Nyílt forráskódú szoftver leplezte le a Kreml-párti online kampányt

Graph showing shared use of Google Analytics, server software and social media

A grafikon a Google Analytics, a webszerver és a közösségi média hálózaton belüli közös használatát ábrázolja. [Teljes méret 1 2] A képet készítette: Lawrence Alexander.

Idén áprilisban a Szabad Európa Rádió/Szabadság Rádió és a Guardian is beszámolt a вштабе.рф weboldalról, ahol oroszbarát mémek és „demotiváló” illusztrációk egész galériája található. Ezeknek a durva karikatúráknak nagy része az Egyesült Államokat, a Nyugatot és az ukrán vezetőket gúnyolja, miközben Vlagyimir Putyin az erő és a hősiesség megtestesítőjeként van ábrázolva.

A weboldal nem közli, ki készítette a designt és azt sem tünteti fel, hogy kik az üzemeltetői. Mivel ez az anonimitás kíváncsivá tett, a Maltego nyílt forráskódú hírszerzési szoftvert használva olyan mindenki számára elérhető információt gyűjtöttem, ami talán nyomra vezethet.

A Google Analytics titkai
A Maltego segítségével kiderült, hogy a weboldal Google Analytics-et használ, mely egy gyakran használt online mérőeszköz. Lehetővé teszi a weboldal tulajdonosának, hogy statisztikákat készítsen látogatóiról olyan információkkal, mint a kereső országa, böngészője és operációs rendszere. Az egyszerűség kedvéért egy Google Analytics fiókkal számos oldal is kezelhető. Ennek a fióknak van egy egyedi „UA” azonosítója, melyet a weboldal kódjába ágyazott Analytics szkript tartalmaz. A Google egy részletes útmutatót is biztosít a fiókstruktúrák megértéséhez.

Google Analytics Code

A вштабе.рф Google Analytics fiókazonosítója a lap alján lévő HTML-kódban található.

Újságírók és biztonsági szakértők már felhívták a figyelmet arra, hogy a kóddal az anonim weboldalakat össze lehet bizonyos felhasználókkal kötni.

A módszert a Wired 2011-ben írta le, és Michael Bazzell, az FBI kiberbűnözési szakértője is megemlítette „Nyílt forráskódú hírszerző módszerek c. könyvében. Számos olyan ingyenes szolgáltatás is megjelent, amivel egyszerűen vissza lehet keresni Google Analytics azonosítókat. Ezek közül a legnépszerűbb a sameID.net.

Kíváncsi voltam, hogy a вштабе.рф mögött álló személy, vagy szervezet más oldalt is működtet-e ugyanarról az Analytics fiókról. A weboldal forráskódját megnézve megkaptam a mindennél fontosabb Google Analytics azonosítót. Miután lefuttattam egy átfogóbb keresést, meglepő eredményeket kaptam. A fiókhoz nem kevesebb, mint hét másik weboldal volt hozzárendelve (archivált másolat).

Ezek közt volt a whoswho.com.ua (archívum), melynek nyilvánvaló célja, hogy ukrán tisztviselőkről kompromittáló információkat gyűjtsön ukrán projektnek álcázva magát, a Zanago.com (archívum), mely szintén egy mémgyűjtemény, köztük sok Nyugat-ellenes mémmel. A fiókhoz kapcsolt weboldalak közt van továbbá a yapatriot.ru (archívum), mely orosz ellenzékieket próbál meg lejáratni, és a syriainform.com (archívum) is, mely a szíriai események USA-ellenes és Asszad-párti vonulatát támogatja.

A legmegdöbbentőbb azonban a Material Evidence volt, mely annak a vándorló fotókiállításnak a weboldala, mely tárgya volt számos médiakutatásnak is állítólagos Kreml-barát kapcsolatai miatt. 2014-ben a Gawker számolt be a New York-i kiállításról és annak széleskörű és nagy költségvetésű reklámkampányáról. Megjegyezték továbbá, hogy a weboldalt Szentpéterváron regisztrálták, és ezt a WHOIS adatbázisa is megerősítette.

A labirintus közepén
Miközben az UA-53176102 fiókhoz tartozó weboldalak hálózatát kutattam, felfedeztem, hogy a news-region.ru egy másik Analytics fiókhoz is hozzá van adva, az UA-53159797-hoz (archívum).

Ehhez az azonosítóhoz pedig további 19 Kreml-párti weboldal tartozott. Majd ezeknek a weboldalaknak a vizsgálata további három Analytics fiókhoz vezetett, számos hozzájuk rendelt weboldallal. Lent látható az a hálózati diagram, melyet ezekről az összefüggésekről készítettem.

Relationships between websites and Google Analytics account numbers.

A Google Analytics fiók azonosítószámok és a hozzájuk tartózó weboldalak közti kapcsolat. [Nagyítás] A képet Lawrence Alexander készítette.

Ennek a nagyobb hálózatnak az egyik weboldala, az emaidan.com.ua (archívum) első ránézésre az ukrán tüntetések egy megbízható forrásának tűnik. Azonban, ha közelebbről megnézzük, kiderül, hogy erősődő ukrán-ellenes érzelmekkel van tarkítva, mintha egy kiábrándult, korábban Majdan-párti szerző írása lenne. A putininfo.com (archívum) pedig egy ragyogó dicsőítése az orosz elnöknek, „My Putin” néven megjelenő közösségi média fiókokkal kiegészítve.

