Alături de un consorțiu de jurnaliști de investigație, Le Monde a avut acces la documentele interne ale unui subcontractant rus de servicii, care a creat instrumente folosite pentru campanii de dezinformare în Ucraina sau Armenia.
<< Câteva mii de pagini de documente tehnice, în limba rusă, care descriu în detaliu un vast sistem de control pe internet și arme digitale: pentru prima dată, un consorțiu de jurnalişti, entitatea germană de investigaţii, Paper Trail Media, a avut acces în culisele unui furnizor major de arme digitale pentru serviciile de securitate ruse.
Această companie privată, numită „Vulkan”, dispune acreditări secrete de apărare. Este unul dintre principalii contractori care proiectează, în numele mai multor servicii de informații rusești, instrumente pentru a le facilita activitățile „cibernetice” – de la propagandă online până la atacuri informatice uneori distructive, inclusiv spionaj. Aceste documente interne au fost transmise cotidianului Süddeutsche Zeitung, care le-a împărtășit cu Paper Trails Media, de către o sursă care a dorit să arate că „GRU [serviciul de informații militare] și FSB [serviciul de securitate internă] se află în spatele acestei companii”.
Vulkan a dezvoltat într-adevăr diferite „sisteme” pentru unitățile legate de aceste două servicii de informații rusești, conform documentelor pe care le-au putut consulta Le Monde și ceilalți parteneri ai Paper Trails Media (The Guardian, The Washington Post, Süddeutsche Zeitung, Der Spiegel…). Printre clienții menționați în acorduri sau borderouri de plată se numără unitatea militară 74455, cunoscută popular sub numele de „Sandworm”, echipa de hackeri GRU acuzată că se află la originea „MacronLeaks”, o tentativă de amestec în alegerile prezidențiale din Franța din 2017. De asemenea, drept clienți sunt menționate unitatea 22280 („programe speciale”) din armata rusă sau unitatea de informații 33949 a SVR.
Chiar la începutul anilor 2010, Vulkan era legat de operațiunile de hacking efectuate de SVR, conform informațiilor culese de Threat Analysis Group de la Google, serviciul companiei care se ocupă de securitatea computerelor și care reunește unii dintre cei mai buni specialiști din lume. El a reușit să stabilească o legătură între companie și trimiterea de e-mailur-capcană care distribuie malware-ul MiniDuke, folosit exclusiv de SVR.
Un proiect complet de sistem de monitorizare a internetului
Documentele interne arată, de asemenea, că Vulkan lucrează îndeaproape cu Institutul de Cercetare în Radiocomunicații Rostov-pe-Don (RNIIRS), o verigă cheie în complexul militar-industrial rus, care dezvoltă numeroase proiecte pentru centrul pentru măsuri tehnice și operaționale al FSB, responsabil cu supravegherea electronică.
Tocmai pentru RNIIRS a înființat Vulkan , din 2016, ceea ce este cu siguranță principalul său proiect: Amezit-B, un set de servicii foarte complete destinate controlului informațiilor online. Împărțit în mai multe module, Amezit-B permite atât practicarea supravegherii în masă a traficului dintr-o regiune, blocarea accesului la anumite site-uri sau redirecționarea utilizatorilor de internet către alte adrese, dar și crearea de conturi false pe rețelele de socializare pentru a distribui articole, mesaje sau videoclipuri… O gigantică „cutie de instrumente” all-in-one care permite, teoretic, să controlezi cât mai aproape tot ce se spune online.
A fost acest sistem finalizat și implementat? Și dacă da, unde și în ce context? În cazul modulelor destinate monitorizării și controlului traficului pe internet, nu s-a putut stabili dacă acestea au fost dislocate atât pe teritoriul Rusiei, cât și în regiunile ocupate de Rusia, precum Donbas și Crimeea, pentru care par a fi cu precădere destinate, în spiritul lor, aceste instrumente. Documentele pe care le-a consultat Le Monde, unele foarte conceptuale, sunt zgârcite în detalii tehnice despre modul în care Amezit-B ar trebui să monitorizeze în mod concret internetul.
„Nu știm astăzi cum sunt captate și deviate comunicațiile [în contextul acestui sistem]”, subliniază Félix Aimé, șeful analizei amenințărilor, la compania franceză de securitate informatică, Sekoia, care a analizat o parte a documentelor. Cu toate acestea, descrierile tehnice sugerează că este necesar accesul fizic la routerele de telecomunicații.
