На сайте нет указаний об авторстве и никаких подсказок о том, кто может за ним стоять. Заинтригованный этой анонимностью, я использовал «шпионскую» программу с открытым исходным кодом Maltego [5] [анг] для сбора любой общедоступной информации, которая могла привести к каким-либо догадкам.
Секреты Google Analytics
Использование Maltego открыло, что сайт использовал Google Analytics, популярный инструмент интернет-аналитики, позволяющий владельцу собирать данные о посетителях, такие как их страна, браузер и операционная система. Для удобства различные сайты могут управляться из одного аккаунта в Google Analytics. Этот аккаунт имеет уникальный идентификационный номер «UA», содержащийся в скрипте Analytics, вставляемом в код сайта. Google предоставляет детальное руководство [6] о структуре системы.
Журналисты и эксперты по безопасности уже использовали потенциал этого кода для связывания анонимных сайтов с определёнными пользователями.
О методе сообщил Wired в 2011 году [7] [анг], он также упоминался экспертом ФБР по киберпреступлениям Майклом Баззелом в его книге Open Source Intelligence Techniques [8] [анг]. Появилось несколько бесплатных сервисов, позволяющих производить лёгкий поиск по ID-номерам Google Analytics. Один из самых популярных — sameID.net [9] [анг].
Я хотел узнать, не управляли ли человек или организация, стоявшие за вштабе.рф, другими сайтами из-под того же аккаунта в Analytics. Просмотр кода сайта дал мне всё — важный ID-номер Google Analytics. Когда я провёл более широкий поиск по нему, результаты стали сюрпризом — он был связан с не менее чем семью другими сайтами [10] (архивная копия [11]) [анг].
Среди них: whoswho.com.ua [12] (архив [13]), видимо направленный на систематизацию компрометирующей информации на украинских чиновников проект, пытающийся выдавать себя за украинский; Zanogo.com [14] (архив [15]), ещё одно хранилище мемов, многие из которых имеют антизападную направленность; и yapatriot.ru [16] (архив [17]), который кажется попыткой дискредитировать российских оппозиционеров. Ещё один сайт, использующий тот же аккаунт в Analytics — syriainform.com [18] (архив [19]) — сайт, явно продвигающий антиамериканский и проасадовский взгляд на события в Сирии.
Наиболее поражающим стало присутствие Material Evidence [20] — сайта тура фотовыставки, которая стал предметом нескольких журналистских расследований в связи с предполагаемыми прокремлёвскими связями. В 2014 году сайт Gawker написал о выставке в Нью-Йорке [21] [анг], прокомментировав большую, хорошо профинансированную рекламную кампанию. Они отметили, что её сайт был зарегистрирован в Санкт-Петербурге, что подтверждается данными по истории с WHOIS [22] [анг].
Вниз по кроличьей норе
Исследуя сеть сайтов, связанных с аккаунтом UA-53176102, я обнаружил, что один из них, news-region.ru, также был связан [23] [анг] со вторым аккаунтом в Analytics: UA-53159797 (архив [24]).
Это число, в свою очередь, связано с дальнейшим набором девятнадцати прокремлёвских сайтов. Дальнейшее изучение этих страниц помогло найти ещё три аккаунта в Analytics, с дополнительными привязанными к ним сайтами. Ниже находится диаграмма отношений, которых я установил к настоящему времени.
Один из сайтов в этой большей сети, emaidan.com.ua [26] (архив [27]) на первый взгляд кажется легитимным информационным ресурсом украинского протестного движения. Но более близкое рассмотрение показывает, что он пронизан нарастающими антиукраинскими настроениями, как будто посты писал разочаровавшийся бывший сторонник Майдана. putininfo.com [28] (архив [29]) — прославление российского президента, сайт дополняют аккаунты [30] «Мой Путин» [31] в социальных сетях.На момент написания статьи коды Analytics оставались неизменёнными и видимыми на большинстве этих сайтов. Полученные мной результаты могут быть легко проверены путём просмотра их исходного кода — в браузере [32] или сохранением страницы и просмотром её в текстовом редакторе.
Помимо Google Analytics у сайтов есть другие общие черты: сайты в сети характеризует общее использование «Яндекс.Метрики» [33], Yandex Verification и сервера Nginx [34] — все инструменты сделаны в России.
Стало ясно, что я скорее всего смотрел на большую, хорошо организованную информационную интернет-кампанию. Но в то время как код Google Analytics показывал общее управление сайтами, он не мог сказать мне, кто стоит за ними.
Личная связь?
Движимый любопытством, я ещё немного «покопался» в общедоступной информации. Данные о регистрации домена [35]в нескольких местах [36] [1 [37] 2 [38] 3 [39]] открыли второй общий фактор: адрес электронной почты terder.n@gmail.com. [Архив: 1 [40] 2 [41] 3 [42] 4 [43], все – анг]. Я обнаружил, что он связан не только со многими из уже определённых мной сайтов, но и с новой группой сайтов, судя по всему находящейся в разработке. Их названия предполагают темы, схожие с существующей сетью: либо нескрываемая пророссийская полемика, либо более тонкая дезинформация под маской украинской журналистики. Среди них: antiliberalism.com [38], dnepropetrovsknews.com [44] и maidanreload.com [45].
Меньше минуты поиска потребовалось, чтобы связать адрес почты с реальной личностью. Группа [46] в российской социальной сети «ВКонтакте» [архив [47]] приписывает его Никите Подгорному [48].
Публичный профиль Подгорного в Facebook [49] показывает, что он состоит в группе «Worldsochi» [50] — это же имя носит один из сайтов, связанный с двумя изученными мной кодами Google Analytics.
Подгорный имеет аккаунт в Pinterest со всего одной записью [51] [архив [52]] — инфографикой достижений России в космосе, взятой с сайта infosurfing.ru [53]. Хотя infosurfing.ru не имеет вставленного кода Google Analytics, его и некоторые сайты в прокремлёвской сети объединяют некоторые черты создания изображений.
Интернет-программа FotoForensics показывает, что изображения с infosurfing.ru [1 [54] 2 [55] 3 [56]], putininfo.com [1 [57] 2 [58]] и вштабе.рф [1 [59] 2 [60]] содержат метаданные, источником которых стала одна и та же версия программного обеспечения: Adobe XMP Core: 5.5-c014 79.151481, 2013/03/13-12:09:15. Само по себе это не является уникальным идентификатором, но может позволить предположить о связи, особенно в контексте дополнительной информации об интернет-личности Подгорного.
Наиболее значим тот факт, что Подгорный указан в [61] слитом списке работников санкт-петербургского «Агентства интернет-исследований», прокремлёвской фабрики троллей, ставшей предметов многочисленных [62] новостных [63] репортажей [64] и расследований [65], включая и статьи [66] «Эха Рунета».
Дата рождения Подгорного, указанная на его странице «ВКонтакте», точно совпадает с датой из слитого документа [61].
Подгорный также дружит в «ВКонтакте» с Игорем Осадчим, который назван в том же списке её одним сотрудником агентства. Осадчий отрицал работу в «Агентстве интернет-исследований» [67] [анг], назвав сливы «неудачной провокацией».
Когда Global Voices связались с Подгорным, тот не подтвердил и не опровергнул связь с сайтами и не дал никаких дальнейших комментариев.
В следующем посте о прокремлёвской сети сайтов бы более подробно рассмотрим контент, цели и идеологию, стоящую за ними.