Het Cyber Threat Research Team van HarfangLab heeft onderzoek gedaan naar de informatiemanipulatie-operaties van Doppelgänger in de periode van half juni tot half juli. Hierbij is specifiek gekeken naar de activiteiten in Europa en de Verenigde Staten, waar de politieke verkiezingen momenteel de media en sociale media domineren. Het onderzoek geeft inzicht in de tactieken, motivaties en de bijbehorende infrastructuur die Doppelgänger inzet.
Doppelgänger duidt een reeks informatiemanipulatie-operaties aan die gebruikmaken van sociale netwerken en digitale media om de belangen van Rusland ondersteunen. Deze operaties worden gekenmerkt door het imiteren van populaire nieuwswebsites om nepnieuws te verspreiden. Aangezien HarfangLab in Frankrijk is gevestigd en voornamelijk in Europa opereert, besloot het Cyber Threat Research Team op zoek te gaan naar een mogelijke Doppelgänger-campagne tijdens de onverwachte parlementsverkiezingen in Frankrijk in juni.
Wat is de architectuur van de verspreiding van valse informatie?
Doppelgänger-operaties zijn gericht op het verspreiden, optimaliseren en versterken van verzonnen, valse of soms zelfs legitieme informatie op sociale netwerken. Het doel van deze operaties is om verdeeldheid zaaiende of controversiële verhalen over politiek te verspreiden en de publieke opinie in Europa en de Verenigde Staten te manipuleren. Om dit te doen, plaatsen accounts op sociale netwerken links die een versluierde keten van omleidingen activeren die leiden naar websites met de uiteindelijke inhoud.
Schema van de omleidingsketen van informatie
Sociale media lijken het primaire verspreidingsmiddel voor desinformatie te zijn. De onderzoekers hielden de activiteiten op Twitter/X in de gaten en konden ongeveer 800 botaccounts identificeren, waarvan sommige links naar redirectors plaatsten. In wat waarschijnlijk een poging is om onderzoek te belemmeren en de infrastructuur te verbergen, gaat de informatiestroom van posts op sociale netwerken naar uiteindelijke inhoud door een ingewikkelde omleidingsketen die bestaat uit twee omleidingssites en een tracker, die de lezer uiteindelijk omleidt naar de uiteindelijke contentwebsite. De omleidingen zijn niet op te merken door het beoogde publiek: klikken op een link leidt hoe dan ook transparant naar de uiteindelijke contentwebsite - dit maakt de Doppelgänger-infrastructuur moeilijk te identificeren.
Als we kijken naar eerdere activiteiten van de bot accounts, lijkt het erop dat ze werden ingezet voor cryptocurrency scams. Dit doet de onderzoekers geloven dat de exploitanten van Doppelgänger een vloot Twitter-bots huren van een derde partij, of dat sommige van hun leden ook bijverdienen als cybercriminelen.
De laatste stap van de omleidingsketen leidt het beoogde publiek naar URL's met de uiteindelijke inhoud, die op verschillende websites worden gehost. Deze websites vallen meestal uiteen in 4 categorieën: verzonnen nieuwswebsites, websites die zich voordoen als legitieme websites, sterk opiniërende websites (legitieme websites die opruiende inhoud publiceren) en soms andere legitieme nieuwssites die worden gebruikt om een afwijkende mening te ondersteunen.
Welke tactieken worden gebruikt en waarom liggen ze dicht tegen cybercriminaliteit aan?
Tijdens het onderzoek naar sporen van Doppelgänger-activiteiten, merkten de onderzoekers dat verwijzingen naar websites waren toegevoegd in comments, gebruikersprofielen, forumdiscussies en pagina's van openbaar toegankelijke en volledig ongerelateerde websites, voor of tijdens het gebruik van Doppelgänger-websites. Hoogstwaarschijnlijk voor SEO-doeleinden.
De meeste commentaarvoorbeelden adverteren een verscheidenheid aan Russischtalig materiaal. Net als bij X/Twitter accounts, wordt deze infrastructuur mogelijk niet direct beheerd door Doppelgänger en wordt het ingekocht als een dienst. Deze bevindingen tonen aan dat er een connectie bestaat tussen informatiemanipulatie en cybercriminaliteit ecosysteem.
Enkele dagen voor deze publicatie van het onderzoek ontdekten de onderzoekers een door AI gegenereerde muziekvideo die werd gedeeld door Doppelgänger-operators. Dit geeft aan dat ze hun inspanningen blijven opvoeren en proberen viraliteit te bereiken door de productie van meme materiaal.
Pierre Delcher, hoofd van het Cyber Threat Research Team legt uit: "
Wat vooral interessant is om in overweging te nemen, is dat de operaties en de actoren erachter zeer volhardend zijn. Ze waren in staat om zeer snel te schakelen en in te spelen op de verrassende Franse verkiezingen, wat de potentiële grootte van de organisatie achter Doppelgänger-activiteiten onderstreept. Zowel op het gebied van geopolitieke inlichtingen als op het gebied van infrastructuur."
Wat zijn de gevolgen van dergelijke operaties?
De politieke analyse van de inhoud van Doppelgänger toont een duidelijke voorkeur voor conservatieve en nationalistische standpunten, met een aanzienlijke focus op het destabiliseren van westerse democratieën door gebruik te maken van bestaande maatschappelijke en politieke verdeeldheid.
Pierre Delcher voegt hieraan toe: "
Ondanks de uitdagingen bij het meten van de werkelijke impact van dergelijke campagnes, slaagt de voortdurende en hardnekkige aard van Doppelgänger-activiteiten er zeker in om een buitenlands verhaal te ondersteunen en nepnieuws te verspreiden, en onderstreept het de noodzaak van robuuste tegenmaatregelen en internationale samenwerking om democratische processen te waarborgen."
Meer informatie over het onderzoek is beschikbaar op
Inside the Lab.
Over HarfangLab
HarfangLab is een Frans cyberbeveiligingsbedrijf dat EDR-software (Endpoint Detection and Response) uitbrengt, een technologie die anticipeert op cyberaanvallen op computers en servers en deze neutraliseert. HarfangLab was de eerste EDR die in 2020 door ANSSI werd gecertificeerd. Het bedrijf heeft meer dan 300 klanten, waaronder overheidsinstellingen, bedrijven en internationale organisaties die actief zijn in zeer gevoelige sectoren. De EDR van HarfangLab, die momenteel wordt ingezet op meer dan 800.000 eindpunten, onderscheidt zich door de openheid van de oplossing, die van nature integreert met alle andere beveiligingscomponenten; de transparantie, omdat de gegevens die door de EDR worden verzameld toegankelijk blijven; en de digitale onafhankelijkheid die het biedt, omdat klanten vrij zijn om hun hostingmodus te kiezen: publieke of private cloud, of hun eigen infrastructuur.
Meer informatie op:
www.harfanglab.io