38C3: Cloaking, Identitätsklau & Co. – die Technik hinter russischer Desinfo

Sie gilt als eine der größten Desinformationsoperationen in der EU: die von Russland gesteuerte "Doppelgänger-Kampagne". Alexej Hock und Max Bernhard von der Rechercheplattform Correctiv haben am Montag auf dem 38. Chaos Communications Congress (38C3) in Hamburg Einblicke in die Technik dahinter gegeben. Die Akteure greifen demnach in den Werkzeugkasten von Online-Betrügern und anderen Cyberkriminellen, um ihre Propaganda und Fake-News weltweit zu verbreiten. Dazu gehörten vor allem Identitätsdiebstahl, das Nutzen gestohlener Kreditkarten, Bulletproof-Hosting, der Einsatz verschleiernder Cloaking-Dienste und mehrstufige Weiterleitungsmechanismen.

Die Doppelgänger-Kampagne laufe seit über zwei Jahren, berichtete Bernhard. Sie sei kurz nach dem Beginn des russischen Angriffskriegs auf die Ukraine gestartet. Im Zentrum stünden Webseiten mit Falschnachrichten, die vor allem deutsche, französische und US-amerikanische Medien wie Spiegel, Le Parisien oder Fox News imitierten. Dazu kämen spezielle Blogs wie Reliable Recent News, wobei dessen "Russian" im Titel erst nachträglich ersetzt worden sei. Troll-Fabriken in St. Petersburg und anderen russischen Städten sind seit Langem bekannt. Bei Doppelgänger machten die Journalisten in Kooperation mit der schwedischen Partnerorganisation Qurium als ausführende Firmen etwa Structura, die Social Design Agency und Argon Labs aus.

Diese von der EU und Großbritannien auf Sanktionslisten gesetzten Unternehmen unterstünden direkt der russischen Präsidialverwaltung und dem Verteidigungsministerium, hob Bernhard hervor. Sie seien vom Kreml mit Operationen für eine "massive digitale Einflussnahme" beauftragt worden. Dafür benötigten sie eine solide Infrastruktur, Hosting, Umleitungen und Mechanismen zur Verbreitung der Inhalte über soziale Medien. Kaum weniger unerlässlich seien Influencer, Telegram-Kanäle und Inhaltsproduzenten.

Host-Provider werden teils extra gegründet

Pate standen dabei Anzeigen etwa auf X, die genauso aussehen wie die von Doppelgänger. "Deutsche Bundesbank verklagt Sahra Wagenknecht" ist da etwa im Design deutscher Nachrichtenportale zu lesen. Wer darauf klickt, landet in der Regel bei einem auf Abzocke ausgerichteten Pyramidensystem für mehr oder weniger reale Kryptowährungen.

Über diverse Umwege führe bei solchen Betrugskampagnen und bei Doppelgänger-Aktionen eine unscheinbare URL wie v4utp3.djovn.shop letztlich zu einer Domain wie spiegel.ltd, führte Hock aus. Zwischengeschaltet sei ein Filterprozess, der dafür sorge, dass Prüfteams von Facebook, X & Co. auf einer "weißen Seite" landeten. Die Methode zum Umgehen der Kontrolle durch soziale Netzwerke seien Cloaking-Dienste, ergänzte Bernhard. Mitarbeiter der Plattformen prüften Umleitungslinks und wohin sie führten. Doch das wahre Ziel lasse sich durch solche Services verschleiern. Dabei sei es möglich, zwischen einem Social-Media-Moderationsteam, Bots oder tatsächlichen Nutzern zu unterscheiden. Solches Cloaking sei ein riesiges Geschäft in Russland. Das größte Forum dafür sei FB-Killa. Bezahlt werde anonym mit Kryptowährungen.

Auf der Hosting-Seite nutzen die Propagandisten den Rechercheuren zufolge Einweg-, Zwischen- und sogenannte Keitaro-Domains, die sich ständig ändern. Einschlägige Provider würden teilweise von jungen Russen extra für solche Zwecke gegründet, führte Bernhard aus. Viele davon seien verknüpft mit dem Dienstleister Aeza. Bei einer dieser Unterfirmen handle es sich um TNSecurity, als deren Gründerin die zwanzigjährige Anastasija B. – angeblich eine Lettin – vermerkt sei. Bei Kontaktaufnahme habe sich diese als Russin bezeichnet, die jüngst ihren Job als Friseurin aufgegeben habe. Es sei sehr zweifelhaft, dass sie die Firma leite. Mittlerweile habe sich das Unternehmen auf das Ausnutzen von Zeroday-Exploits spezialisiert.

Westliche Firmen haben reagiert

Fürs Hosting setzt Doppelgänger laut Bernhard etwa auch auf Hetzner, VDSina.ru, Cloudflare, Hostinger, Shinjiru, Zomro und Stark Industries, wobei der letztere Anbieter immer wieder für DDoS-Angriffe gegen westliche Staaten genutzt werde. Zu seinen Kunden gehöre ferner die Cyberbande Fin7. Für die westlichen Firmen darunter würden erfundene und gestohlene Identitäten verwendet, erläuterte Hock. Auf einen gewissen Leonhard Repmpe K. seien bei der .de-Domainverwaltung Denic etwa 70-putin-freunde.de oder landwirtinnen.de registriert gewesen. Freikorps.press und delfi.top sind weitere ihm zugeschriebene Adressen. Das Geld dafür kommt von Konstantin P., heißt es in einer FBI-Vorlage für einen Beschlagnahmebeschluss. Hock zufolge existiert K. wirklich, bezeichnet sich aber als Opfer eines Identitätsklaus. Das FBI hat zwei weitere einschlägige Personen mit langen Domain-Listen benannt.

Über Marktplätze wie DMarket ließen sich Wegwerf-Domains sogar mieten, fügte Bernhard an. Hilflos müsse man dem Treiben aber nicht zusehen. Nach Hinweisen auf den Missbrauch ihrer Dienste durch Doppelgänger hätten zumindest die großen westlichen Firmen Angebote für damit verknüpfte Individuen eingestellt, freute sich Hock. Die Operateure hätten daher ständig umstrukturieren müssen. Die gesamte Umleitungskette habe im Sommer und Herbst nicht funktioniert, Bot-Links hätten ins Nirgendwo geführt. Hock geht davon aus: "Die Kampagne kann keinen nennenswerten Schaden mehr anrichten."

Laut Bernhard hat auch der ukrainische Cloaking-Dienst Kehr einschlägige Konten nach Hinweisen auf Doppelgänger dichtgemacht. Wie erfolgreich die ausgelieferte Desinformation sei, lasse sich nur schwer sagen. Die Propagandisten versuchten letztlich, bestehende Narrative auszunutzen. Sie belögen aber nicht nur ihr Zielpublikum, "sondern auch den Kreml", indem sie die Zahlen über erreichte Kontakte fälschten. Das Bayerische Landesamt für Verfassungsschutz schätzte im August: Über die Doppelgänger-Infrastruktur seien binnen 14 Monaten knapp 8000 Einzelkampagnen über mehr als 700 Zielwebseiten verteilt worden. Diese hätten allein während acht Monaten rund eine dreiviertel Million Leser erreicht.

(ea)