EU vs Disinfo: Doppelgänger

1. Einleitung

Seit Februar 2022 oder möglicherweise noch früher organisiert Russland im Internet eine vielschichtige Informationskampagne gegen einige bestimmte Länder. Inhaltlich zielt die Operation hauptsächlich darauf ab:

  • die nach Beginn des russischen Angriffes aufgesetzte Unterstützung für die Ukraine zu untergraben, indem die ukrainische Regierung dämonisiert und des Nazismus und der Korruption beschuldigt wird.
  • die Länder, die die Ukraine unterstützen, innenpolitisch zu spalten mit der Behauptung, dass die finanzielle Unterstützung der Ukraine und die Verhängung von Sanktionen gegen Russland erfolglos bleiben werden und diese letztendlich nur der Zivilgesellschaft schaden.

Das EU DisinfoLab-Team, welches die folgende Untersuchung verfasste, gab dieser Kampagne den Namen »Doppelgänger«[1], da sie regelmäßig gefälschte Klone von echten Internetauftritten (sowohl von Medienorganisationen als auch von öffentlichen Einrichtungen) verwendet.

Im Laufe der Zeit scheint es, als sei die Kampagne in ihrer Ausrichtung breiter angelegt als nur auf die Doppelgänger-Strategie, doch wird der Name meist auf Nebenoperationen zurückgeführt.

Die Kampagne und ihre Ausprägungen sind dabei auch bekannt als

  • RRN (Recent Reliable News), eine anonyme Nachrichtenmedienorganisation, die große Teile der Operation mit Inhalten versorgt.
  • Matriochka, ein Nebenprojekt, welches gefälschte Videos bekannter Medien mit Social-Media-Konten auf verschiedenen Plattformen verbreitet.
  • Overload, eine Weiterführung des Matriochka-Projekts, welches insbesondere Journalist:innen und Medienhäuser kopiert.
  • Storm-1099/ Storm-1679: Diese Codenamen wurden der Kampagne von Microsoft verliehen[2].

Die zentralen Akteure, die diese Operation durchführen, sind Struktura und Social Design Agency[3] (auch bekannt als ASP), zwei russische Unternehmen. Das ISD nennt auch Argon Laps als ein weiteres russisches Unternehmen, das an der Operation beteiligt sein könnte[4].

Doppelgänger-Verstärkungstechniken wurden nicht nur bei Doppelgänger-bezogenen Inhalten eingesetzt. Die Netzwerke bestehender Fake-Accounts und verschleierte Infrastruktur wurden auch zur Verstärkung anderer pro-russischer Operationen wie InfoRos-Assets eingesetzt oder zur Beeinflussung authentischer Nachrichten/Meinungen von legitimen Akteuren genutzt. Aus Berichten geht auch hervor, dass das Portal Kombat eine Vermittlerrolle bei der Weiterverbreitung ähnlicher Inhalte spielt.

Zum gegenwärtigen Zeitpunkt gibt es keine überprüfbaren Anhaltspunkte dafür, dass alle diese Bemühungen zentral koordiniert werden. Wir raten zur Vorsicht bei Berichten, die auf eine Zentralisierung solcher Bemühungen hindeuten.

2. Taktik

Doppelgänger hat vor allem die folgenden Taktiken verwendet, um seine Operation auszuweiten:

1. Erstellung von Inhalten

a) Klone von Medien-Websites

Die meisten der öffentlichkeitswirksamen Aktivitäten von Doppelgänger bestanden in der Entwicklung von Websites, die sich als etablierte Nachrichtenorganisationen ausgaben. Solche Imitationen existierten für Le Monde, The Guardian, Ansa, Der Spiegel und Fox News. Diese Imitationen wurden durch Typosquatting [Eine Form des Internetbetruges, bei der der Angreifer absichtlich URLs registriert, welche Tippfehler von bekannten Websites enthalten, Anm. d. Redaktion] oder alternativen Domänennamen betrieben. Die Operationen nutzten besonders häufig seltene Top-Level-Domains wie .ltd, .online oder .foo.

Die Artikel, welche oft in schlechter Sprache verfasst waren, entsprachen alle den oben erwähnten Narrativen. Zur Erstellung von Inhalten gehörte auch die Produktion gefälschter Videos, die das Grafikdesign der Nachrichtenplattformen nachahmten.

b) Klone von Regierungswebsites

Ähnlich wie bei den etablierten Nachrichtenorganisationen kopierte Doppelgänger Behörden und internationale Organisationen. Als prominente Beispiele können hier die Kopien der Websites des französischen Außenministeriums[5], des Innenministeriums der deutschen Bundesregierung und sogar der NATO selbst[6] genannt werden. Die angewandte Taktik entspricht dem Typosquatting legitimer Domänennamen bei alternativen DNS-Registrierstellen.

Inhaltlich konzentrierte sich die Kampagne auf die falsche Ankündigung staatlicher Maßnahmen, wie etwa die Einführung einer Steuer zur Unterstützung der Ukraine, die Verdoppelung aller Militärbudgets oder Präventionskampagnen gegen angeblich importierte ukrainische Kriminalität.

c) Anti-ukrainische Websites

Ein weiterer Teil der Operation bestand in der Entwicklung von anti-ukrainischen Websites[7]. Diese Inhalte zielten speziell auf den ukrainischen Präsidenten Wolodymyr Selenskyj durch eine Reihe von Zeichentrickfilmen ab. In diesen Karikaturen werden der ukrainische Staatschef, seine Familie und die ukrainische Regierung als korrupt dargestellt, die blind einer erfundenen internationalen Verschwörung gehorchen und ihre eigenen Bürger ermorden.

d) Pro-russische Websites

Darüber hinaus umfasste die Operation auch die Entwicklung und Pflege von pro-russischen Websites. Eine dieser Websites mit der Bezeichnung »War On Fakes« wurde kurz nach dem großangelegten Einmarsch in die Ukraine erstellt. Indem sie Faktenchecks nachahmte, sollte sie Fakten über die ukrainische Verteidigung widerlegen.

Kurz danach, im Frühjahr 2022, wurde eine weitere Website namens »RRN« eingerichtet, die dieselbe Infrastruktur nutzt. Ursprünglich als »Reliable Russian News« bezeichnet, wurde sie kurzerhand in »Recent Reliable News« umbenannt. Diese Website, die bis heute aktiv ist, übernimmt und verbreitet regelmäßig russische Propagandanachrichten, die den Westen angreifen.

RRN enthält auch Inhalte und Videointerviews bekannter prorussischer westlicher Akteure. Ein Videointerview mit dem französischen Europaabgeordneten Thierry Mariani wurde von der Website entfernt, nachdem Frankreich im Juni 2023 den russischen Ursprung von RRN aufgedeckt hatte.

e) Potenzielle hybride Operationen

Anfang November 2023 tauchten blaue Davidsterne – ein Symbol, das sowohl als pro- als auch als anti-israelisch interpretiert werden kann – auf Gebäuden[8] in Paris auf, gefolgt von Bildern, die sich schnell in den sozialen Medien verbreiteten und kontroverse Auseinandersetzungen und Verwirrung im Internet schürten. Der technische und operative Dienst des französischen Staates, der für den Schutz vor ausländischen digitalen Eingriffen zuständig ist (VIGINUM), entdeckte die Beteiligung eines Netzwerks von mehr als tausend Bots auf X (früher Twitter), die mit RRN verbunden sind.

In seinem Bedrohungsbericht für das zweite Quartal 2024 deckte Meta ein eigenes CIB-Netzwerk [Coordinated Inauthentic Behavior, abgekürzt CIB, koordiniertes unechtes Verhalten, Anm. d. Red.] auf, das angeblich vom russischen Geheimdienst angeheuert wurde, um an der Davidstern-Operation in Paris »teilzunehmen«[9]. Dieses Netzwerk, das Personen zugeschrieben wird, die früher mit anderen CIB-Netzwerken russischer Informationsoperationen (vor allem der Internet Research Agency) in Verbindung standen, war an anderen hybriden Operationen in der Republik Moldau, Polen und Frankreich beteiligt.

