Nyílt forráskódú szoftver leplezte le a Kreml-párti online kampányt

Idén áprilisban a Szabad Európa Rádió/Szabadság Rádió és a Guardian is beszámolt a вштабе.рф weboldalról, ahol oroszbarát mémek és „demotiváló” illusztrációk egész galériája található. Ezeknek a durva karikatúráknak nagy része az Egyesült Államokat, a Nyugatot és az ukrán vezetőket gúnyolja, miközben Vlagyimir Putyin az erő és a hősiesség megtestesítőjeként van ábrázolva.

A weboldal nem közli, ki készítette a designt és azt sem tünteti fel, hogy kik az üzemeltetői. Mivel ez az anonimitás kíváncsivá tett, a Maltego nyílt forráskódú hírszerzési szoftvert használva olyan mindenki számára elérhető információt gyűjtöttem, ami talán nyomra vezethet.

79%

Év végéig még

21 125 027 forint

hiányzik a

költségvetésünkből.

Támogasd az Átlátszó

tényfeltáró munkáját!

atlatszo.hu/tamogatom

A Google Analytics titkai
A Maltego segítségével kiderült, hogy a weboldal Google Analytics-et használ, mely egy gyakran használt online mérőeszköz. Lehetővé teszi a weboldal tulajdonosának, hogy statisztikákat készítsen látogatóiról olyan információkkal, mint a kereső országa, böngészője és operációs rendszere. Az egyszerűség kedvéért egy Google Analytics fiókkal számos oldal is kezelhető. Ennek a fióknak van egy egyedi „UA” azonosítója, melyet a weboldal kódjába ágyazott Analytics szkript tartalmaz. A Google egy részletes útmutatót is biztosít a fiókstruktúrák megértéséhez.

Újságírók és biztonsági szakértők már felhívták a figyelmet arra, hogy a kóddal az anonim weboldalakat össze lehet bizonyos felhasználókkal kötni.

A módszert a Wired 2011-ben írta le, és Michael Bazzell, az FBI kiberbűnözési szakértője is megemlítette „Nyílt forráskódú hírszerző módszerek„ c. könyvében. Számos olyan ingyenes szolgáltatás is megjelent, amivel egyszerűen vissza lehet keresni Google Analytics azonosítókat. Ezek közül a legnépszerűbb a sameID.net.

Kíváncsi voltam, hogy a вштабе.рф mögött álló személy, vagy szervezet más oldalt is működtet-e ugyanarról az Analytics fiókról. A weboldal forráskódját megnézve megkaptam a mindennél fontosabb Google Analytics azonosítót. Miután lefuttattam egy átfogóbb keresést, meglepő eredményeket kaptam. A fiókhoz nem kevesebb, mint hét másik weboldal volt hozzárendelve (archivált másolat).

Ezek közt volt a whoswho.com.ua (archívum), melynek nyilvánvaló célja, hogy ukrán tisztviselőkről kompromittáló információkat gyűjtsön ukrán projektnek álcázva magát, a Zanago.com (archívum), mely szintén egy mémgyűjtemény, köztük sok Nyugat-ellenes mémmel. A fiókhoz kapcsolt weboldalak közt van továbbá a yapatriot.ru (archívum), mely orosz ellenzékieket próbál meg lejáratni, és a syriainform.com (archívum) is, mely a szíriai események USA-ellenes és Asszad-párti vonulatát támogatja.

A legmegdöbbentőbb azonban a Material Evidence volt, mely annak a vándorló fotókiállításnak a weboldala, mely tárgya volt számos médiakutatásnak is állítólagos Kreml-barát kapcsolatai miatt. 2014-ben a Gawker számolt be a New York-i kiállításról és annak széleskörű és nagy költségvetésű reklámkampányáról. Megjegyezték továbbá, hogy a weboldalt Szentpéterváron regisztrálták, és ezt a WHOIS adatbázisa is megerősítette.

A labirintus közepén
Miközben az UA-53176102 fiókhoz tartozó weboldalak hálózatát kutattam, felfedeztem, hogy a news-region.ru egy másik Analytics fiókhoz is hozzá van adva, az UA-53159797-hoz (archívum).

Ehhez az azonosítóhoz pedig további 19 Kreml-párti weboldal tartozott. Majd ezeknek a weboldalaknak a vizsgálata további három Analytics fiókhoz vezetett, számos hozzájuk rendelt weboldallal. Lent látható az a hálózati diagram, melyet ezekről az összefüggésekről készítettem.

