- Global Voices по-русски - https://ru.globalvoices.org -

Информация из открытых источников помогает раскрыть прокремлёвскую интернет-кампанию

Категории: гражданская журналистика, политика, технологии, цифровой активизм, Эхо Рунета

Graph showing shared use of Google Analytics, server software and social media

График, показывающий совместное использование Google Analytics, серверного программного обеспечения и социальных медиа сайтами в сети. [Полный размер 1 [1] 2 [2]] Изображение создано Лоуренсом Александром.

В апреле этого года Радио «Свобода» [3] [анг] и The Guardian [4] [анг] сообщили о сайте вштабе.рф, большой галерее пророссийских мемов и «демотиваторов». Большая часть этих грубых карикатур высмеивает американских, западных и украинских лидеров, в то же время изображая Владимира Путина сильным героем.

На сайте нет указаний об авторстве и никаких подсказок о том, кто может за ним стоять. Заинтригованный этой анонимностью, я использовал «шпионскую» программу с открытым исходным кодом Maltego [5] [анг] для сбора любой общедоступной информации, которая могла привести к каким-либо догадкам.

Секреты Google Analytics
Использование Maltego открыло, что сайт использовал Google Analytics, популярный инструмент интернет-аналитики, позволяющий владельцу собирать данные о посетителях, такие как их страна, браузер и операционная система. Для удобства различные сайты могут управляться из одного аккаунта в Google Analytics. Этот аккаунт имеет уникальный идентификационный номер «UA», содержащийся в скрипте Analytics, вставляемом в код сайта. Google предоставляет детальное руководство [6] о структуре системы.

Google Analytics Code

Номер аккаунта Google Analytics для вштабе.рф, найден в конце HTML-кода страницы.

Журналисты и эксперты по безопасности уже использовали потенциал этого кода для связывания анонимных сайтов с определёнными пользователями.

О методе сообщил Wired в 2011 году [7] [анг], он также упоминался экспертом ФБР по киберпреступлениям Майклом Баззелом в его книге Open Source Intelligence Techniques [8] [анг]. Появилось несколько бесплатных сервисов, позволяющих производить лёгкий поиск по ID-номерам Google Analytics. Один из самых популярных — sameID.net [9] [анг].

Я хотел узнать, не управляли ли человек или организация, стоявшие за вштабе.рф, другими сайтами из-под того же аккаунта в Analytics. Просмотр кода сайта дал мне всё — важный ID-номер Google Analytics. Когда я провёл более широкий поиск по нему, результаты стали сюрпризом — он был связан с не менее чем семью другими сайтами [10] (архивная копия [11]) [анг].

Среди них: whoswho.com.ua [12] (архив [13]), видимо направленный на систематизацию компрометирующей информации на украинских чиновников проект, пытающийся выдавать себя за украинский; Zanogo.com [14] (архив [15]), ещё одно хранилище мемов, многие из которых имеют антизападную направленность; и yapatriot.ru [16] (архив [17]), который кажется попыткой дискредитировать российских оппозиционеров. Ещё один сайт, использующий тот же аккаунт в Analytics — syriainform.com [18] (архив [19]) — сайт, явно продвигающий антиамериканский и проасадовский взгляд на события в Сирии.

Наиболее поражающим стало присутствие Material Evidence [20] — сайта тура фотовыставки, которая стал предметом нескольких журналистских расследований в связи с предполагаемыми прокремлёвскими связями. В 2014 году сайт Gawker написал о выставке в Нью-Йорке [21] [анг], прокомментировав большую, хорошо профинансированную рекламную кампанию. Они отметили, что её сайт был зарегистрирован в Санкт-Петербурге, что подтверждается данными по истории с WHOIS [22] [анг].

Вниз по кроличьей норе
Исследуя сеть сайтов, связанных с аккаунтом UA-53176102, я обнаружил, что один из них, news-region.ru, также был связан [23] [анг] со вторым аккаунтом в Analytics: UA-53159797 (архив [24]).

Это число, в свою очередь, связано с дальнейшим набором девятнадцати прокремлёвских сайтов. Дальнейшее изучение этих страниц помогло найти ещё три аккаунта в Analytics, с дополнительными привязанными к ним сайтами. Ниже находится диаграмма отношений, которых я установил к настоящему времени.

Relationships between websites and Google Analytics account numbers.

Отношения между сайтами и номерами их аккаунтов в Google Analytics. [Полный размер [25]] Изображение создано Лоуренсом Александером.

