Dans le cadre de nos mises à jour régulières sur les notables efforts de perturbation des menaces, nous partageons nos conclusions sur les comportements inauthentiques coordonnés (CIB) contre la Moldavie que nous avons perturbés au début du troisième trimestre de cette année, y compris les indicateurs de menace liés à cette activité afin de contribuer aux efforts de la communauté de la sécurité pour détecter et contrecarrer les activités malveillantes sur Internet.
Pour rappel, nous considérons la CIB comme un effort coordonné visant à manipuler le débat public pour un objectif stratégique, dans lequel les faux comptes sont au cœur de l’opération. Quoi qu’il en soit, les gens se coordonnent et utilisent de faux comptes pour induire les autres en erreur sur qui ils sont et ce qu’ils font. Lorsque nous enquêtons et démantelons ces opérations, nous nous concentrons sur le comportement, et non sur le contenu, peu importe qui est à l’origine de ces opérations, ce qu’ils publient ou s’ils sont étrangers ou nationaux.
Voici ce que nous avons trouvé :
Nous avons supprimé sept comptes Facebook, 23 pages, un groupe et 20 comptes Instagram pour violation de notre politique contre les comportements inauthentiques coordonnés. Ce réseau est né principalement de la région de Transnistrie en Moldavie et s’adressait au public russophone de Moldavie. Nous avons supprimé cette campagne avant qu’ils ne puissent créer des audiences authentiques sur nos applications.
Cette opération était centrée sur une douzaine de marques d’information fictives en langue russe qui se présentaient comme des entités indépendantes présentes sur plusieurs services Internet, dont le nôtre, Telegram, OK (Odnoklassniki) et TikTok. Il comprenait des marques telles que Tresh Kich, Moldovan Mole, Insider Moldova, Gagauzia on Air.
Les individus à l’origine de cette opération ont utilisé de faux comptes, dont certains ont été détectés et désactivés avant notre enquête, pour exploiter des pages se faisant passer pour des entités d’information indépendantes, publier du contenu et diriger les gens vers les chaînes hors plateforme de cette opération, principalement sur Telegram. Certains de ces comptes ont subi des changements de nom importants au fil du temps et ont utilisé des photos de profil probablement créées à l’aide de réseaux contradictoires génératifs (GAN).
Ils ont publié du contenu original, notamment des dessins animés, sur l’actualité et les événements géopolitiques concernant la Moldavie. Il critiquait notamment le président Sandu, les politiciens pro-européens et les liens étroits entre la Moldavie et la Roumanie. Ils ont également publié des commentaires favorables aux partis pro-russes en Moldavie, dont une petite partie faisant référence à l’oligarque en exil Shor et à son parti. Les opérateurs ont également publié des messages offrant de l’argent et des cadeaux, notamment de la nourriture et des billets de concert, si les Moldaves les suivaient sur les réseaux sociaux ou faisaient des graffitis avec la marque de la campagne.
Cette campagne publiait souvent des résumés d’articles provenant d’un site d’information légitime[.]md, mais avec une nette orientation pro-russe et anti-UE ajoutée par les opérateurs. Ils ont également amplifié la chaîne Telegram de l’animateur d’une émission politique satirique en Moldavie critiquant les candidats pro-européens. L’une des chaînes Telegram de cette opération était promue par une Page que nous avons supprimée le trimestre dernier dans le cadre d’un réseau CIB d’origine russe (cas n°3 dans l’affaire Rapport du deuxième trimestre 2024).
Nous avons identifié ce réseau dans le cadre de notre enquête interne sur des comportements inauthentiques coordonnés présumés dans la région. Bien que les personnes derrière cette activité aient tenté de cacher leur identité et leur coordination, notre enquête a trouvé des liens vers des individus de Russie et de Moldavie opérant depuis la région de Transnistrie, y compris ceux à l’origine d’un faux service d’engagement proposant des likes et de faux abonnés sur Facebook, Instagram, YouTube, OK. , VKontakte, X et la plateforme de pétition Change.org. Nous avons également trouvé des liens limités entre cette activité CIB et un réseau de la région de Luhansk en Ukraine chez nous. SUPPRIMÉ en décembre 2020.
- Présence sur Facebook et Instagram : 7 comptes Facebook, 23 Pages, 1 Groupe et 20 comptes Instagram.
