Tietoturvayhtiö auttoi Facebookia tunnistamaan valeuutiskampanjan osa 1

Tietoturvayhtiö FireEye on ollut mukana useissa merkittävissä tutkimuksissa, ja heinäkuussa 2018 yhtiö ilmoitti Facebookille, että sillä on ongelma. Yrityksen turvallisuusanalyysit havaitsivat Facebookissa joukon vahvistamattomia tilejä ja sivuja, jotka jakoivat sisältöä Liberty Front Press -nimiseltä sivustolta. Tämä näytti uutissivustolta, mutta lähes kaikki sen sisältö oli varastettu Politicon ja CNN:n kaltaisilta uutistoimituksilta. Pieni määrä alkuperäismateriaalia oli kirjoitettu heikolla englannilla.

FireEyen vihje johti lopulta siihen, että Facebook poisti 652 valetiliä ja -sivua. Liberty Front Press, joka liittyi yhteisesti kaikkeen tähän hämärään toimintaan, linkittyi Facebookin mukaan Iranin valtionmediaan. Facebookin suurin ryöppy valeuutisia alustallaan alleviivasi sitä tärkeää roolia, jota tietoturvayritykset hoitavat jättimäisten sosiaalisen median alustojen valvomisessa. Vaikka Facebookin kaltaisilla yrityksillä on valtavasti omaisuutta ja hyvin koulutetut tietoturvatiimit, ne käyttävät usein ulkopuolisten yritysten ja tutkijoiden asiantuntija-apua.

Tietoturvayritysten muutos kohti informaatiosodankäyntiä

Valeuutiskampanjan havaitseminen osoitti myös muutoksen huonossa käytöksessä, jota yksityiset tietoturvayritykset pitävät silmällä. Tietoturvayritykset keskittyivät pitkään hakkerointiyritysten ja haittaohjelmien tunnistamiseen ja torjumiseen, mutta nykyään he ovat laajentaneet keskittymistään myös valeuutiskampanjoihin, jotka ovat olleet runsaasti esillä Facebookissa ja muualla sosiaalisessa mediassa viime vuosina.

Vuonna 2004 Kalifornian Milpitasissa perustettu FireEye työllistää noin 3 000 ihmistä, vain murto-osan Facebookin työntekijämäärästä. Mutta yrityksen palveluksessa on tietoturva-asiantuntijoita, joilla on erityistaitoja, kuten sujuvasti englantia, arabiaa, venäjää, ranskaa ja italiaa puhuvia työntekijöitä, jotka auttavat heitä tunnistamaan ja seuraamaan valeuutisointia ympäri maailmaa.

FireEyen informaatio-operaatioiden analyysitiimin päällikkö Lee Foster kertoi New York Timesin haastattelussa, kuinka yritys havaitsi Iranin valeuutiskampanjan. Hän kieltäytyi kuitenkin kertomasta, tapahtuiko hänen tutkimuksensa iranilaista kampanjaa kohtaan jonkun tietyn asiakkaan tilauksesta, sillä FireEyen käytäntöjen mukaan he eivät paljasta työskentelykumppaneittensa nimiä.

Valeuutiset leviävät useissa sosiaalisen median kanavissa

Fosterin mukaan kaikki alkoi yksittäisestä sosiaalisen median tilistä tai pienestä ryhmästä tilejä, jotka levittivät poliittista sisältöä, joka ei välttämättä sopinut yhteen väitetyn tilin omistajan persoonan kanssa. Monet valetileistä, jotka levittäytyivät ympäri Facebookia, Instagramia, Twitteriä ja Redditiä, jakoivat sisältöä Liberty Front Press -sivustolta. Kahden kuukauden ajan Foster ja pieni analysoijajoukko kartoitti tilien välisiä yhteyksiä ja löysi niitä lisää.

Todisteet näyttivät johtavan Iraniin. Liberty Front Pressin sivusto oli alun perin rekisteröity sähköpostiosoitteella, joka johti teheranilaisten verkkosuunnittelijoiden mainoksiin, ennen kuin ne oli vaihdettu Kalifornian San Joseen näennäisesti viittaaviin osoitteisiin. Verkkosuunnittelijan sähköpostiosoitetta oli käytetty myös toisen uutissivuston rekisteröimiseen. Kyseiseen sivustoon liittyi vastaavasti sähköpostiosoitteita, jotka linkittyivät vielä virheellisempää tietoa jakaviin uutissivustoihin.

Kun FireEye tutki asiaa vielä enemmän, he havaitsivat, että useat Liberty Front Pressin sisältöä jakavat Twitter-tilit linkittyivät iranilaisiin puhelinnumeroihin, vaikka niiden piti profiilien mukaan toimia Yhdysvalloista käsin. Siirtyessään valeuutissivustoilta uutissivustoille ja Twitteristä Facebookiin, FireEye yhdisteli kasaan kampanjan, jonka tarkoitus oli vaikuttaa yleisöön Lähi-Idässä sekä myös Yhdysvalloissa, Isossa-Britanniassa ja Latinalaisessa Amerikassa.

Varovaista tiedonkeruuta kokonaiskuvan hahmottamiseksi

Analysoijat olivat varovaisia ja keräsivät dataa huomaamatta. Foster sanoo, ettei hän halunnut herättää toimijoiden huomiota. Hän halusi varmistaa, että tiimi sai kerättyä kaiken tarpeellisen, etteivät he joutuisi toimimaan vain yhden uhkakomponentin kanssa, kun he havaitsivat sitä olevan olemassa kokonaisen joukon.

Iranin kyberkapasiteetti on kasvanut viime vuosien aikana ja iranilaiset hakkerit ovat olleet syytettyinä useista merkittävistä iskuista. Aiemmin tänä vuonna Yhdysvaltain liitovaltion viranomaiset kertoivat, että yhdeksän iranilaista oli amerikkalaisiin valtiolaitoksiin, yliopistoihin ja yksityisiin yrityksiin tehtyjen murtojen takana.