0
0
O Threat Analysis Group (TAG) do Google passou 2022 trabalhando para interromper a presença online da operação de influência pró-chinesa (IO) Dragonbridge (também conhecida como Spamoflage Dragon) em 2022, eliminando mais de 50.000 instâncias de atividade no Twitter, YouTube, Blogger e outros canais.
O relatório acrescentou que, apesar de produzir muito conteúdo, a Dragonbridge não conseguiu atrair um público orgânico, principalmente devido à natureza sem sentido e de baixa qualidade do conteúdo, que consiste principalmente em clipes apolíticos, com spam e muitas vezes sem sentido de esportes, comida ou animais. .
Além disso, “visuais embaçados, áudio distorcido, traduções ruins, erros de pronúncia e erros de pronúncia também são comuns”, observou o relatório. “O conteúdo geralmente é produzido às pressas e sujeito a erros – por exemplo, negligenciar a remoção do texto Lorem Ipsum de um vídeo.”
Dos 56.771 canais do YouTube criados pela Dragonbridge e desativados pela TAG no ano passado, quase 60% dos canais tiveram zero inscritos e 42% dos vídeos postados nesses canais tiveram zero visualizações.
Cerca de 95% dos blogs do Blogger receberam 10 ou menos visualizações e mais de 96% das postagens não tiveram comentários.
O relatório disse que fechou 100.960 contas em vários canais, incluindo YouTube, Blogger e AdSense ao longo da vida da operação.
O grupo gera algumas mensagens pró-China e anti-EUA, em mandarim, inglês e outros idiomas: por exemplo, embora o conteúdo pró-China elogie a resposta à pandemia de COVID-19 do país, ele critica os EUA por se intrometerem em assuntos internacionais , com um vídeo retratando a votação como inútil. Mas esses temas representam uma pequena fração do conteúdo.
Apesar dos níveis quase inexistentes de engajamento, a Dragonbridge continua a experimentar formatos de conteúdo e tenta melhorar a baixa qualidade geral de seus esforços, observou o relatório.
A Dragonbridge se junta a outras campanhas de IO baseadas na China, incluindo a HaiEnergy, uma campanha de influência de notícias falsas que utiliza pelo menos 72 sites de notícias não autênticos para divulgar conteúdo estrategicamente alinhado com os interesses políticos do país.
Essas operações podem ser perigosas: nos EUA, por exemplo, campanhas de desinformação foram implantadas por volta das eleições de meio de mandato do ano passado, na tentativa de mudar as atitudes dos eleitores indecisos e motivar os apoiadores a sair e votar.
Os pesquisadores do Google TAG dizem que o Dragonbridge também tem a capacidade de se tornar uma ameaça mais potente.
Aumentando a atividade durante os pontos de conflito políticos
A atividade da Dragonbridge aumentou em julho de 2022 após o anúncio da presidente da Câmara dos EUA, Nancy Pelosi, de uma possível visita a Taiwan, com a retórica do grupo ficando mais beligerante enquanto o Exército de Libertação do Povo Chinês (PLA) preparava exercícios ao redor da ilha.
A Dragonbridge “exibiu um comportamento incomumente coerente ao usar hashtags e títulos uniformes em todos os canais, enquanto carregava rápida e repetidamente conteúdo tópico de alto valor de produção que não era intercalado com o spam usual de direcionamento incorreto”, observou o relatório.
Apesar da falta de envolvimento da comunidade e do conteúdo aparentemente negligente, a Dragonbridge gerencia uma extensa rede de contas do Google que provavelmente obtém de vendedores de contas em massa, que foram adquiridas anteriormente para atividades motivadas financeiramente antes de ficarem inativas.
O relatório também observou que a Dragonbridge está experimentando formas de conteúdo de alta qualidade com vozes humanas reais em vez de narração gerada por computador, formatos de bate-papo “semelhantes a notícias” mais sofisticados e segmentos políticos animados.
O nível persistente de distribuição de conteúdo e as tentativas da rede de inovar quando se trata de táticas e técnicas são uma causa contínua de preocupação, observou a TAG.
Dragonbridge para lugar nenhum?
“O interessante é que ninguém está questionando o volume de recursos gastos para lidar com isso”, diz Andrew Barratt, vice-presidente da Coalfire, fornecedora de serviços de consultoria em segurança cibernética. “Este pode ser um mecanismo usado como parte de um golpe de estilo isca e troca, mantendo o Google ocupado com muitas remoções – esse conteúdo claramente não está sendo assistido”.
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, fornecedora de software como serviço (SaaS) para correção de riscos cibernéticos corporativos, acrescenta que, embora possa não parecer bem-sucedido, há muitas pessoas por aí que se apaixonarão mesmo a desinformação mais escandalosa.
“Embora estes pareçam ineficazes, mesmo contra os ingênuos, há uma boa probabilidade de que muitos deles sejam mais bem-sucedidos e tenham conseguido evitar a exclusão”, diz ele.
Parkin acrescenta que há várias razões possíveis para fazer o que o grupo parece estar fazendo, desde simplesmente desperdiçar recursos até usar essas contas obviamente com spam para treinar um modelo de aprendizado de máquina sobre como evitar ser identificado e removido.
Barratt concorda que o ataque implacável da Dragonbridge pode ser apenas uma indicação de capacidade, mostrando que o grupo pode encontrar maneiras de drenar os recursos do Google usando suas próprias ferramentas contra ele.
“O nível e a profundidade do esforço aqui vão muito além das interrupções tradicionais do script kiddie, indicando que pode até ser um grupo procurando mostrar suas capacidades”, acrescenta ele. “Ninguém parece estar dizendo diretamente que é um empreendimento patrocinado pelo Estado, o que talvez possa ser uma onda de novas tensões políticas.”
Parkin adverte que, embora pareça que a ameaça é “nível de script infantil”, isso pode ser uma máscara para algo mais sutil.
“Embora possa não ser um grupo ativamente patrocinado pelo estado, o grande volume implica mais recursos do que os típicos script kiddies podem reunir”, diz ele.
Barratt aponta que, com acesso aos principais provedores de nuvem, a escala é facilmente alcançável por qualquer pessoa – mas a parte interessante disso é que muito do custo real é absorvido pelas plataformas em foco.
“O desenvolvimento de bot personalizado pode gerar contas, descartar conteúdo e, em seguida, passar para promovê-lo; [é realmente uma pequena despesa para a Dragonbridge] em comparação com o custo de hospedar o vídeo, revisá-lo e removê-lo”, diz ele. “É um retorno de investimento muito alto se você medir seus retornos pelo custo que seu adversário enfrenta.”
De sua perspectiva, é mais provável que isso seja uma desinformação equivalente a realizar manobras militares na fronteira.
“Alguém está mostrando a outra pessoa o que pode fazer e como é difícil parar”, diz ele.
Parkin acrescenta que é possível criar várias contas de forma programática, postar vídeos e vincular todos eles nos comentários.
“Se é assim que está sendo feito, então não são necessários recursos maciços, e é possível que um pequeno grupo com as habilidades certas consiga fazê-lo”, diz ele. “Mas sem olhar para os dados do Google, é difícil dizer se foi isso que foi feito aqui.”
Dark Reading entrou em contato com o Google TAG para esclarecimentos e atualizará esta postagem com qualquer informação adicional.
FONTE: DARK READING