Atak botów na polskim Twitterze. "Złośliwe wykorzystanie algorytmów"

 Akcja botów na polskim Twitterze trwa od co najmniej końca ubiegłego tygodnia, z apogeum w weekend. Grupy kont, najczęściej tzw. "pustych", tj. bez aktywności i obserwujących, najpierw dawały "follow" ekspertom i ekspertkom m.in. z obszaru wojskowości, polityki zagranicznej (zwłaszcza relacji polsko-ukraińskich), energetyki, a nawet sportu. Następnie w skoordynowany sposób, w jednym momencie, przestawały obserwować te profile.

Zaatakowane m.in. konta Wolskiego czy Wypartowicza

Algorytm Twittera "ukarał" tego typu aktywność, tnąc zasięgi danego konta. Poszkodowanymi w akcji byli m.in. znany analityk wojskowy Jarosław Wolski, dziennikarze Grupy Defence Jakub Wiech i Bartłomiej Wypartowicza czy Marek Meissner, dziennikarz i analityk ekonomiczny i militarny.

- Mechanizm, który jest używany bazuje na algorytmie Twittera. Musk opublikował skrypt algorytmu, boty wykorzystują obecnie głownie dwie metody działania. Follow - unfollow by ograniczyć zasięgi wpisów oraz dodawanie zautomatyzowanych wpisów, w których znajdują się słowa kluczowe, które trendują na Twitterze. Ogranicza się przez to dostęp do wartościowych wpisów, głównie ich widoczności. Sytuacja nie dotyczy tylko Polski, podobne problemy są obserwowane na Ukrainie, w Czechach czy Hiszpanii - wyjaśnia w komentarzu dla Wirtualnemedia.pl Bartłomiej Wypartowicz z Defence24.

"Wiele wskazuje na to, że farmy prorosyjskich trolli znalazły furtkę w algorytmach rządzących Twitterem (a raczej po ujawnieniu przez portal, jak to wszystko działa, czyli zostało to podane na tacy) i używają prostego, ale skutecznego rodzaju ataku. Kontrolowana siatka kont (kilka tysięcy sztuk) zaczyna masowo obserwować kogoś, a potem jednocześnie wszyscy robią unfollow. Masowy unfollow powoduje, że Twitter przestaje promować wpisy takich osób. Proste, ale skuteczne. Większość wpisów z frazą "polish army" została stworzona poprzez Twitter Web App" - wyjaśniono na profilu Emocje w Sieci.

Co wydarzyło się dziś z kontami @wolski_jaros, @WypartowiczBa czy @MarekMeissner (i zapewne również innymi osobami), czyli mass follow i jego cel.

Wiele wskazuje na to, że farmy prorosyjskich trolli znalazły furtkę w algorytmach rządzących Twitterem (a raczej po ujawnieniu przez… pic.twitter.com/NWyG07cwYI

— 🔍 Emocje w sieci (@emocjewsieci) April 14, 2023

Dwie minuty po godzinie 20 kolejny atak botów. Tym razem treści z frazami: Sousa, Raków, Putin i czasami 10 kwietnia oraz Woronicza.

Co minutę około 7-10 postów.@WarNewsPL1 @WypartowiczBa @Wyrwal @MarekMeissner @wolski_jaros @mic_marek @Artur_Micek #dezinformacja #propaganda pic.twitter.com/rvBfThLsSc

— 🔍 Emocje w sieci (@emocjewsieci) April 16, 2023

NASK: "złośliwe wykorzystanie algorytmów"

Podejrzaną aktywność odnotował także Dział Przeciwdziałania Dezinformacji NASK.

- Eksperci NASK odnotowali nienaturalne aktywności w mediach społecznościowych, których celem były konta mające znaczący wpływ na debatę publiczną w kontekście bezpieczeństwa strategicznego. Działania te posiadają znamiona złośliwego wykorzystania algorytmów - przekazuje portalowi Wirtualnnemedia.pl Dział Przeciwdziałania Dezinformacji NASK.

W odpowiedzi na nasze pytania dodano, że obecnie trudno wskazać zarówno źródło ataku, jak i jego dokładny zasięg . - Dobór atakowanych kont (oficjalne źródła informacji, powiązane z liderami opinii czy sektorem publicznym) wskazuje na zamiar obniżenia skali dotarcia ważnych treści - informuje nasz portal NASK.

- Jeżeli nie zostanie dokonana zmiana programistyczna, abuzywne wykorzystywanie algorytmu może się powtarzać. Zalecamy administrującym kontami przekazującymi istotne informacje oraz liderom opinii czujność i obserwację fluktuacji kont obserwujących. Jeżeli widzimy nienaturalny ruch kont, który może być automatyczny lub sztucznie wspierany warto go ograniczać, blokując podejrzane profile - radzi Dział Przeciwdziałania Dezinformacji NASK.

Rosyjska operacja szpiegowska

W ostatanich dniach Zespół CERT Polska oraz Służba Kontrwywiadu Wojskowego zaobserwowały kampanię szpiegowską łączoną z działaniami rosyjskich służb specjalnych. Celem kampanii było nielegalne pozyskiwanie informacji z ministerstw spraw zagranicznych oraz placówek dyplomatycznych, w większości znajdujących się w państwach należących do NATO i Unii Europejskiej.

Wiele elementów zaobserwowanej kampanii, takich jak infrastruktura, wykorzystane techniki oraz narzędzia, częściowo lub całkowicie pokrywa się z opisywanymi w przeszłości aktywnościami grupy określanej przez Microsoft mianem „NOBELIUM”, zaś przez Mandiant  jako „APT29”. Grupa ta wiązana jest m.in. z kampanią zwaną „SOLARWINDS”, narzędziami „SUNBURST”, „ENVYSCOUT” i „BOOMBOX”, a także licznymi innymi kampaniami o charakterze wywiadowczym.

Działania wykryte oraz opisane przez CERT Polska i SKW wyróżniają się jednak na tle poprzednich wykorzystaniem unikalnego, nieodnotowanego wcześniej publicznie oprogramowania. Nowe narzędzia były używane równolegle i niezależnie od siebie lub też kolejno, zastępując starsze rozwiązania, których skuteczność spadała. Pozwalało to sprawcom na utrzymanie ciągłości działań.

- Zacieśnianie współpracy między krajowymi podmiotami obserwującymi aktywność grup sponsorowanych przez obce państwa jest kluczowe dla bezpieczeństwa Polski. Dzięki bliskiej współpracy analityków CERT Polska i Służby Kontrwywiadu Wojskowego połączono elementy widziane z różnych perspektyw. Dało to efekt w postaci raportu zawierającego analizę nigdy wcześniej nie opisywanych narzędzi i z pewnością przyczyni się do zwiększenia ich wykrywalności – podkreślił minister cyfryzacji Janusz Cieszyński.