2. Verbreitung von Desinformationen

a) Verstärkung durch Kommentare von gefälschten Profilen/Accounts auf Meta/X

Eine der ersten Verbreitungsmethoden der Doppelgänger-Operation war die Verwendung von gefälschten Profilen auf Meta. Ein Beispiel für diese Technik sind die so genannten »German Odettes«, ein Netzwerk von Profilen, die alle »Odette« heißen und angeblich für Netflix arbeiten[10]. Dieses Netzwerk verbreitete systematisch die Inhalte von Doppelgänger direkt im Kommentarbereich etablierter Facebook-Seiten. Diese Technik wurde entwickelt, um mit normalen Facebook-Nutzer:innen direkt in Kontakt zu treten, ohne dass sie dabei so stark in Erscheinung treten wie durch eine eigene Facebook-Seite selbst.

Ein Teil der Operation nutzte auch die unechte Verbreitung auf X durch Netzwerke von Fake-Accounts[11]. Diese koordiniert betriebenen Konten verbreiteten Doppelgänger-Assets an ihr Publikum und beantworteten Tweets nach einem ähnlichen Modus Operandi wie auf Meta.

b) Verstärkung auf anderen Plattformen

Aus Arbeitsunterlagen von Struktura, die der Washington Post[12] vorliegen, geht hervor, dass die Betreiber von Doppelgänger wöchentlich über die Leistung der Operation berichten. Dashboards zeigen, dass Narrative und Reichweite auf allen Plattformen, einschließlich Facebook, YouTube, Telegram und TikTok, überwacht werden.

Weitere Ressourcen sind aus dem Bericht des deutschen Außenministeriums ersichtlich[13].

c) Kauf von Anzeigen mit Netzwerken von gefälschten Facebook-Seiten

Eine wiederkehrende Taktik der Doppelgänger-Betreiber war die Nutzung der Werbeplattform von Meta[14]. Durch den Unterhalt von tausenden von Facebook-Seiten[15] haben die Doppelgänger-Betreiber versucht, Facebook-Nutzer:innen mit den von ihnen produzierten Inhalten anzusprechen. Diese Verstärkung erfolgte über so genannte »Burner«-Konten, d. h. Wegwerfkonten, die nur für eine einzige Werbung genutzt und dann aufgegeben wurden.

d) Verschleierung/ OpSec

Die Operation hat spezielle operative Sicherheitsmaßnahmen [auch als OpSec bezeichnet, Anm. d. Red.] eingeführt, um ihren Ursprung zu verschleiern. Dazu gehörte zum Beispiel Geofencing, eine Einstellung, mit der die Sichtbarkeit von Inhalten für bestimmte Nutzer:innen eingeschränkt werden kann[16]. So konnte beispielsweise französischer Internetnutzer:innen die für deutsche Nutzer:innen vorgesehenen Inhalte nicht sehen.

Bei der Operation wurden auch mehrere Umleitungs-URLs verwendet, um die von Plattformen wie Meta eingerichteten Beschränkungen für Doppelgänger-Domänennamen zu umgehen. Ein Teil dieser Verschleierungsinfrastruktur wurde nun aufgedeckt[17].

3. Reichweite und Wirkung

Daten, welche vom bayerischen Landesamt für Verfassungsschutz veröffentlicht wurden, zeigen die folgende Verteilung der Kampagnen und Klicks. Diese Daten beziehen sich auf den Zeitraum von Mai 2023 bis Juli 2024 für nur 2 identifizierte Server. Der ursprüngliche Zeitraum von Februar 2022 bis Mai 2023 ist daher nicht enthalten, und wahrscheinlich sind auch nicht alle Kampagnen in dem überwachten Zeitraum durchgeführt worden.

Insgesamt konnten 7983 Kampagnen und 828 842 Klicks (durchschnittlich 103 Klicks pro Kampagne) festgestellt werden:

  • Wichtigste Zielländer waren dabei
    • Deutschland, 2250 Kampagnen, 250 061 Klicks (30,17 %)
    • Frankreich, 2245 Kampagnen, 249 481 Klicks (30,1 %)
    • USA, 1024 Kampagnen, 180 521 Klicks (21,78 %)
    • Ukraine, 1339 Kampagnen, 148 777 Klicks (17,95 %)
    • Israel, 221 Kampagnen, (keine detaillierten Zahlen)
    • Polen, 118 Kampagnen, (Keine detaillierten Zahlen)
    • Italien, 89 Kampagnen, (Keine detaillierten Zahlen)
    • Lettland, (beobachtet im Jahr 2022, aber keine Zahlen)
    • Vereinigtes Königreich, (beobachtet im Jahr 2023, aber keine Zahlen)

