Minulý týden zablokovala americká FBI 32 webů – klonů velkých evropských a amerických zpravodajských médií –, jež vypadaly jako pravé, ale šiřily prokremelské zprávy. Koordinovaná vlivová kampaň, která měla za cíl ovlivnit západní veřejnost, dostala od analytiků název Doppelganger, tedy Dvojník. „Ministerstvo spravedlnosti zablokovalo 32 internetových domén, které ruská vláda a subjekty sponzorované ruskou vládou využívaly k tajné kampani s cílem zasahovat do voleb v naší zemi a ovlivňovat jejich výsledek,“ uvedl americký ministr spravedlnosti Merrick B. Garland. Investigace.cz spolu s partnery zmapovala technickou infrastrukturu, která stojí za evropskými doppelgangery a na níž se podílejí i české firmy.
Fotografie prázdných regálů, jídlo chybějící v evropských supermarketech, německý kancléř Olaf Scholz před turbínou plynovodu Nord Stream 1, policisté bijící demonstranty – koláž z náhodně sesbíraných záběrů sestříhaných tak, aby u čtenáře vyvolaly pocit neklidu. Takto vypadala titulní stránka prokremelského klonu německého listu Süddeutsche Zeitung.
„Pachatel atentátu na Trumpa je v Kyjevě“, „Zelenskyj zatahuje do války Polsko: ještě není pozdě to zastavit“, „Ukrajinská korupce může zabít Evropany“ – to jsou pro změnu titulky na hlavní stránce „dvojníka“ polského listu Polityka.
Podle analytiků organizací EU DisinfoLab a Qurium Media Foundation šlo o koordinovanou dezinformační kampaň. Dostala název Doppelganger, tedy „Dvojník“. Podle Quiria podvodné stránky využívaly technickou infrastrukturu ruských nebo i evropských poskytovatelů hostingových služeb, včetně těch z Velké Británie, Německa a Česka. Naše redakce ve spolupráci s německým investigativním webem Correctiv oslovila klíčové poskytovatele hostingu a pokusila se zjistit, zda jsou si vědomi, že se propaganda šíří pomocí jejich služeb.
[infobox heading=“Qurium Media Foudation”] Qurium Media Foudation je švédská nezisková organizace, která od roku 2014 nabízí bezpečnostní služby ohroženým nezávislým médiím a lidskoprávním organizacím. Qurium v současné době poskytuje zabezpečený hosting organizacím ze 70 různých zemí. Nadace provozuje i hosting Virtual Road, jejž využívá i web investigace.cz. Podrobnější informace o nadaci Qurium nejsou kvůli bezpečnostním důvodům veřejně dostupné.[/infobox]
[caption id=“attachment_42808” align=“aligncenter” width=“1996”]
Doppelgangery mají podobné adresy jako média, která se snaží napodobit. Zdroj: EU DisinfoLab[/caption]
Klony měly stejnou grafiku, logo, a velmi podobnou internetovou adresu jako skutečné zpravodajské stránky. Obsah byl ale zcela překvapivý a západní země vyobrazoval jako dekadentní a trpící pod chaotickými vůdci, přičemž naopak vychvaloval a propagoval Rusko a ruskou zahraniční politiku. Články líčily Ukrajinu jako zkorumpovaný, nacistický stát vedený prolhaným a narcistním Volodymyrem Zelenským. Zpochybňovaly masakr v Buči nebo tvrdily, že západní sankce nefungují, a pomoc Ukrajině popisovaly jako škodlivou pro obyvatele Západu.
Při šíření článků se falešné zpravodajské weby spoléhaly na sociální média. Odkazy sdílely na Twitteru a Facebooku, částečně formou placené reklamy nebo jako příspěvky v komentářích na facebookových stránkách vlivných západních organizací.
[caption id=“attachment_42807” align=“aligncenter” width=“1514”]
Ukázka titulní stránky doppelgangeru The Washington Post | Zdroj: Washingtonpost[.]pm[/caption]O tom, že západní mediální prostředí obsahuje desítky falešných zpravodajských stránek, se veřejnost poprvé dozvěděla koncem září předloňského roku, když analytická organizace EU DisinfoLab ve spolupráci s nadací Qurium Media Foundation vydala analytickou zprávu o probíhající dezinformační vlivové operaci. Jak už bylo řečeno, kampaň dostala název Doppelganger.
