В апреле этого года Радио «Свобода» [анг] и The Guardian [анг] сообщили о сайте вштабе.рф, большой галерее пророссийских мемов и «демотиваторов». Большая часть этих грубых карикатур высмеивает американских, западных и украинских лидеров, в то же время изображая Владимира Путина сильным героем.

На сайте нет указаний об авторстве и никаких подсказок о том, кто может за ним стоять. Заинтригованный этой анонимностью, я использовал «шпионскую» программу с открытым исходным кодом Maltego [анг] для сбора любой общедоступной информации, которая могла привести к каким-либо догадкам.

Секреты Google Analytics
Использование Maltego открыло, что сайт использовал Google Analytics, популярный инструмент интернет-аналитики, позволяющий владельцу собирать данные о посетителях, такие как их страна, браузер и операционная система. Для удобства различные сайты могут управляться из одного аккаунта в Google Analytics. Этот аккаунт имеет уникальный идентификационный номер «UA», содержащийся в скрипте Analytics, вставляемом в код сайта. Google предоставляет детальное руководство о структуре системы.

Журналисты и эксперты по безопасности уже использовали потенциал этого кода для связывания анонимных сайтов с определёнными пользователями.

О методе сообщил Wired в 2011 году [анг], он также упоминался экспертом ФБР по киберпреступлениям Майклом Баззелом в его книге Open Source Intelligence Techniques [анг]. Появилось несколько бесплатных сервисов, позволяющих производить лёгкий поиск по ID-номерам Google Analytics. Один из самых популярных — sameID.net [анг].

Я хотел узнать, не управляли ли человек или организация, стоявшие за вштабе.рф, другими сайтами из-под того же аккаунта в Analytics. Просмотр кода сайта дал мне всё — важный ID-номер Google Analytics. Когда я провёл более широкий поиск по нему, результаты стали сюрпризом — он был связан с не менее чем семью другими сайтами (архивная копия) [анг].

Среди них: whoswho.com.ua (архив), видимо направленный на систематизацию компрометирующей информации на украинских чиновников проект, пытающийся выдавать себя за украинский; Zanogo.com (архив), ещё одно хранилище мемов, многие из которых имеют антизападную направленность; и yapatriot.ru (архив), который кажется попыткой дискредитировать российских оппозиционеров. Ещё один сайт, использующий тот же аккаунт в Analytics — syriainform.com (архив) — сайт, явно продвигающий антиамериканский и проасадовский взгляд на события в Сирии.

Наиболее поражающим стало присутствие Material Evidence — сайта тура фотовыставки, которая стал предметом нескольких журналистских расследований в связи с предполагаемыми прокремлёвскими связями. В 2014 году сайт Gawker написал о выставке в Нью-Йорке [анг], прокомментировав большую, хорошо профинансированную рекламную кампанию. Они отметили, что её сайт был зарегистрирован в Санкт-Петербурге, что подтверждается данными по истории с WHOIS [анг].

Вниз по кроличьей норе
Исследуя сеть сайтов, связанных с аккаунтом UA-53176102, я обнаружил, что один из них, news-region.ru, также был связан [анг] со вторым аккаунтом в Analytics: UA-53159797 (архив).

Это число, в свою очередь, связано с дальнейшим набором девятнадцати прокремлёвских сайтов. Дальнейшее изучение этих страниц помогло найти ещё три аккаунта в Analytics, с дополнительными привязанными к ним сайтами. Ниже находится диаграмма отношений, которых я установил к настоящему времени.

Один из сайтов в этой большей сети, emaidan.com.ua (архив) на первый взгляд кажется легитимным информационным ресурсом украинского протестного движения. Но более близкое рассмотрение показывает, что он пронизан нарастающими антиукраинскими настроениями, как будто посты писал разочаровавшийся бывший сторонник Майдана. putininfo.com (архив) — прославление российского президента, сайт дополняют аккаунты «Мой Путин» в социальных сетях.

На момент написания статьи коды Analytics оставались неизменёнными и видимыми на большинстве этих сайтов. Полученные мной результаты могут быть легко проверены путём просмотра их исходного кода — в браузере или сохранением страницы и просмотром её в текстовом редакторе.

Помимо Google Analytics у сайтов есть другие общие черты: сайты в сети характеризует общее использование «Яндекс.Метрики», Yandex Verification и сервера Nginx — все инструменты сделаны в России.

Стало ясно, что я скорее всего смотрел на большую, хорошо организованную информационную интернет-кампанию. Но в то время как код Google Analytics показывал общее управление сайтами, он не мог сказать мне, кто стоит за ними.

Личная связь?
Движимый любопытством, я ещё немного «покопался» в общедоступной информации. Данные о регистрации домена в нескольких местах [1 2 3] открыли второй общий фактор: адрес электронной почты terder.n@gmail.com. [Архив: 1 2 3 4, все – анг]. Я обнаружил, что он связан не только со многими из уже определённых мной сайтов, но и с новой группой сайтов, судя по всему находящейся в разработке. Их названия предполагают темы, схожие с существующей сетью: либо нескрываемая пророссийская полемика, либо более тонкая дезинформация под маской украинской журналистики. Среди них: antiliberalism.com, dnepropetrovsknews.com и maidanreload.com.

Меньше минуты поиска потребовалось, чтобы связать адрес почты с реальной личностью. Группа в российской социальной сети «ВКонтакте» [архив] приписывает его Никите Подгорному.

Публичный профиль Подгорного в Facebook показывает, что он состоит в группе «Worldsochi» — это же имя носит один из сайтов, связанный с двумя изученными мной кодами Google Analytics.

Подгорный имеет аккаунт в Pinterest со всего одной записью [архив] — инфографикой достижений России в космосе, взятой с сайта infosurfing.ru. Хотя infosurfing.ru не имеет вставленного кода Google Analytics, его и некоторые сайты в прокремлёвской сети объединяют некоторые черты создания изображений.

Интернет-программа FotoForensics показывает, что изображения с infosurfing.ru [1 2 3], putininfo.com [1 2] и вштабе.рф [1 2] содержат метаданные, источником которых стала одна и та же версия программного обеспечения: Adobe XMP Core: 5.5-c014 79.151481, 2013/03/13-12:09:15. Само по себе это не является уникальным идентификатором, но может позволить предположить о связи, особенно в контексте дополнительной информации об интернет-личности Подгорного.

Наиболее значим тот факт, что Подгорный указан в слитом списке работников санкт-петербургского «Агентства интернет-исследований», прокремлёвской фабрики троллей, ставшей предметов многочисленных новостных репортажей и расследований, включая и статьи «Эха Рунета».

Дата рождения Подгорного, указанная на его странице «ВКонтакте», точно совпадает с датой из слитого документа.

Подгорный также дружит в «ВКонтакте» с Игорем Осадчим, который назван в том же списке её одним сотрудником агентства. Осадчий отрицал работу в «Агентстве интернет-исследований» [анг], назвав сливы «неудачной провокацией».

Когда Global Voices связались с Подгорным, тот не подтвердил и не опровергнул связь с сайтами и не дал никаких дальнейших комментариев.

В следующем посте о прокремлёвской сети сайтов бы более подробно рассмотрим контент, цели и идеологию, стоящую за ними.