довольно точно выявить целевую аудиторию
Оценить ресурсы, задействованные оппонентом
Выявить технологии распространения и технологии воздействия на аудиторию
Всё это вместе дает возможность спрогнозировать последствия атаки и наиболее эффективно спланировать схему защиты.
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