Autoři zprávy tou dobou ještě neměli dostatek informací o organizátorech ani objednavatelích této kampaně. Měli však jisté indicie. „Naše šetření nezjistilo konkrétní aktéry, kteří za tím stojí. Mnoho faktů ovšem naznačuje zapojení aktérů z Ruska,“ stálo ve zprávě.
V prosinci 2022 společnost Meta, jež provozuje Facebook a Instagram, přišla s prvním zjištěním, kdo je zodpovědný alespoň za část reklam odkazujících na prokremelské doppelgangery. Meta jmenovala dvě ruské společnosti: Structura National Technologies a Social Design Agency. Uniklé dokumenty z Kremlu ukazují, že šéfové zmíněných společností – Ilja Gambašidze a Nikolaj Tupikin – pracovali přímo se Sergejem Kirijenkem, prvním náměstkem šéfa ruské prezidentské administrativy, a také s další kremelskou úřednicí Sofií Zacharova, která koordinovala kampaň v Evropě a Ukrajině. Na obě společnosti uvalila EU v létě minulého roku sankce.
[infobox heading="V čem je rozdíl mezi doménou a IP adresou?"]Lidé se na internetu pohybují prostřednictvím domén, jako je třeba investigace.cz. Za každou z nich ale stojí číselná IP adresa, která unikátně identifikuje každý počítač připojený k internetu. Pokud tedy do prohlížeče zadáte adresu investigace.cz, počítač si ji nejdříve přeloží na IP adresu 185.200.104.149 a teprve poté stránku navštíví.[/infobox]
Expanze na Západ
Odhalení ale tvůrce kampaně neodradilo – naopak. Akce Doppelganger zamířila ještě dál na Západ. Na konci roku 2023 se na sociálních sítích objevily francouzsky psané reklamy na články klonů popisující dovoz ukrajinských kuřat a vajec jako „nekalou konkurenci“ pro francouzské zemědělce.Mezi dalšími tématy dezinformačních článků byla oznámení o nových balíčcích pomoci pro Kyjev, konfliktu mezi Izraelem a Gazou a protestech evropských zemědělců. Reklamu na tyto články vidělo přibližně 138 tisíc uživatelů Facebooku ve Francii a 37 tisíc uživatelů v Německu. Podle odhadů společnosti Meta vyšla propaganda formou podobných reklam její autory na více než 100 000 dolarů, v přepočtu 2,2 miliony korun.
Analytikovi Paulu Bouchaudovi z neziskové organizace AI Forensics zaměřené na výzkum dezinformací se koncem června podařilo najít další indicii o koordinovanosti dezinformační kampaně na sociálních sítích. Uživatelka jménem Alina Malinova místo úvodního obrázku pro jednu z kampaní omylem nahrála screenshot své pracovní plochy. Na screenshotu bylo vidět, že se podílí na dalších dezinformačních kampaních v mnoha evropských zemích včetně Francie a Německa.
[caption id=“attachment_42750” align=“aligncenter” width=“1200”]
Uživatelka jménem Alina Malinova místo úvodního obrázku pro jednu z kampaní omylem nahrála snímek obrazovky své pracovní plochy. Na screenshotu bylo vidět, že se podílí na dalších dezinformačních kampaních v mnoha evropských zemích včetně Francie a Německa. Zdroj: Meta[/caption]
Technická infrastruktura, kterou doppelgangeři využívali pro svůj provoz, přitom až do letošního června zůstala nepopsaná. Qurium Media Foundation, zabývající se forenzní analýzou v případech kyberzločinců a propagandy, přišla s důležitým zjištěním – výzkumnému týmu se s pomocí anonymní analytické skupiny „antibot4navalny“ podařilo identifikovat jednotlivé body technické infrastruktury, která je používána k provozu stránek doppelgangerů. Mezi více než desítkou poskytovatelů hostingových služeb a datových center byla i celá řada evropských firem, včetně českých a německých.
