Цифровите следи на Doppelgänger доведоха до сградата на Министерството на отбраната в Москва - Correctiv разследване
The Insider
16 ноември 2024 г. 20:00 ч
Журналистите откриха доказателства, свързващи кампанията за дезинформация Doppelgänger („Двойник“) с руското правителство. Разследващите от германския проект Correctiv успяха да направят това след многократни запитвания и предоставяне на резултатите от работата си на европейски компании и правоохранителни органи. Оказа се, че един от IP адресите, използвани от операторите на пропагандната кампания, е свързан със служител на Главното управление на комуникациите на държавния център за обработка на информация на руското министерство на отбраната. Освен това самият този IP адрес принадлежи на мрежата на Voentelecom JSC, виртуален мобилен оператор, създаден от t2 съвместно с руското Министерство на отбраната.
Correctiv не посочва името на лицето, чрез което става известна връзката на Doppelgänger с Министерството на отбраната. The Insider провери самоличността му - той се оказа Вадим Николаевич Лукьянченко. Той наистина работи в Министерството - това се вижда както от името му (намира се в списъците на служителите и в телефонните указатели на Министерството на отбраната, като посочва отдела, в който работи служителят), така и адреса, който е посочил за различни лични цели - в изтеклите бази данни Неговото име и имейл адрес многократно се свързват със следния адрес: Bolshoi Znamensky Lane, 21 в Москва. Това е адресът на Главното управление на комуникациите на Министерството на отбраната на Русия.
История
Doppelgänger е кодовото наименование на кампания за намеса в делата на чужди държави, като част от която са създадени огромен брой фалшиви новинарски сайтове и неавтентични акаунти в социалните медии. Тези сайтове и акаунти на различни езици разпространяваха напълно фалшива или изопачена информация за хора или събития в интерес на руските власти и разузнавателни служби - по-специално, свързани с украински политици и въоръжената инвазия на Русия в Украйна. Например в края на 2023 г. стотици акаунти в X (Twitter) и други социални мрежи публикуваха цитати, критикуващи войната и финансовата помощ от западните държави за Украйна. По-специално, авторите на колажи със снимки на Бионсе, Ариана Гранде, Анджелина Джоли и Роналдо твърдят, че уж са се обявили против помощта за Украйна и срещу президента Владимир Зеленски.
Пример за фалшив цитат на Кристиано Роналдо, разпространен от ботове Doppelganger
Пример за фалшив цитат на Кристиано Роналдо, разпространен от ботове Doppelganger
Както The Insider писа по-рано, за да направи материалите си по-правдоподобни, кампанията създаде уебсайтове-клонинги на водещи медии като Der Spiegel, Fox News и RBC. Освен това, както разбра The Insider заедно с проекта Bot Blocker / antibot4navalny, мрежата от сайтове и акаунти под контрола на Doppelgänger също активно популяризира антисемитски материали на различни европейски езици.
Унищожаване на инфраструктурата на Doppelgänger
Години наред Doppelganger разпространява връзки към множество фалшиви уебсайтове чрез социални мрежи като Facebook и Twitter. За да избегнат откриването от тези платформи, организаторите на кампанията са използвали украински доставчик на услуги, доказа Correctiv. През октомври тази година, след като бяха блокирани от украински доставчик, повечето от връзките на Doppelganger в Twitter станаха недостъпни.
Освен това, както установиха разследващите, през септември Doppelganger регистрира няколко сайта за кампании чрез немска компания. След исканията на Correctiv немската компания премахна и сайтовете. Ключови портали за двойници като Reliable Recent News са недостъпни от 7 ноември.
Баварските разузнавателни служби се включиха в разследването и успяха да получат информация от хостинг доставчиците и социалните мрежи за акаунтите, от които се разпространяват фалшификатите. Чрез разследване и запитвания Correctiv разбра за някои от IP адресите, използвани от мрежовите оператори на Doppelganger. След като получиха тази информация, журналистите доказаха, че руското министерство на отбраната е замесено в „ботфермата“. The Insider се запозна и с резултатите от разследването на германските разузнавателни служби.
За да работят, операторите на Doppelganger използваха Keitaro, маркетингов инструмент, предназначен да управлява рекламни кампании. Данните на Keitaro, получени от компанията, също показаха ясна връзка между мрежата за дезинформация и Русия - повечето от IP адресите, от които операторите Doppelganger влизат в нея, принадлежат на мрежите на Megafon. Значителна част от IP адресите, от които е контролирана Facebook кампанията, принадлежат на Воентелеком АД.
Фрагмент от контролния панел Keitaro. Имена на кампания Doppelgänger за промоция във Facebook
Фрагмент от контролния панел Keitaro. Имена на кампания Doppelgänger за промоция във Facebook
Екранна снимка от разследване на Баварската служба за защита на конституцията
Благодарение на достъпа до панела Keitaro, германските разузнавателни служби също установиха, че неговите оператори планират да показват фалшификати като част от кампанията само в следните страни: САЩ, Франция, Германия, Нидерландия, Израел, Великобритания и Русия.
За всяка от страните, атакувани от мрежата Doppelgänger, бяха използвани теми, за да предизвикат безпокойство и да посеят съмнение в обществото. Например за потребителите на Facebook в Израел бяха рекламирани статии, че Съединените щати са предали Израел, точно както са предали Украйна. Беше рекламирана и статия, че Украйна е по-важна за САЩ от помощта за Израел. За потребителите от Франция бяха предназначени материали, че африканци и хора от Близкия изток заплашват французите. В Германия бяха рекламирани връзки към петиция срещу министъра на отбраната Борис Писториус.
Връзки с руски компании, Ростех и ГРУ
По-рано проектът научи, че европейски компании са участвали в работата на ботовата мрежа на Кремъл Doppelgänger. Впоследствие те постепенно спират да предоставят услуги по пропагандна кампания. Руските организации зад кампанията - две компании, наречени Struktura и Social Design Agency - са под санкции на ЕС от средата на 2023 г.
Една от информационните атаки на Doppelganger беше разследвана от френските власти. В началото на 2024 г. разбраха, че зад нея стоят ИТ компаниите National Technologies и Social Design Agency (ASP), които бяха под европейски санкции. Крайният собственик на National Technologies LLC е РосТех (Rostec). Ботовете популяризираха и уебсайта EuroBRICS, който има доказани връзки с отдела за психологически операции (в/п 54777) на ГРУ. Преди това Европейският съюз въведе пакет от санкции срещу участниците в кампанията за манипулиране на цифрова информация, този пакет включваше споменатите по-горе „Национални технологии“, TSA, както и няколко офицери от същото военно поделение 54777 на ГРУ.