AB'deki en büyük dezenformasyon operasyonlarından biri olarak kabul ediliyor: Rusya tarafından kontrol edilen “Doppelgänger kampanyası”. Correctiv araştırma platformundan Alexej Hock ve Max Bernhard, Pazartesi günü Hamburg'daki 38. Kaos İletişim Kongresi'nde (38C3) bunun arkasındaki teknolojiye dair bilgiler verdi. Bu nedenle aktörler, propagandalarını ve sahte haberlerini dünya çapında yaymak için çevrimiçi dolandırıcıların ve diğer siber suçluların araç kutusunu kullanıyor. Bunlar arasında öncelikle kimlik hırsızlığı, çalıntı kredi kartlarının kullanımı, kurşun geçirmez barındırma, karartıcı gizleme hizmetlerinin kullanımı ve çok aşamalı yönlendirme mekanizmaları yer alıyordu.
Reklamcılık
Bernhard, görsel ikiz kampanyasının iki yılı aşkın bir süredir devam ettiğini bildirdi. Bu, Rusya'nın Ukrayna'ya yönelik saldırganlık savaşının başlamasından kısa bir süre sonra başladı. Odak noktası, Spiegel, Le Parisien veya Fox News gibi Alman, Fransız ve ABD medyasını taklit eden sahte haberler içeren web siteleridir. Ayrıca Güvenilir Güncel Haberler gibi özel bloglar da var, ancak başlıktaki “Rusça” ifadesi daha sonra değiştirildi. St.Petersburg ve diğer Rus şehirlerindeki trol fabrikaları uzun zamandır biliniyor. Doppelgänger için gazeteciler, İsveçli ortak kuruluş Kurium ile işbirliği içinde Structura, Sosyal Tasarım Ajansı ve Argon Labs'ı yürütücü şirketler olarak belirlediler.
Bernhard, AB ve İngiltere tarafından yaptırım listelerine alınan bu şirketlerin doğrudan Rusya başkanlık yönetimine ve Savunma Bakanlığı'na bağlı olduğunu vurguladı. Kremlin tarafından “büyük dijital etki” operasyonlarını yürütmek üzere görevlendirildiler. Bunu yapabilmek için içeriği sosyal medya aracılığıyla dağıtacak sağlam bir altyapıya, barındırmaya, yönlendirmelere ve mekanizmalara ihtiyaçları vardı. Etkileyiciler, Telegram kanalları ve içerik üreticileri de daha az önemli değil.
(Resim: CC by 4.0 media.ccc.de)
Ana bilgisayar sağlayıcıları bazen özel olarak kurulur
Bunun ilham kaynağı örneğin X'teki, Doppelgänger'ın reklamlarına tıpatıp benzeyen reklamlardı. Alman haber portallarının tasarımında “Alman Bundesbank Sahra Wagenknecht'e dava açıyor” yazısı okunabiliyor. Buna tıklayan herkes genellikle az çok gerçek kripto para birimleri için bir soygun piramit şemasıyla karşılaşır.
Hock, bu tür dolandırıcılık kampanyalarında ve doppelganger kampanyalarında, v4utp3.djovn.shop gibi göze çarpmayan bir URL'nin sonuçta çeşitli dolambaçlı yollardan spiegel.ltd gibi bir alana yönlendirdiğini açıkladı. Arada, Facebook, X & Co.'daki test ekiplerinin “beyaz sayfa”ya ulaşmasını sağlayan bir filtre süreci bulunmaktadır. Bernhard, sosyal ağ kontrolünü atlamanın yönteminin hizmetleri gizlemek olduğunu ekledi. Platform çalışanları yönlendirme bağlantılarını ve bunların nereye yönlendirildiğini kontrol etti. Ancak gerçek amaç bu tür hizmetler nedeniyle gizlenebilir. Sosyal medya moderasyon ekibini, botları veya gerçek kullanıcıları birbirinden ayırmak mümkündür. Bu tür gizleme Rusya'da büyük bir iştir. Bunun için en büyük forum FB-Killa'dır. Ödeme kripto para birimleriyle anonim olarak yapılır.