- Abonnés: Environ 4 200 comptes ont suivi une ou plusieurs de ces pages, aucun compte n’a rejoint ce groupe et environ 335 000 comptes ont suivi un ou plusieurs de ces comptes Instagram. La grande majorité de ces partisans se trouvaient en dehors de la Moldavie, ce qui suggère l’utilisation de tactiques d’engagement inauthentiques pour donner l’impression que ces efforts sont plus populaires qu’ils ne l’étaient en réalité.
- Dépenses publicitaires : Environ 4 000 $ de dépenses publicitaires, payées principalement en dollars américains.
Indicateurs de menace
Cette section détaille les indicateurs de menace uniques qui, selon nous, sont associés au réseau malveillant que nous avons perturbé. Il n’est pas destiné à fournir une vue historique complète, inter-Internet, de cette opération. Il est important de noter qu’à notre avis, le simple fait de partager des liens vers ces opérations ou d’interagir avec elles en ligne ne suffirait pas à attribuer des comptes à une campagne particulière sans preuves corroborantes.
Pour aider la communauté de recherche au sens large à étudier et à protéger les personnes sur différents services Internet, nous avons collecté et organisé ces indicateurs par Kill Chain d’opérations en ligne que nous utilisons pour analyser de nombreux types d’opérations en ligne malveillantes, identifier les premières opportunités de les perturber et partager des informations entre les équipes d’enquête. La kill chain décrit la séquence d’étapes suivies par les acteurs de la menace pour établir une présence sur Internet, dissimuler leurs opérations, interagir avec des publics potentiels et réagir aux retraits.
Dans le cadre de notre prochain cycle de reporting sur les menaces, nous ajouterons ces indicateurs de menace à nos archives publiques sur GitHub. Phase : acquisition d’actifs
Tactique : acquérir des comptes Facebook, des pages, des groupes, des comptes Instagram
Indicateurs de menace : 7 comptes Facebook, 23 Pages, 1 Groupe et 20 comptes Instagram.
Tactique : acquérir des comptes TikTok
tic tac[.]com/@trech_kich6
tic tac[.]com/@moldova_acum
Tactique : acquérir des chaînes Telegram
Tactique : acquérir plus d’actifs sur les réseaux sociaux
D’ACCORD[.]ru/groupe/70000005349948
Phase : masquage des ressources
Tactique : créer des médias fictifs
Tresh Kish
Moldavie en ligne – Moldavie en ligne
Taupe moldave – Taupe moldave
Fluerash – Fluieras
Chişinău – Chişinău
Le vrai Chisinau – Le vrai Chisinau
La Moldavie maintenant – Moldavie Acum
La Gagaouzie à l’antenne – La Gagaouzie à l’antenne
Balti 24 – Beltsy 24
Tactique : Adopter un déguisement visuel
Indicateurs de menace : Utilisation de photos de profil probablement générées à l’aide d’une intelligence artificielle telle que les réseaux contradictoires génératifs (GAN)
Phase : Éviter la détection
Tactique : masquer le contenu
Indicateurs de menace : Publier fréquemment des résumés d’articles à partir d’un site d’actualités légitime[.]md, mais avec une nette orientation pro-russe et anti-UE ajoutée par les opérateurs.
Phase : Implication ciblée
Tactique : diffuser des publicités
Indicateurs de menace : Environ 4 000 $ dépensés en publicité sur Facebook, payés principalement en dollars américains
Tactique : impliquer les utilisateurs externes dans l’opération
Environ 4 200 comptes suivaient une ou plusieurs de ces pages ;
Environ 335 000 comptes suivaient un ou plusieurs de ces comptes Instagram. Cependant, la grande majorité de ces partisans se trouvaient en dehors de la Moldavie, ce qui suggère l’utilisation de tactiques d’engagement inauthentiques pour donner l’impression que ces efforts sont plus populaires qu’ils ne l’étaient en réalité.
Tactique : engager un public spécifique
Indicateurs de menace : Cibler le public russophone en Moldavie
Tactique : diriger le trafic en ligne
Indicateurs de menace : Utiliser de faux comptes pour diriger les gens vers les chaînes hors plateforme de cette opération, y compris les chaînes Telegram
Tactique : publier sur des individus ou des institutions
Publication de contenus originaux comprenant des critiques à l’égard du président Sandu, des hommes politiques pro-européens et des liens étroits entre la Moldavie et la Roumanie.
Publiez des commentaires favorables aux partis pro-russes en Moldavie, dont une petite partie faisant référence à l’oligarque exilé Shor et à son parti.
SOURCE
Wow, je n’en avais aucune idée