Im September 2022 gab Meta bekannt, dass rund 105.000 USD in Anzeigen auf ihrer Plattform investiert wurden. Seitdem haben Untersuchungen gezeigt, dass immer noch Tausende von Anzeigen über die Plattform geschaltet und moderiert werden. Zum gegenwärtigen Zeitpunkt hat Meta noch keine aktualisierte öffentliche Mitteilung zu dieser Angelegenheit gemacht[18].

Im 2. Quartal 2024 gab Meta an, dass »seit der letzten Aktualisierung im Mai über 5.000 Konten und Seiten entdeckt und entfernt wurden«. Im August 2024 gab Meta bekannt, dass bei diesem Vorgang mehr als 6000 Bedrohungsindikatoren entdeckt und auf Github veröffentlicht wurden. Fast alle (96 Prozent) Indikatoren betreffen Umleitungsdomänen, die von der Plattform blockiert werden.

  • Die wichtigsten geklonten Organisationen sind:
    • Medienorganisationen (Online-Versionen etablierter Zeitungen)
    • Französisches Ministerium für öffentliche Angelegenheiten
    • Deutsches Bundesministerium des Innern
    • NATO
  • Verwendete Plattformen:
    • Facebook
    • Instagram (Werbung nur für Instagram-Nutzer)
    • X
    • Dailymotion
4. Attribution

Im Dezember 2022 schrieb Meta den Vorgang zwei russischen Unternehmen zu: Struktura und Social Media Agency. Im Juni 2023 bestätigte VIGINUM (der französische Dienst zur Bekämpfung digitaler ausländischer Einmischung) diese Informationen.

Im November 2023 wird im Rahmen einer laufenden Untersuchung der hybriden »Davidstern«-Operation geprüft, ob weitere Personen beteiligt sind. Die französischen Behörden führen die Ausweitung dieser hybriden Operation auf das Doppelgänger/RRN-Netzwerk zurück[19].

Im November 2023 schrieb das US-Außenministerium denselben beiden russischen Unternehmen und ihren Managern auch eine auf Lateinamerika ausgerichtete Informationsoperation zu[20].

Es gibt immer noch ungelöste Fragen über die Verbindung zwischen der Doppelgänger-Operation und anderen Informationsoperationen wie Matriochka[21] oder Overload[22].

Mehrere europäische und globale Unternehmen wurden von der Doppelganger-Operation als Vermittler/Dienstleister eingesetzt, beispielsweise für Geofencing- und Hosting-Lösungen[23] oder den direkten Erwerb von Domänennamen.

5. Reaktionen

EU DisinfoLab hat eine erste Bewertung der Maßnahmen[24], die gegen die Doppelgänger-Kampagne ergriffen wurden, anhand von fünf Hauptkriterien vorgenommen:

  • Situationsbewusstsein
  • Auswirkungen auf die Fähigkeiten der schädlichen Akteure
  • Auslösen neuer Reaktionen
  • Zuschreibung
  • Abschreckung

Nach der Aufdeckung haben mehrere Medien angekündigt, rechtliche Schritte wegen Plagiats einzuleiten (Le Monde, Süddeutsche Zeitung und 20 Minuten, soweit wir wissen).

Im Juli 2023 wurden die Unternehmen Struktura und Social Media Agency sowie einige deren Betreiber auf die EU-Sanktionsliste gesetzt. Dem Rat der EU[25] zufolge »unterliegen alle genannten Personen einem Einfrieren von Vermögenswerten, und EU-Bürger:innen und Unternehmen ist es untersagt, ihnen Gelder zur Verfügung zu stellen. Natürliche Personen unterliegen darüber hinaus einem Reiseverbot, das sie an der Einreise in oder der Durchreise durch EU-Gebiete hindert

Außerdem konnte die französische Regierung im Oktober 2023 nach einer Entscheidung des World Intellectual Property Office[26] (WIPO) den Domainnamen beschlagnahmen, der das französische Außenministerium nachahmte (diplomatie.gouv[.]fm). Das Urteil besagt, dass NameCheap, das für den Verkauf dieses Domänennamens an eine Einzelperson verantwortlich war, die Domäne an die französische Regierung zurückgeben muss.

