Tietoturvayhtiö auttoi Facebookia tunnistamaan valeuutiskampanjan osa 2

Tämän artikkelisarjan ensimmäisessä osassa kerrottiin, kuinka tietoturvayhtiö FireEye havaitsi Facebookissa valetilejä, jotka levittivät saman valeuutissivuston artikkeleita. Useat tilit näyttivät jakavan uutisia samasta lähteestä, Liberty Front Press -nimiseltä valeuutissivustolta, jonka uutiset oli suurimmaksi osaksi kopioitu muista uutissivustoista ja joukkoon oli lisätty itse kirjoitettuja valeuutisia. Käyttäjien ja sivujen jakama poliittinen materiaali ei näyttänyt sopivan käyttäjien profiileihin, joten FireEye alkoi tutkia asiaa tarkemmin.

Jäljet johtavat Iraniin

Tarkempi tarkastelu johti jäljet Iraniin, josta on viime aikoina tullut myös muita tietoturvahyökkäyksiä Yhdysvaltoihin. Hyökkäysten yhdistäminen Iraniin on ollut mutkikasta. Iranilaisia hakkereita tutkivat tietoturva-asiantuntija ovat kertoneet, että useat osallistuvat hyökkäyksiin tai valeuutiskampanjoihin ollessaan vielä yliopistossa. Monet heistä rekrytoidaan hallituksen palkkalistalle, mutta monet työskentelevät myös väliaikaisilla hallituksen sopimuksilla.

Nämä löysät yhteydet tekevät iranilaisten viranomaisten johtamien hyökkäysten tunnistamisesta vaikeaa. FireEyen tiedot käynnistivät Facebookin oman tutkimuksen, joka paljasti kolme muuta iranilaista valeuutiskampanjaa sekä yhden Venäjältä lähtöisin olleen kampanjan. Yksi Facebookin paljastamista iranilaisista kampanjoista yhdisti valeuutisia ja perinteisempää hakkerointia.

Hakkerit esiintyivät tyypillisesti uutisjärjestöinä eivätkä paljastaneet oikeaa henkilöllisyyttään. He tekivät myös perinteisempiä tietoturvahyökkäyksiä, kuten yrityksiä hakkeroida ihmisten tilejä ja levittää haittaohjelmia, minkä Facebook oli havainnut ja estänyt jo aiemmassa vaiheessa. Facebookin paljastamat venäläiset sivut eivät liittyneet FireEyen tutkimukseen. Facebookin mukaan tilit linkittyivät henkilöihin, jotka Yhdysvaltain viranomaiset olivat tunnistaneet venäläiseksi sotilastiedusteluksi. Toisin kuin muut venäläisiin liittyneet valesivustot viime vuosina, nämä tilit jakoivat Syyrian ja Ukrainan politiikkaan liittyvää sisältöä.

Vaikuttamiskampanjat ja niiden yleistyminen politiikassa

FireEyen informaatio-operaatioiden analysointitiimi muodostettiin vuonna 2016, jolloin useiden poliittisten hahmojen hakkeroituja sähköposteja alkoi vuotaa DCLeaks-sivustolle. Tuolloin tiimi tutki venäläisten toimia Yhdysvaltain vaaleihin vaikuttamisen osalta. Fosterin mukaan sosiaalinen media on erittäin tärkeä media, jonka kautta tällaisia kampanjoita käydään. Hän oli seurannut vaikutuskampanjoita jo kauan ennen kuin niistä tuli merkittävä puheenaihe Yhdysvaltojen politiikassa. Hän työskenteli aiemmin FireEyen sittemmin ostamassa iSight Partners -yrityksessä, jossa hän metsästi niin sanottuja haktivistiryhmiä, kuten Anonymousia.

Pohjoiskorealaisten hakkereiden vuonna 2014 tekemä hyökkäys Sonyn tietokoneverkkoon osoitti tietoturvayrityksille, että heidän on kiinnitettävä enemmän huomiota informaatiosodankäyntiin. Sonyyn kohdistunut hyökkäys oli tuhoisa teknisille järjestelmille, mutta se pitää sisällään muutakin. Fosterin mukaan hyökkäyksessä oli tarkoitus välittää viesti ja pyrkiä vaikuttamaan yleisöön. Pian huomattiin, että olemassa oli suuremman luokan potentiaalinen uhka, johon täytyy varautua.

Varautumisen täytyy lisääntyä vaikutuskampanjoita kohtaan

Hyökkäys Sonya kohtaan muutti tilannetta myös hallitusten ja suurten yritysten osalta, kertoo Graham Brookie, joka toimii Pohjois-Atlantin neuvoston digitaalisen tutkimuslaboratorion johtajana, jossa Facebookin valeuutisointia analysoitiin. Tuhansittain Sonyn johtajien välisiä nolostuttavia sähköposteja jaettiin ympäri nettiä. Hakkerit varastivat myös työntekijöiden henkilökohtaisia tietoja, kuten sosiaaliturvatunnuksia, ja tyhjensivät Sonyn palvelimia.

Tapaus herätti amerikkalaiset viranomaiset perustamaan käytäntöjä informaation jakamiseksi tietoturvauhista ja vaikutusoperaatioista. Mutta informaation jakamisella on kuitenkin omat rajansa. Toisin kuin Facebook, Twitter ei saanut etukäteen ilmoitusta FireEyelta Twitterin valeprofiileista, joita tietoturvayhtiö oli paljastanut. Useat profiilit olivat vielä pystyssä Facebookin ilmoituksen jälkeen. Sittemmin Twitter sulki 284 tiliä Facebookilta ja FireEyelta saamiensa tiedon mukaan, kertoo yrityksen viesti Twitterissä.

Kun internetpalveluntarjoajat yrittävät pysyä ajan tasalla vaikutuskampanjoiden suhteen, Foster uskoo, että monimutkaisista valeuutishuijauksista tulee yhä yleisempiä. Hän sanoo, että nämä tapahtumat osoittavat mainiosti sen, että olipa poliittiset tavoitteet tai ideologiset päämäärät mitä hyvänsä, nämä tekniikat nähdään houkuttelevina keinoina niiden saavuttamiseksi.