Pe de altă parte, pe baza exemplelor și datelor din documente, Le Monde și partenerii săi au reușit să stabilească faptul că instrumentele din cadrul Vulkan au fost într-adevăr folosite pentru a crea și anima o rețea de conturi false pe rețelele de socializare, în special pe Twitter, și a identificat o mie. Aproape exclusiv vorbitoare de limbă rusă, aceste profiluri, în mare măsură automatizate și nu foarte elaborate, au servit drept vehicule pentru campanii de influență sau dezinformare, care vizează în special Ucraina și alte țări de la granița cu Rusia.
Cum a identificat Le Monde peste o mie de conturi false rusești
Ediția canadiană a programului „Top Chef” i-a ajutat indirect pe jurnaliştii Le Monde și consorțiul „Vulkan Files” să identifice câteva sute de conturi false legate de ecosistemul de dezinformare rus. În timp ce investiga un instrument pentru crearea și gestionarea avatarurilor de social media conceput de compania Vulkan în numele serviciilor de informații rusești, consorțiul a descoperit că dezvoltatorii au făcut mai multe erori.
Primul, și cel mai important, este că sistemul în cauză, Amezit-B, a refolosit de ceva vreme aceleași fotografii de profil dintr-un cont fals în altul. O problemă identificată în cele din urmă de companie, potrivit unui document intern, dar care a permis Le Monde să găsească în jur de 30 de conturi de Twitter de limbă rusă atribuite lui Vulkan. Toți au folosit ca fotografii de profil aceleași portrete ale concurenților „Top Chef”.
Această eroare comică nu este singurul element folosit de consorțiu pentru a găsi urme ale Vulkan, pe rețelele de socializare. Această muncă de reconstituire s-a bazat pe capturi de ecran ale conturilor, fraze folosite de conturile automate sau funcții specifice Amezit-B, detaliate în documente. Așadar, elemente care au făcut posibilă reconstituirea unui grup inițial de profiluri false pentru a le analiza comportamentul. De acolo, consorțiul a definit o serie de cuvinte cheie, link-uri și criterii de discriminare care au făcut posibilă descoperirea a peste o mie de conturi atribuibile instrumentului Vulkan.
Campanii de dezinformare asupra Ucrainei
În 2017, cu câteva zile înainte de alegerile parlamentare din Armenia, au circulat zeci de conturi false de Twitter, cu hashtag-urile #ArmVote, #ArmVote17 și #usaid, un e-mail fals atribuit Agenției Statelor Unite pentru Dezvoltare Internațională (USAID). Trebuia să demonstreze că Statele Unite încearcă să se amestece în alegeri. La momentul respectiv, centrul de cercetare DFRLab identificase această operațiune, fără a putea atribui paternitatea, și publicase mai multe capturi de ecran ale conturilor de Twitter suspendate apoi de platformă. Conturile identificate de cercetători la acel moment, împreună cu cel puțin alte cinci conturi încă accesibile, descoperite de Le Monde, sunt atribuite direct de către investigația consorțiului rețelei de avataruri create folosind Amezit-B.
O campanie similară a fost desfășurată în mai 2016, când aproape două sute de conturi false de Twitter, legate de rețeaua Amezit-B, au distribuit masiv o scrisoare falsă atribuită Consulatului General German din Donețk. În acest document, fotografiat, tipărit, rupt pe jumătate și așezat pe o masă, pentru a spori credibilitatea, consulul Daniel Lissner ar fi cerut Organizației Tratatului Atlanticului de Nord să înăsprească sancțiunile împotriva Rusiei, precum și să interzică țării participarea la Eurovision, ca răspuns la anexarea Crimeei. Un document „neautentic”, confirmă, fără alte detalii, Ministerul german de Externe. Crearea de documente false este una dintre armele clasice de dezinformare, în special în cadrul operațiunilor de influență derulate de actorii ruși, inclusiv GRU și SVR.
Ucraina, vizată în mod particular
Campaniile organizate cu Amezit-B și pe care Le Monde și partenerii săi le-au putut identifica desenează un mozaic al centrelor de interes ale serviciilor de informații ruse, începând cu Ucraina. În iulie 2017, această rețea, de exemplu, a difuzat un material în care acuza serviciile de securitate ucrainene, SBU, că au pus la cale asasinarea cu o mașină-capcană a unui înalt oficial ucrainean din serviciile de informații militare, Maksim Șapoval. O campanie orchestrată de peste o sută de conturi de Twitter la puțin peste două săptămâni de la moartea ofițerului. La finalul anchetei, serviciile de securitate ucrainene l-au acuzat formal de crimă pe un bărbat suspectat că lucra la FSB.