Seitdem wurden in ähnlichen Entscheidungen Doppelgänger-Domänennamen an rechtmäßige Inhaber zurückgegeben.

.

Verweise

[1] EU Disinfo Lab. 2022. Doppelganger – Media clones serving Russian propaganda. http://www.doppelganger.ltd/

[2] Microsoft. 2024. How Russia is trying to disrupt the 2024 Paris Olympic Games. https://blogs.microsoft.com/on-the-issues/2024/06/02/russia-cyber-bots-disinformation-2024-paris-olympics/

[3] Secrétariat général de la défense et de la sécurité nationale (SGDSN). 2023. RRN: A complex and persistent information manipulation campaign. http://www.sgdsn.gouv.fr/files/files/20230719_NP_VIGINUM_RAPPORT-CAMPAGNE-RRN_EN1.pdf

[4] Thomas, Elise. 13.06.2024. Russian influence operation Doppelganger linked to fringe advertising company. Institute for Strategic Dialogue. https://www.isdglobal.org/digital_dispatches/russian-influence-operation-doppelganger-linked-to-fringe-advertising-company/

[5] Ebd.

[6] Léa Ronzaud; Joseph A. Carter; Tyler Williams. 2023. Summit Old, Summit New Russia-Linked Actors Leverage New and Old Tactics in Influence Operations Targeting Online Conversations About NATO Summit. Graphika. https://public-assets.graphika.com/reports/graphika_report_summit_old_summit_new.pdf

[7] SGDSN 2023

[8] Hugh Schofield. 2023. Star of David graffiti in Paris – the Russian connection. BBC News. https://www.bbc.com/news/world-europe-67360768

[9] Meta. 2024. Adversarial Threat Report Q2 2024 https://scontent-fra5-1.xx.fbcdn.net/v/t39.8562-6/455158590_1227906161699704_7318728570685925077_n.pdf?_nc_cat=100&ccb=1-7&_nc_sid=b8d81d&_nc_ohc=EBg-A0PYvt4Q7kNvgGimSLO&_nc_ht=scontent-fra5-1.xx&oh=00_AYDNxCBc3y2xgYVqw0tFbw_Oh2gXomBfrrAkehEggh6chw&oe=66DCCF1F

[10] L. Wienand; S. Steurenthaler; S. Loelke. 2022. Putins Troll-Armee greift Deutschland an. https://www.t-online.de/nachrichten/deutschland/gesellschaft/id_100042596/ukraine-krieg-prorussische-kampagne-das-steckt-hinter-den-fake-artikeln.html

[11] The Insider. 2023. Russia’s disinformation campaign targets Ukraine with fake Der Spiegel, Fox News, and RBC websites. https://theins.ru/en/news/266351

[12] Catherine Belton; Joseph Menn. 2024. Russian trolls target U.S. support for Ukraine, Kremlin documents show. The Washington Post. https://www.washingtonpost.com/world/2024/04/08/russia-propaganda-us-ukraine/

[13] Auswärtiges Amt. 2024. Deutschland im Fokus der pro-russischen Desinformationskampagne »Doppelgänger«. https://www.auswaertiges-amt.de/blob/2660362/73bcc0184167b438173e554ba2be2636/technischer-bericht-desinformationskampagne-doppelgaenger-data.pdf

[14] Medium. 2022. Russia-based Facebook operation targeted Europe with anti-Ukraine messaging. https://medium.com/dfrlab/russia-based-facebook-operation-targeted-europe-with-anti-ukraine-messaging-389e32324d4b

[15] Reset-Tech. 2023. https://www.reset.tech/documents/24102023_Networks-of-Facebook-Fake-Advertisers_Reset.pdf

[16] Qurium. 2022. Under the Hood of a Doppelgänger. https://www.qurium.org/alerts/russia/under-the-hood-of-a-doppelganger/