Ennek a nagyobb hálózatnak az egyik weboldala, az emaidan.com.ua (archívum) első ránézésre az ukrán tüntetések egy megbízható forrásának tűnik. Azonban, ha közelebbről megnézzük, kiderül, hogy erősődő ukrán-ellenes érzelmekkel van tarkítva, mintha egy kiábrándult, korábban Majdan-párti szerző írása lenne. A putininfo.com (archívum) pedig egy ragyogó dicsőítése az orosz elnöknek, „My Putin” néven megjelenő közösségi média fiókokkal kiegészítve.

Amikor az írás készült, a legtöbb oldalon az Analytics-kódok változatlanok voltak és láthatóak. A felfedezéseimet könnyen lehet igazolni az oldal forráskódjának ellenőrzésével a böngészőn keresztül, vagy az oldal mentése után szövegszerkesztőben megnyitva.

A Google Analyticsen kívül több közös vonása is volt az oldalaknak: mindegyik használta a Yandex Metrika, Yandex Verification és az Nginx szervereket, melyek mind orosz készítésű eszközök.

Világossá vált, hogy egy hatalmas, jól szervezett online információs kampányra bukkantam. De annak ellenére, hogy a Google Analytics-kód egyértelművé tette, hogy az oldalak ugyanahhoz az érdekeltséghez tartoznak és ugyanazok kezelik őket, még mindig nem derült ki, hogy ki áll mögöttük.

Személyes érdekeltség talán?
A kíváncsiságtól hajtva tovább kutattam a nyilvánosan hozzáférhető információk között. A domain regisztrációs adatok több helyen is [1 2 3]  elvezettek még egy közös tényezőhöz, a [email protected] emailcímhez. [Archívum: 1 2 3 4]. Kiderült, hogy ez az emailcím nem csak az általam azonosított weboldalakhoz köthető, hanem weboldalak újabb csoportjához is, melyek jelenleg fejlesztés alatt állnak. A címek a már létező weboldalak témáihoz hasonlókat sugallnak: vagy nyíltan oroszbarát hangulatkeltések, vagy hiteles ukrán újságírásnak álcázva terjesztenek hamis információkat. Ezek közt van az antiliberalism.com, a dnepropetrovsknews.com és a maidanreload.com.

Alig egy perc keresgélés után sikerült az email címet valós személyhez kötni. Egy csoport az orosz közösségi oldalon, a VKontaktén [archívum] Nikita Podgornijhoz köti az email címet.

Podgornij nyilvános Facebook profilja szerint tagja egy Worldsochi nevű csoportnak, mely pontosan megegyezik az egyik általam vizsgált, két Google Analytics kóddal összekötött weboldal nevével.

Podgornijnak van egy Pinterest fiókja is egyetlen képpel [archívum], mely egy infografika az infosurfing.ru oldalról az oroszok világűrben elért eredményeiről.

Az online FotoForensics eszköz megmutatja, hogy a infosurfing.ru [1 2 3], a putininfo.com  [1 2] és a вштабе.рф [1 2] képei olyan metaadatokat tartalmaznak, melyeknek forrása egy azonos verziójú szoftver: Adobe XMP Core: 5.5-c014 79.151481, 2013/03/13-12:09:15. Ez magában nem egy egyedi azonosító, de sokatmondó lehet, különös tekintettel további információkra Podgornij online személyiségéről.

Sőt, Podgornij szerepel a szentpétervári Internetkutatási Központ alkalmazottainak kiszivárgott listáján, mely egy Kreml-barát trollgyár, ami a hírekben és a kivizsgálásokban is gyakran szerepelt, többek közt a RuNet Echo saját beszámolóiban.

A Podgornij VKontakte profilján megadott születési dátum megegyezik a kiszivárgott dokumentumon szereplővel.

Podgornij ismerőse a VKontaktén Igor Oszadcsijnak, aki szintén szerepel a listán alkalmazottként. Oszadcsij azonban tagadta, hogy az Internetkutató Központnak dolgozna, és a kiszivárogtatott dokumentumot „sikertelen provokációnak” nevezte.

A Global Voices megkeresésére Podgornij nem erősítette meg, és nem is tagadta, hogy köze lenne a weboldalhoz, és nem kívánta kommentálni az ügyet.

A következő Kreml-párti weboldalhálózatról szóló posztban részletesebben fogunk foglalkozni azok tartalmával, céljaikkal és az oldalak mögött álló ideológiával.

---