Dálnice v kybersvětě
Aby byl zastřen původ doppelgangerů, uživatel je skrytě přesměrováván z jedné stránky na další, až se dostane k samotné cílové stránce, na níž se nachází dezinformační obsah. Ne každý uživatel ale skončí na stejné stránce – součástí řetězce jsou totiž weby, které přibližně identifikují polohu uživatele a přesměrují ho na pro něj relevantní cílovou stránku. Český uživatel se tak například nedostane k dezinformacím o lotyšské politice.Ochranné mechanismy sociálních sítí, jež reklamy na problematické weby blokují, je možné obcházet častými změnami v řetězci webů. Dezinformační kampaň proto potřebuje neustálý přísun nových webových adres, tedy prvních stránek v infrastruktuře – podvodných stránek, které sociální sítě zatím nemají označené za nevěrohodné a nemají je zablokované. Jakmile pak provozovatelé sociálních sítích jednu takovou počáteční stránku zablokují, začnou dezinformátoři používat novou, pro sociálně sítě neznámou adresu, jež čtenáře přesměruje na cílovou podvodnou stránku.
Podobné zastírací techniky používají podle organizace Spamhaus, která vyhodnocuje škodlivý internetový obsah, i phishingové kampaně (phishing je typ internetového podvodu využívaný k získávání citlivých údajů pod falešnou záminkou, například falešné e-maily z banky). „Čím delší je řetězec, tím déle je cílová adresa neměnná,“ konstatují odborníci ze Spamhausu pro německý web Correctiv, s nímž naše redakce na této kauze spolupracuje.
Na počátku řetězce je tedy podvodná doména. Stránky, které v podvodném řetězci následují, tedy ty, jež čtenáře přesměrovávají k cílovému obsahu, jsou britské: Qurium uvádí firmy Liber Systems and BL Networks. Obě mají vazbu na Česko, neboť jedním z jejich majitelů je jednatřicetiletý britský občan Jack Leslie Miller, jenž dlouhodobě žije v Praze. Přinejmenším od roku 2019 v Praze provozuje IT živnost. Redakce investigace.cz se s Millerem spojila a požádala ho o rozhovor a vyjádření k poskytování služeb autorům dezinformační kampaně. Miller však žádost o rozhovor odmítl a odkázal nás v případě, že máme podezření ze spáchání trestného činu, na policii.
Cílové adresy, na nichž je umístěn samotný dezinformační obsah doppelgangerů, se podle rozboru týmu Qurium nacházejí v Singapuru a Malajsii.
Servis pro kyberzločince
Podle analytiků Quria neustálý přísun „jednorázových“ počátečních podvodných adres, jež se zobrazují v reklamách na sociálních sítích, alespoň zčásti zajistila další britská firma – TNSecurity, která vznikla teprve koncem srpna roku 2023. Jen několik dní po svém vzniku zaregistrovala firma infrastrukturu, která později sloužila k šíření kampaně doppelgangerů. Od svých zřizovatelů dostala příznačný název Evil Empire, v překladu „Říše zla“.Z letošní zprávy kanadské společnosti Hyas, která monitoruje kybernetickou kriminalitu a škodlivé aktivity na internetu, vyplývá, že TNSecurity se vyznačuje „neobvykle vysokou úrovní aktivity malwaru (škodlivého softwaru, pozn. red.)“. „Společnost TNSecurity mohla být napadena, nebo s kyberzločinci záměrně spolupracuje,“ uvádí se ve zprávě. Část infrastruktury firmy byla podle zjištění Quria v minulosti skutečně využívána skupinou kyberzločinců pod vedením ruského mladíka Igora Dechtjarčuka, po němž v současnosti pátrá FBI.
Kdo stojí za společností TNSecurity? Podle britského obchodního rejstříku je to devatenáctiletá občanka Lotyšska Anastasia Berezina. Novináři německé redakce Correctiv se s ní spojili prostřednictvím chatu na Telegramu, v němž dívka skutečně potvrdila, že je majitelkou této společnosti. Na otázky ohledně role firmy v dezinformační kampani však neodpověděla. Podle zjištění novinářů dotyčná žije v Pskově na severozápadu Ruska, nikoli v Lotyšsku. Dne 25. srpna minulého roku dívka ve svém telegramovém kanálu oznámila, že „byla přijata na pracovní pozici s vyšším příjmem“. O čtyři dny později vznikla TNSecurity. Berezina na svém telegramovém kanálu pravidelně zveřejňuje videa a fotografie. Na těch z její kanceláře je vidět, že minimálně od minulého roku pracuje v autoservisu značky Lada v Pskově.