Amikor az írás készült, a legtöbb oldalon az Analytics-kódok változatlanok voltak és láthatóak. A felfedezéseimet könnyen lehet igazolni az oldal forráskódjának ellenőrzésével a böngészőn keresztül, vagy az oldal mentése után szövegszerkesztőben megnyitva.

A Google Analyticsen kívül több közös vonása is volt az oldalaknak: mindegyik használta a Yandex Metrika, Yandex Verification és az Nginx szervereket, melyek mind orosz készítésű eszközök.

Világossá vált, hogy egy hatalmas, jól szervezett online információs kampányra bukkantam. De annak ellenére, hogy a Google Analytics-kód egyértelművé tette, hogy az oldalak ugyanahhoz az érdekeltséghez tartoznak és ugyanazok kezelik őket, még mindig nem derült ki, hogy ki áll mögöttük.

Személyes érdekeltség talán?
A kíváncsiságtól hajtva tovább kutattam a nyilvánosan hozzáférhető információk között. A domain regisztrációs adatok több helyen is [1 2 3]  elvezettek még egy közös tényezőhöz, a terder.n@gmail.com emailcímhez. [Archívum: 1 2 3 4]. Kiderült, hogy ez az emailcím nem csak az általam azonosított weboldalakhoz köthető, hanem weboldalak újabb csoportjához is, melyek jelenleg fejlesztés alatt állnak. A címek a már létező weboldalak témáihoz hasonlókat sugallnak: vagy nyíltan oroszbarát hangulatkeltések, vagy hiteles ukrán újságírásnak álcázva terjesztenek hamis információkat. Ezek közt van az antiliberalism.com, a dnepropetrovsknews.com és a maidanreload.com.

Alig egy perc keresgélés után sikerült az email címet valós személyhez kötni. Egy csoport az orosz közösségi oldalon, a VKontaktén [archívum] Nikita Podgornijhoz köti az email címet.

Podgornij nyilvános Facebook profilja szerint tagja egy Worldsochi nevű csoportnak, mely pontosan megegyezik az egyik általam vizsgált, két Google Analytics kóddal összekötött weboldal nevével.

Nikita Podgorny's membership of Worldsochi Facebook group.

Nikita Podgorny tagja a Worldsochi facebook csoportnak.

Podgornijnak van egy Pinterest fiókja is egyetlen képpel [archívum], mely egy infografika az infosurfing.ru oldalról az oroszok világűrben elért eredményeiről.

Az online FotoForensics eszköz megmutatja, hogy a infosurfing.ru [1 2 3], a putininfo.com  [1 2] és a вштабе.рф [1 2] képei olyan metaadatokat tartalmaznak, melyeknek forrása egy azonos verziójú szoftver: Adobe XMP Core: 5.5-c014 79.151481, 2013/03/13-12:09:15. Ez magában nem egy egyedi azonosító, de sokatmondó lehet, különös tekintettel további információkra Podgornij online személyiségéről.

Sőt, Podgornij szerepel a szentpétervári Internetkutatási Központ alkalmazottainak kiszivárgott listáján, mely egy Kreml-barát trollgyár, ami a hírekben és a kivizsgálásokban is gyakran szerepelt, többek közt a RuNet Echo saját beszámolóiban.

A Podgornij VKontakte profilján megadott születési dátum megegyezik a kiszivárgott dokumentumon szereplővel.

Podgorny's date of birth, as shown on his VK profile, compared with listing in the leaked Internet Reseach Agency document.

A Podgornij VK profilján szereplő születési dátum összehasonlítva az Internetkutató Központ kiszivárgott dokumentumán lévővel.

Podgornij ismerőse a VKontaktén Igor Oszadcsijnak, aki szintén szerepel a listán alkalmazottként. Oszadcsij azonban tagadta, hogy az Internetkutató Központnak dolgozna, és a kiszivárogtatott dokumentumot „sikertelen provokációnak” nevezte.

Podgorny-Osadchy VK connection

Nikita Podgorny ismerőse Igor Osadchynak a VK-n.

A Global Voices megkeresésére Podgornij nem erősítette meg, és nem is tagadta, hogy köze lenne a weboldalhoz, és nem kívánta kommentálni az ügyet.

A következő Kreml-párti weboldalhálózatról szóló posztban részletesebben fogunk foglalkozni azok tartalmával, céljaikkal és az oldalak mögött álló ideológiával.

A poszt fordításában és értelmezésében a RuNet Echo szerzője, Aric Toler működött közre.

1 hozzászólás

Csatlakozz a társalgáshoz

Szerzők, kérünk, hogy bejelentkezés »

Szabályok

  • A hozzászólásokat moderáljuk. Ne küldd el a hozzászólásodat egynél többször, mert azt hiheti a gép, hogy spam.
  • Tiszteld a többi kommentelőt. A gyűlöletbeszédet, obszcenitást és személyes sértéseket tartalmazó hozzászólásokat nem publikáljuk.