[17] Insikt Group. 2023. Obfuscation and AI Content in the Russian Influence Network “Doppelgänger” Signals Evolving Tactics. https://go.recordedfuture.com/hubfs/reports/ta-2023-1205.pdf

[18] Meta. 2023. DRAFT: Adversarial Threat Report. https://www.politico.eu/wp-content/uploads/2023/08/29/NEAR-FINAL-DRAFT-Meta-Quarterly-Adversarial-Threat-Report-Q2-2023.pdf

[19] France Diplomacy. 2023. Statement by Ms Catherine Colonna – Foreign digital interference – France’s detection of an information manipulation campaign (13 June 2023). https://www.diplomatie.gouv.fr/en/french-foreign-policy/security-disarmament-and-non-proliferation/news/2023/article/statement-by-ms-catherine-colonna-foreign-digital-interference-france-s

[20] US Department of State. 2023. The Kremlin’s Efforts to Covertly Spread Disinformation in Latin America. https://www.state.gov/the-kremlins-efforts-to-covertly-spread-disinformation-in-latin-america/

[21] Qurium. 2024. Russian disinformation against Zelenskyy exposed on Times Square billboard. https://www.qurium.org/alerts/russian-disinformation-against-zelenskyy-exposed-on-times-square-billboard/

[22] Check First. 2024. Operation Overload: how pro-Russian actors flood newsrooms with fake content and seek to divert their efforts. https://checkfirst.network/operation-overload-how-pro-russian-actors-flood-newsrooms-with-fake-content-and-seek-to-divert-their-efforts/

[23] Qurium 2022.

[24] EU Disinfo Lab. 2024. Assessing cost-effectiveness: responses to the Doppelganger operation. https://www.disinfo.eu/publications/assessing-cost-effectiveness-responses-to-the-doppelganger-operation/

[25] European Council. 2023. Information manipulation in Russia’s war of aggression against Ukraine: EU lists seven individuals and five entities. https://www.consilium.europa.eu/en/press/press-releases/2023/07/28/information-manipulation-in-russia-s-war-of-aggression-against-ukraine-eu-lists-seven-individuals-and-five-entities/

[26] OMPI. 2023. Décision De La Commission Administrative. https://www.wipo.int/amc/en/domains/decisions/pdf/2023/dfm2023-0001.pdf

Lesetipps / Bibliographie

Lesetipps von EUvsDisinfo zur Fortentwicklung der Doppelgänger-Disinformationskampagne (in chronologischer Reihenfolge)

2022

  • Alaphilippe, Alexandre; Machado, Gary; Miguel, Raquel; Poldi, Francesco. 27.09.2022. Doppelganger – Media clones serving Russian propaganda. EU DisinfoLab. https://www.disinfo.eu/doppelganger

2023

  • Avdeenko, Nina. 30.10.2023. Russia’s disinformation campaign targets Ukraine with fake Der Spiegel, Fox News, and RBC websites. The Insider. https://theins.ru/en/news/266351

2024

Zum Weiterlesen

Analyse

It’s fake! Wie der Kreml durch Desinformationsvorwürfe die Diskreditierung von Informationen in ein Propagandainstrument verwandelt

Von Maxim Alyukov, Margarita Zavadskaya
Während des Einmarsches in die Ukraine hat das Putin-Regime Desinformationsvorwürfe in ein neues Propagandainstrument verwandelt, indem es mit Hilfe des Etiketts »Fake« die Glaubwürdigkeit jedweder für das Regime problematischer Information untergräbt. Bei der Untersuchung der Auswirkungen dieser Desinformationsvorwürfe stützen wir uns auf Ergebnisse eines Online-Experiments, das in Russland durchgeführt wurde. Wir zeigen auf, dass Desinformationsvorwürfe es einem Autokraten ermöglichen, Narrative, die das Regime herausfordern, im Voraus zu diskreditieren. Die Ergebnisse verdeutlichen, wie autoritäre Propaganda sich in den neuen, gesättigten Medienräumen entwickelt und faktenbasierte Ansätze zur Propagandabekämpfung heute in Frage stellt.
Zum Artikel

Logo FSO
Logo DGO
Logo ZOIS
Logo DPI
Logo IAMO
Logo IOS