Bir Rus nüfuz kampanyası olan DoppelGänger, dezenformasyon yaymak için sahte haber web sitelerinden (yazım hatası yapılmış ve bağımsız) yararlanıyor ve Ukrayna’ya verilen desteği baltalıyor.
Mayıs 2022’de başlayan ve Fransa, Almanya ve diğer ülkeleri hedef alan kampanyayı Structura ve SDA yürütüyor.
Özellikle video platformlarındaki orijinal olmayan sosyal medya hesapları makaleleri güçlendiriyor ve ilginç bir şekilde kampanyanın faaliyetleri protestolar, yardım kararları ve ulusal bütçe oyları gibi gerçek dünyadaki olaylarla ilişkili görünüyor ve bu durum bu durumlardan yararlanma girişimlerini akla getiriyor.
DoppelGänger kampanyası üç aşamalı bir yönlendirme sürecinden yararlanıyor. Birinci Aşama, sosyal medya platformlarına küçük resim meta verileri sağlarken, İkinci Aşama, Aşama 3’ten gizlenmiş bir JavaScript komut dosyasını alıp çalıştırır ve sonuçta kullanıcıları dezenformasyon web sitelerine yönlendirir.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Üçüncü aşamada, kampanya performansının izlenmesi için Keitaro’dan yararlanılıyor ve kampanyaya bağlı yeni bir kümenin, birden fazla dezenformasyon web sitesini aynı anda yönetecek şekilde tasarlanmış bir kontrol paneli tarafından yönetildiği tespit edildi.
İçerik öncelikle Rus izleyicileri hedef alıyor ve hedeflerde bir değişiklik olduğunu gösteriyor; bu da kampanyanın arkasındaki Rus ajansları Structura ve SDA’nın aynı zamanda Moskova destekli Rusça propaganda çalışmalarından da sorumlu olduğu hipotezine yol açıyor.
Bu web siteleri ağı, yerel diller ve kültürel referanslar (ledialogue.fr), çevrimiçi toplulukları hedefleme (mypride.press), içeriği siyasi görüşlerle uyumlu hale getirme (electionwatch. canlı) ve belirli sektörlere odaklanma (lesifflet.net).
Strateji, alıcı çevrimiçi grupları belirlemek ve onları Rusya’nın çıkarlarını ilerletecek mesajlarla etkilemek için iyi tanımlanmış bir plan öneriyor.
.webp)
DoppelGänger kampanyası, kullanıcıları propaganda web sitelerine yönlendirmek için çok katmanlı bir altyapı kullanıyor.
Tartışmalı temalara sahip sosyal medya gönderileri ilk kanca görevi görüyor ve ardından kullanıcıları bir dizi teknik aracılığıyla, güvenliği ihlal edilmiş meşru haber kaynaklarında (yazım hatası) veya yeni oluşturulmuş sahte web sitelerinde barındırılan makalelere yönlendiriyor.
.webp)
178.62.255.247’nin 8080 numaralı bağlantı noktasında çalışan açık kaynaklı bir Traefik kontrol paneli keşfedildi ve muhtemelen DoppelGänger kampanyası için dezenformasyon web sitelerini yönetiyordu.
“Sağlayıcılar” sekmesi, newsroad.online gibi yönetilen etki alanlarını listelerken, “Sağlık” sekmesi, web sitesi performansını izlemek için sunucu sağlığı istatistiklerini ve hata günlüklerini sunar; çünkü /health uç noktası aynı verileri JSON formatında sağlar.
.webp)
Günlüklerin analizi, var olmayan makalelere yönelik istekleri ortaya çıkardı ve potansiyel olarak içeriği yansıtan başka bir IP (206.189.243.184) tespit ederek bir yedeklilik çözümü önerdi.
Sekoia’daki araştırmacılara göre, önceden bilinen kampanyanın arkasındaki aynı aktörler muhtemelen Rusça konuşanları hedef alan yeni bir DoppelGänger kümesini yönetiyor. Newsroad.online gibi ilgili web siteleri, IP adreslerini maskelemek için Cloudflare CDN’yi kullanıyor.
Bununla birlikte, İçerik Yönetim Sisteminin (CMS) yanlış yapılandırılmış işlevlerinden (bu durumda xmlrpc.php aracılığıyla açığa çıkan bir WordPress pingback işlevi) yararlanılması, araştırmacıların newsroad.online’ın arkasındaki gerçek IP adresini açığa çıkarmasına olanak tanıdı.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın