Интернет-аналитик Александр Лоренс с globalvoicesonline.org провел расследование об интернет-ресурсах «кремлевской пропаганды». Он нашел связь провластных сайтов с сотрудниками так называемой «фабрики троллей», базирующейся сейчас на Савушкина, 55.
Лениздат.Ру приводит полностью перевод материала, опубликованный порталом politota.d3.
В апреле этого года «Радио Свобода» и «Гардиан» рассказали о сайте вштабе.рф — большой фотогалерее пророссийских мемов и демотиваторов. Большинство этих грубых карикатур высмеивает США, Запад и украинских лидеров, в то же время изображая Владимира Путина сильным и героическим.
На сайте ничего не сообщается ни о его разработчиках, ни о тех, кто может стоять за этим сайтом. Заинтригованный такой анонимностью, я использовал ПО с открытыми исходниками Maltego, чтобы собрать публичную информацию, которая могла бы дать ключ к разгадке.
Секреты Google Analytics
С помощью Maltego я узнал, что на сайте используется Google Analytics — онлайновый сервис, позволяющий владельцу сайта собирать статистическую информацию о посетителях. Например, можно узнать их страну, браузер и операционную систему. Для удобства, несколько сайтов могут управляться с одного аккаунта Google Analytics. Этот аккаунт имеет уникальный идентификационный номер (UA), содержащийся в скрипте Google Analytics, который встроен в код сайта. Google предоставляет подробное руководство по структуре системы.
Журналисты и эксперты по безопасности уже ощутили потенциал этого кода для связи анонимных сайтов с конкретным пользователем.
Этот метод приводился в Wired в 2011 году и был процитирован экспертом ФБР в его книге Open Source Intelligence Techniques. Появилось несколько бесплатных сервисов, которые позволяют легко провести обратный поиск идентификаторов Google Analytics. Одним из самых популярных является sameID.net.
Я хотел увидеть, есть ли у человека или организации, что стоит за вштабе.рф, другие сайты с тем же аккаунтом Google Analytics. Просмотр кода сайта дал мне самое главное — идентификационный номер аккаунта. Когда я произвел более широкий поиск, результаты были удивительными — айдишник был связан не менее чем с семью другими сайтами.
Наиболее поразительным из всех был сайт гастролирующей фотовыставки, которая в нескольких расследованиях СМИ была заподозрена в прокремлевских связях. В 2014 году в репортаже Gawker с Нью-Йоркской выставки говорилось о хорошо профинансированной рекламной кампании. В нем также сообщалось о сайте, зарегистрированном в Санкт-Петербурге, что подтверждалось записями из истории WHOIS.
Следуем за белым кроликом
Когда я исследовал сайты, привязанные к аккаунту UA-53176102, я обнаружил что один из них, news-region, был также привязан ко второму аккаунту — UA-53159797.
Этот аккаунт, в свою очередь, был связан с кластером из девятнадцати прокремлевских сайтов. Дальнейшие исследования этих сайтов дали еще три аккаунта, с которыми были связаны и другие сайты.
Ниже схема сети взаимосвязей, которые я установил на сегодня.
Один из сайтов в этой большой сети на первый взгляд кажется ресурсом украинского протестного движения. Но при более внимательном рассмотрении видно, что он пронизан антиукраинскими настроениями, как если бы он был создан разочаровавшимся человеком, поддерживавшим Майдан ранее. Другой сайт, putininfo, вместе с аккаунтами «Мой Путин» в соцсетях содержит материалы, авторы которых от всей души воздают должное российскому президенту.
На момент написания скрипты Google Analytics остаются неизменными и видны на большинстве этих сайтов. Мои данные могут быть легко проверены просмотром исходников в браузере или сохранением страниц и просмотром их в текстовом редакторе.
Кроме Google Analytics сайты имеют другие общие черты: совместное использование Yandex Metrika, Yandex Verification и сервера Nginx — инструментов российской разработки.
Стало ясно, что я, скорее всего, смотрю на большую, хорошо организованную информационную кампанию в интернете. Но, хоть Google Analytics и продемонстрировал общее управление сайтами, он не мог мне сказать, кто за всем этим стоит.
Связь с личностью
Вдохновленный любопытством, я еще немного покопался в публичной информации. Записи регистрации доменов в нескольких местах показали второй общий фактор — адрес электронной почты terder.n@gmail.com. Я обнаружил, что она связана не только с большинством сайтов, которые я уже нашел, но и с новой группой сайтов, которые, по-видимому, все еще в разработке. Их названия предполагают темы, подобные уже существующей сети: либо явная пророссийская полемика, либо более тонкая дезинформация под видом украинской журналистики.
Менее минуты поиска потребовалось, чтобы связать адрес электронной почты с реальной личностью. Группа в российской соцсети «ВКонтакте» указывает на Никиту Подгорного.
Профиль Подгорного в Фэйсбуке показывает, что он является членом группы Worldsochi — одноименной с одним из сайтов, связанных с двумя аккаунтами Google Analytics, которые я рассматривал ранее.
Подгорный имеет акканут в Pinterest с одним «пином» — инфографикой космических достижений России, взятой с сайта под названием infosurfing. Несмотря на то, что infosurfing.ru не имеет встроенного кода Google Analytics, у него есть некоторые сходства в создании изображений с несколькими сайтами из прокремлевской сети.
Онлайн инструмент FotoForensics показывает, что изображения сайта содержат в метаданных одну и ту же версию ПО: Adobe XMP Core: 5.5-c014 79.151481, 2013/03/13−12:09:15. Само по себе это не уникальный идентификатор, но это наводит на мысль о связи, особенно в контексте дополнительной информации о персоне Подгорного.
Наиболее примечательно, что Подгорный есть в утекшем списке сотрудников Санкт-Петербургского «Агентства Интернет-Исследований» — прокремлевской фермы троллей, упомянутой в многочисленных новостных сообщениях и исследованиях.
Подгорный также является ВК-другом Игоря Осадчего, который назван сослуживцем в том же документе. Осадчий опроверг работу на «Агентство Интернет-Исследований», назвав утечку «неудачной провокацией».
Когда Global Voices связались с Подгорным, он не подтвердил и не опроверг свою причастность к сайтам и отказался от дальнейших комментариев.
Напомним, сейчас приемником ООО «Агентство интернет-исследований» (т.н. "логово ольгинских троллей") считается ООО «Интернет-исследования», основанное в марте 2014 года. Открытые источники баз данных и сведения СМИ указывают, что учредитель и генеральный директор «Интернет-исследований» — Михаил Быстров, бывший начальник УМВД по Московскому району Петербурга. По данным «Коммерсанта», в 90-е годы он стоял у истоков Регионального управления по борьбе с организованной преступностью.