Cel puțin două campanii legate de Amezit-B l-au vizat, de asemenea, pe fostul prim-ministru ucrainean pro-european, Arseni Iațeniuk, în timp ce altele s-au concentrat mai precis pe Crimeea. În general, majoritatea conținutului transmis de „trolii” gestionați de Amezit-B și pe care Le Monde i-a identificat s-a concentrat pe ceea ce Rusia consideră a fi „zona sa de influență” extinsă. Fie au difuzat material propagandistic pe atacul de la Groznîi ( Cecenia) din 2014 fie, cum a fost cazul în mai multe rânduri, au distribuit articole care îi acuzau pe agenții CIA că se află în spatele tentativei de lovitură de stat din Turcia. Iar când conturile false au fost folosite, în 2016, pentru a o acuza pe candidata de atunci la președinția americană, Hillary Clinton, că a primit în mod necuvenit bani de la Matteo Renzi, mesajul a fost difuzat exclusiv în rusă, și nu pentru americani.
În unele cazuri, campaniile folosesc dispozitive elaborate, cum ar fi site-uri false care imită în toate privințele mediile legitime. Precum acest site care falsifică adresa publicației ucrainene Pravda, dar înlocuiește „v”-ul adresei sale web cu un „w”, și care a fost distribuit pe scară largă, prin conturi false, în 2014. Pe site-ul fals de destinație, existau copii ale articole originale din Pravda ucraineană, dar și articole fabricate, folosite apoi pe site-urile rusești unde erau prezentate ca informații „publicate de presa ucraineană”.
Urmele digitale leagă, de asemenea, acest site fals de un nume de domeniu care uzurpă identitatea agenției americane anti-doping, o țintă obișnuită a serviciilor de informații rusești în anii 2010. Uzurparea site-urilor de informații este o practică destul de comună în sferele dezinformarii: în septembrie 2022, ONG-ul EU Disinfo Lab și cercetătorii de la Qurium au dezvăluit o operațiune de influență pro-rusă bazată pe zeci de nume de domenii care imită adresele site-urilor media europene.
Suspiciuni asupra FSB
Cine controla aceste rețele de conturi false? Documentele pe care Le Monde și partenerii săi le-au putut consulta nu stabilesc cu exactitate destinatarii finali ai acestui instrument. Dar subiectele campaniilor și difuzarea lor aproape exclusivă în limba rusă sugerează că acestea au vizat în primul rând un public intern – o prerogativă a FSB.
Campaniile în sine au vizat, în cea mai mare parte, fie afaceri interne, fie țări legate de sfera de influență rusă, iar site-urile folosite pentru a transmite anumite informații erau toate site-uri false de limbă rusă obscure sau entități mass-media ruse puțin cunoscute publicului larg, care nu sunt cele utilizate de obicei în contextul operațiunilor de influență în restul lumii. Foști angajați Vulkan, intervievați de consorțiu, care nu au lucrat direct la Amezit-B, confirmă că mulți dintre directorii companiei provin din armata rusă și că angajații cred că unele proiecte au fost destinate FSB. Solicitate în mai multe rânduri, nici Vulkan, nici Kremlinul nu au răspuns.
Au fost folosite instrumentele Vulkan în alte campanii de dezinformare, după 2017? Dacă investigația Le Monde și a partenerilor săi a făcut posibilă descoperirea unor conturi de propagandă de limbă rusă active mai recent și având o legătură slabă cu rețeaua identificată, nu a fost posibil să le atribuim tocmai lui Amezit-B. Este probabil ca acest instrument să nu mai fi fost utilizat după această dată sau ca clienții Vulkan și-au rafinat operațiunea, făcându-i mai dificil de identificat. Contactat pentru întrebări, Twitter a răspuns solicitărilor noastre de interviu cu un emoji „caca”, răspuns automat dat acum la toate solicitările trimise serviciului său de presă.
Totuși, mai multe elemente arată că, după 2017, Vulkan a continuat să lucreze la proiecte de dezinformare: în 2021, un e-mail atestă o demonstrație de Amezit-B efectuată pentru oficialii militari. În același an, un „bilet” intern semnat de un dezvoltator Vulkan a enumerat mai multe erori și caracteristici care trebuiau rafinate în „PRR”, modulul „rețele sociale” al lui Amezit. Pe 20 aprilie 2022, la două luni după începerea invaziei din Ucraina, unul dintre conturile controlate de Vulkan, tăcut din 2019, a fost reactivat, pentru a publica un singur mesaj: „Super bun lider #Putin #Moscova”. >>