Česká stopa v Říši zla
Velké množství IP adres využívaných pro dezinformační kampaň si TNSecurity pořídila od bristkého lokálního internetového registru (LIR) Network Management. Status LIR poskytuje firmě oprávnění přidělovat internetové adresy nebo bloky internetových adres koncovým zákazníkům. Technické oddělení firmy Network Management se podle záznamů v RIPE nachází v Praze, firma je však registrovaná na Seychelách. Za firmou stojí Jurij Bogdanov, třiačtyřicetiletý podnikatel původem z Ruska, který mimo jiné stojí v čele ruské společnost IP Market a vlastní českou NTX Technologies s.r.o. Českou firmu založil už v roce 2016, kdy měl trvalé bydliště v Rusku. V létě roku 2022, tedy několik měsíců po začátku války v Ukrajině, změnil adresu svého bydliště na Dubaj. Podle zjištění redakce Bogdanov v Dubaji bydlí dodnes. Navíc je podle britského obchodního rejstříku Bogdanov občanem Svatého Kryštofa a Nevisu, ostrovního státu v Karibském moři.V otevřených zdrojích o Juriji Bogdanovovi není mnoho informací. Jedna z mála zmínek o tomto podnikateli pochází z roku 2019, kdy došlo k výpadku provozu ruského hostingu Ihor. Některé zdroje uvádějí, že servery hostingu byly napadeny jedním ze zaměstnanců firmy a Bogdanov stál za násilným převzetím kontroly nad Ihorem – důvodem měl být údajný konflikt s dalšími spolumajiteli firmy. Investigaci se ale nepodařilo tyto informace ověřit. Podle údajů ruského obchodního rejstříku se Bogdanov skutečně stal majitelem firmy v roce 2019.
[caption id=“attachment_42757” align=“aligncenter” width=“1536”]
V roce 2021 se Jurij Bogdanov zúčastnil konference pro členy RIPE, kde se zapojil do diskuze ohledně odpovědnosti lokálních internetových registrů za své klienty. Zdroj:
https://www.ripe.net/[/caption]
Redakce investigace.cz kontaktovala jednatelku české firmy NTX Technologies, Elenu Stupeňkovou. „Jsem jenom účetní,“ odpověděla a odkázala na Bogdanova. V reakci na vysvětlení reportérky, proč ho kontaktujeme, Bogdanov napsal, že „nemá rád dezinformace“ a projevil vstřícnost ke spolupráci s autory zprávy o doppelgangerech. Redakce investigace.cz proto podnikatele propojila s týmem nadace Qurium a byla přítomná u jejich komunikace. Od Bogdanova jsme však nedostali povolení citovat jeho přímá vyjádření.
Bogdanov během rozhovoru potvrdil, že jeho firma IP Market poskytuje služby i ruskému hostingu Aéza, který organizace Qurium označila za klíčový v dezinformační kampani. Podnikatel poté dodal, že zatím nevidí důvod k vypovězení smlouvy. Přesto kategoricky popřel svůj podíl na hostování propagandistických webů. Samotnou analytickou zprávu, v níž figuruje jeho firma, označil za nesmyslnou a některé důkazy, které poskytla Qurium, za nerelevantní. Určité informace uvedené ve zprávě přislíbil ověřit u svých zaměstnanců. Na otázku, kdo stojí za TNSecurity, analytikům neodpověděl. Na konci několikadenního chatování ale nebylo mezi ním a Quriem dosaženo žádného společného východiska. „Až nám budete chtít skutečně pomoci, ozvěte se,“ napsal jeden z analytiků Quria. Bogdanov na oplátku vyjádřil obavu ohledně toho, jak připravovaný text vyzní. „Článek o dezinformacích by neměl obsahovat dezinformace. Přitom hlavní otázka – kdo je vlastníkem celého systému – pořád není zodpovězena,“ zněla jeho poslední zpráva.
