
График, показывающий совместное использование Google Analytics, серверного программного обеспечения и социальных медиа сайтами в сети. [Полный размер 1 2] Изображение создано Лоуренсом Александром.
На сайте нет указаний об авторстве и никаких подсказок о том, кто может за ним стоять. Заинтригованный этой анонимностью, я использовал «шпионскую» программу с открытым исходным кодом Maltego [анг] для сбора любой общедоступной информации, которая могла привести к каким-либо догадкам.
Секреты Google Analytics
Использование Maltego открыло, что сайт использовал Google Analytics, популярный инструмент интернет-аналитики, позволяющий владельцу собирать данные о посетителях, такие как их страна, браузер и операционная система. Для удобства различные сайты могут управляться из одного аккаунта в Google Analytics. Этот аккаунт имеет уникальный идентификационный номер «UA», содержащийся в скрипте Analytics, вставляемом в код сайта. Google предоставляет детальное руководство о структуре системы.

Номер аккаунта Google Analytics для вштабе.рф, найден в конце HTML-кода страницы.
Журналисты и эксперты по безопасности уже использовали потенциал этого кода для связывания анонимных сайтов с определёнными пользователями.
О методе сообщил Wired в 2011 году [анг], он также упоминался экспертом ФБР по киберпреступлениям Майклом Баззелом в его книге Open Source Intelligence Techniques [анг]. Появилось несколько бесплатных сервисов, позволяющих производить лёгкий поиск по ID-номерам Google Analytics. Один из самых популярных — sameID.net [анг].
Я хотел узнать, не управляли ли человек или организация, стоявшие за вштабе.рф, другими сайтами из-под того же аккаунта в Analytics. Просмотр кода сайта дал мне всё — важный ID-номер Google Analytics. Когда я провёл более широкий поиск по нему, результаты стали сюрпризом — он был связан с не менее чем семью другими сайтами (архивная копия) [анг].
Среди них: whoswho.com.ua (архив), видимо направленный на систематизацию компрометирующей информации на украинских чиновников проект, пытающийся выдавать себя за украинский; Zanogo.com (архив), ещё одно хранилище мемов, многие из которых имеют антизападную направленность; и yapatriot.ru (архив), который кажется попыткой дискредитировать российских оппозиционеров. Ещё один сайт, использующий тот же аккаунт в Analytics — syriainform.com (архив) — сайт, явно продвигающий антиамериканский и проасадовский взгляд на события в Сирии.
Наиболее поражающим стало присутствие Material Evidence — сайта тура фотовыставки, которая стал предметом нескольких журналистских расследований в связи с предполагаемыми прокремлёвскими связями. В 2014 году сайт Gawker написал о выставке в Нью-Йорке [анг], прокомментировав большую, хорошо профинансированную рекламную кампанию. Они отметили, что её сайт был зарегистрирован в Санкт-Петербурге, что подтверждается данными по истории с WHOIS [анг].
Вниз по кроличьей норе
Исследуя сеть сайтов, связанных с аккаунтом UA-53176102, я обнаружил, что один из них, news-region.ru, также был связан [анг] со вторым аккаунтом в Analytics: UA-53159797 (архив).
Это число, в свою очередь, связано с дальнейшим набором девятнадцати прокремлёвских сайтов. Дальнейшее изучение этих страниц помогло найти ещё три аккаунта в Analytics, с дополнительными привязанными к ним сайтами. Ниже находится диаграмма отношений, которых я установил к настоящему времени.

Отношения между сайтами и номерами их аккаунтов в Google Analytics. [Полный размер] Изображение создано Лоуренсом Александером.
На момент написания статьи коды Analytics оставались неизменёнными и видимыми на большинстве этих сайтов. Полученные мной результаты могут быть легко проверены путём просмотра их исходного кода — в браузере или сохранением страницы и просмотром её в текстовом редакторе.
Помимо Google Analytics у сайтов есть другие общие черты: сайты в сети характеризует общее использование «Яндекс.Метрики», Yandex Verification и сервера Nginx — все инструменты сделаны в России.
Стало ясно, что я скорее всего смотрел на большую, хорошо организованную информационную интернет-кампанию. Но в то время как код Google Analytics показывал общее управление сайтами, он не мог сказать мне, кто стоит за ними.
Личная связь?
Движимый любопытством, я ещё немного «покопался» в общедоступной информации. Данные о регистрации домена в нескольких местах [1 2 3] открыли второй общий фактор: адрес электронной почты terder.n@gmail.com. [Архив: 1 2 3 4, все – анг]. Я обнаружил, что он связан не только со многими из уже определённых мной сайтов, но и с новой группой сайтов, судя по всему находящейся в разработке. Их названия предполагают темы, схожие с существующей сетью: либо нескрываемая пророссийская полемика, либо более тонкая дезинформация под маской украинской журналистики. Среди них: antiliberalism.com, dnepropetrovsknews.com и maidanreload.com.
Меньше минуты поиска потребовалось, чтобы связать адрес почты с реальной личностью. Группа в российской социальной сети «ВКонтакте» [архив] приписывает его Никите Подгорному.
Публичный профиль Подгорного в Facebook показывает, что он состоит в группе «Worldsochi» — это же имя носит один из сайтов, связанный с двумя изученными мной кодами Google Analytics.

Членство Никиты Подгорного в группе Worldsochi в Facebook.
Подгорный имеет аккаунт в Pinterest со всего одной записью [архив] — инфографикой достижений России в космосе, взятой с сайта infosurfing.ru. Хотя infosurfing.ru не имеет вставленного кода Google Analytics, его и некоторые сайты в прокремлёвской сети объединяют некоторые черты создания изображений.
Интернет-программа FotoForensics показывает, что изображения с infosurfing.ru [1 2 3], putininfo.com [1 2] и вштабе.рф [1 2] содержат метаданные, источником которых стала одна и та же версия программного обеспечения: Adobe XMP Core: 5.5-c014 79.151481, 2013/03/13-12:09:15. Само по себе это не является уникальным идентификатором, но может позволить предположить о связи, особенно в контексте дополнительной информации об интернет-личности Подгорного.
Наиболее значим тот факт, что Подгорный указан в слитом списке работников санкт-петербургского «Агентства интернет-исследований», прокремлёвской фабрики троллей, ставшей предметов многочисленных новостных репортажей и расследований, включая и статьи «Эха Рунета».
Дата рождения Подгорного, указанная на его странице «ВКонтакте», точно совпадает с датой из слитого документа.

Дата рождения Подгорного, указанная на странице в социальной сети, в сравнении с указанной в слитой документе “Агентства интернет-исследований”.
Подгорный также дружит в «ВКонтакте» с Игорем Осадчим, который назван в том же списке её одним сотрудником агентства. Осадчий отрицал работу в «Агентстве интернет-исследований» [анг], назвав сливы «неудачной провокацией».

Связь через “ВКонтакте” Никиты ПОдгорного и Игоря Осадчего.
Когда Global Voices связались с Подгорным, тот не подтвердил и не опровергнул связь с сайтами и не дал никаких дальнейших комментариев.
В следующем посте о прокремлёвской сети сайтов бы более подробно рассмотрим контент, цели и идеологию, стоящую за ними.
1 комментарий