Один из сайтов в этой большей сети, emaidan.com.ua [26] (архив [27]) на первый взгляд кажется легитимным информационным ресурсом украинского протестного движения. Но более близкое рассмотрение показывает, что он пронизан нарастающими антиукраинскими настроениями, как будто посты писал разочаровавшийся бывший сторонник Майдана. putininfo.com [28] (архив [29]) — прославление российского президента, сайт дополняют аккаунты [30] «Мой Путин» [31] в социальных сетях.

На момент написания статьи коды Analytics оставались неизменёнными и видимыми на большинстве этих сайтов. Полученные мной результаты могут быть легко проверены путём просмотра их исходного кода — в браузере [32] или сохранением страницы и просмотром её в текстовом редакторе.

Помимо Google Analytics у сайтов есть другие общие черты: сайты в сети характеризует общее использование «Яндекс.Метрики» [33], Yandex Verification и сервера Nginx [34] — все инструменты сделаны в России.

Стало ясно, что я скорее всего смотрел на большую, хорошо организованную информационную интернет-кампанию. Но в то время как код Google Analytics показывал общее управление сайтами, он не мог сказать мне, кто стоит за ними.

Личная связь?
Движимый любопытством, я ещё немного «покопался» в общедоступной информации. Данные о регистрации домена [35]в нескольких местах [36] [1 [37] 2 [38] 3 [39]] открыли второй общий фактор: адрес электронной почты terder.n@gmail.com. [Архив: 1 [40] 2 [41] 3 [42] 4 [43], все – анг]. Я обнаружил, что он связан не только со многими из уже определённых мной сайтов, но и с новой группой сайтов, судя по всему находящейся в разработке. Их названия предполагают темы, схожие с существующей сетью: либо нескрываемая пророссийская полемика, либо более тонкая дезинформация под маской украинской журналистики. Среди них: antiliberalism.com [38]dnepropetrovsknews.com [44] и maidanreload.com [45].

Меньше минуты поиска потребовалось, чтобы связать адрес почты с реальной личностью. Группа [46] в российской социальной сети «ВКонтакте» [архив [47]] приписывает его Никите Подгорному [48].

Публичный профиль Подгорного в Facebook [49] показывает, что он состоит в группе «Worldsochi» [50] — это же имя носит один из сайтов, связанный с двумя изученными мной кодами Google Analytics.

Nikita Podgorny's membership of Worldsochi Facebook group.

Членство Никиты Подгорного в группе Worldsochi в Facebook.

Подгорный имеет аккаунт в Pinterest со всего одной записью [51] [архив [52]] — инфографикой достижений России в космосе, взятой с сайта infosurfing.ru [53]. Хотя infosurfing.ru не имеет вставленного кода Google Analytics, его и некоторые сайты в прокремлёвской сети объединяют некоторые черты создания изображений.

Интернет-программа FotoForensics показывает, что изображения с infosurfing.ru [1 [54] 2 [55] 3 [56]], putininfo.com [1 [57] 2 [58]] и вштабе.рф [1 [59] 2 [60]] содержат метаданные, источником которых стала одна и та же версия программного обеспечения: Adobe XMP Core: 5.5-c014 79.151481, 2013/03/13-12:09:15. Само по себе это не является уникальным идентификатором, но может позволить предположить о связи, особенно в контексте дополнительной информации об интернет-личности Подгорного.

Наиболее значим тот факт, что Подгорный указан в [61] слитом списке работников санкт-петербургского «Агентства интернет-исследований», прокремлёвской фабрики троллей, ставшей предметов многочисленных [62] новостных [63] репортажей [64] и расследований [65], включая и статьи [66] «Эха Рунета».

Дата рождения Подгорного, указанная на его странице «ВКонтакте», точно совпадает с датой из слитого документа [61].

Podgorny's date of birth, as shown on his VK profile, compared with listing in the leaked Internet Reseach Agency document.

Дата рождения Подгорного, указанная на странице в социальной сети, в сравнении с указанной в слитой документе “Агентства интернет-исследований”.

Подгорный также дружит в «ВКонтакте» с Игорем Осадчим, который назван в том же списке её одним сотрудником агентства. Осадчий отрицал работу в «Агентстве интернет-исследований» [67] [анг], назвав сливы «неудачной провокацией».

Podgorny-Osadchy VK connection

Связь через “ВКонтакте” Никиты ПОдгорного и Игоря Осадчего.

Когда Global Voices связались с Подгорным, тот не подтвердил и не опровергнул связь с сайтами и не дал никаких дальнейших комментариев.

В следующем посте о прокремлёвской сети сайтов бы более подробно рассмотрим контент, цели и идеологию, стоящую за ними.

В работе над переводом и интерпретациями для этой статьи принимал участие автор «Эха Рунета» Арик Толер [68].