Araştırmacılara göre, barındırma tarafında propagandacılar tek kullanımlık, ara ve sürekli değişen Keitaro alan adlarını kullanıyor. Bernhard, ilgili sağlayıcıların bazen genç Ruslar tarafından özellikle bu tür amaçlar için kurulduğunu açıkladı. Birçoğu servis sağlayıcı Aeza ile bağlantılı. Bu alt şirketlerden biri, kurucusu sözde Letonyalı olan yirmi yaşındaki Anastasija B. olan TNSecurity'dir. Kendisiyle iletişime geçildiğinde kendisini kuaförlük işinden yakın zamanda ayrılmış bir Rus kadın olarak tanımladı. Şirketi onun yönettiği çok şüpheli. Şirket artık sıfır gün açıklarından yararlanma konusunda uzmanlaştı.
Batılı şirketler tepki gösterdi
Bernhard'a göre Doppelgänger ayrıca barındırma konusunda Hetzner, VDSina.ru, Cloudflare, Hostinger, Shinjiru, Zomro ve Stark Industries'e güveniyor; ikinci sağlayıcı Batı ülkelerine yönelik DDoS saldırıları için defalarca kullanılıyor. Müşterileri arasında siber çete Fin7 de yer alıyor. Hock, icat edilen ve çalınan kimliklerin aşağıdaki Batılı şirketler için kullanıldığını açıkladı. Yaklaşık 70-putin-freunde.de veya Landwirtinnen.de, belirli bir Leonhard Repmpe K için .de alan adı yönetimi Denic'e kayıtlıydı. Freikorps.press ve delfi.top, kendisine atfedilen diğer adreslerdir. FBI'ın el koyma emri şablonuna göre bunun parası Konstantin P.'den geliyor. Hock'a göre K. gerçekten var ama kendisini kimlik hırsızlığının kurbanı olarak tanımlıyor. FBI, uzun alan adı listelerine sahip iki ilgili kişinin daha adını verdi.
Bernhard, tek kullanımlık alan adlarının DMarket gibi pazaryerleri üzerinden bile kiralanabileceğini ekledi. Ama olup biteni çaresizce izlemek zorunda değilsiniz. Hock mutlu bir şekilde, hizmetlerinin ikizler tarafından kötüye kullanıldığına dair işaretlerin ardından, en azından büyük Batılı şirketlerin bağlantılı bireylere hizmet sunmayı bıraktığını söyledi. Bu nedenle operatörlerin sürekli olarak yeniden yapılanması gerekecekti. Yönlendirme zincirinin tamamı yazın ve sonbaharda çalışmıyordu ve bot bağlantıları hiçbir yere ulaşmıyordu. Hock şunu varsayıyor: “Kampanya artık önemli bir hasara neden olamaz.”
Bernhard'a göre, Ukraynalı gizleme servisi Kehr de benzerlerin kanıtlanması üzerine ilgili hesapları kapattı. Aktarılan dezenformasyonun ne kadar başarılı olduğunu söylemek zor. Propagandacılar sonuçta mevcut anlatılardan yararlanmaya çalıştılar. Ancak ulaşılan temas rakamlarını çarpıtarak sadece hedef kitlelerine değil, “Kremlin'e de” yalan söylüyorlar. Bavyera Eyalet Anayasayı Koruma Dairesi, Ağustos ayında, Doppelganger altyapısı aracılığıyla 14 ay içinde 700'den fazla hedef web sitesine yaklaşık 8.000 bireysel kampanyanın dağıtıldığını tahmin etti. Bunlar yalnızca sekiz ayda yaklaşık dörtte üç milyon okuyucuya ulaşacaktı.
(adet)
Bir yanıt yazın