Doppelgänger: CORRECTIV-Recherchen legen russische Propaganda-Kampagne lahm
Die Verbreitung von Fake-Webseiten der russischen Desinformationskampagne Doppelgänger ist größtenteils gestoppt. Die Hinterleute der Kampagne nutzten ausgerechnet einen ukrainischen Dienst – und der fackelte nach einer CORRECTIV-Anfrage nicht lange und sperrte den Kunden. Derweil führen die digitalen Spuren von Doppelgänger direkt zum Verteidigungsministerium in Moskau.
Worum es in dieser Recherche geht:
- Doppelgänger verbreitet seit Jahren Links zu einer Vielzahl von Fake-Webseiten über Soziale Netzwerke wie Facebook oder X. Um von den Plattformen nicht entdeckt zu werden, setzten die Hinterleute ausgerechnet auf einen ukrainischen Dienstleister. Nachdem CORRECTIV dort nachfragte, warf dieser den Kunden im Oktober raus und störte so die Abläufe der Kampagne erheblich. Seitdem sind die Links auf X größtenteils nicht mehr aufrufbar.
- Nachdem das US-Justizministerium mehrere Webseiten der Kampagne im September abgeschaltet hatte, meldete Doppelgänger neue Internetadressen über eine deutsche Firma an. Auch die schaltete nach CORRECTIV-Anfrage die Seiten ab – zentrale Portale wie „Reliable Recent News“ sind seit dem 7. November nicht mehr abrufbar.
- CORRECTIV fand außerdem erstmals unabhängige Belege für die Beteiligung staatlicher Akteure an der Kampagne. Zugriffe auf mehrere technische Dienste erfolgten demnach über eine IP-Adresse, die dem russischen Verteidigungsministerium zugeordnet werden kann.
Die Bots auf X machen unermüdlich weiter. „Selenskyj muss den Krieg beenden und Friedensverhandlungen mit den Russen aufnehmen“, schreibt Wendy Ramos auf Ukrainisch und fügt eine düstere Collage mit der Aufschrift „Wir geben einen Ort nach dem anderen auf“ hinzu. Katie Garcia kritisiert auf Englisch die US-Demokraten, die „die Guten spielen und gleichzeitig die eigenen Taschen füllen“. William Hamilton beschwert sich auf Deutsch, über „Unsummen“, die die Regierung trotz Inflation für den Ukraine-Krieg ausgebe.
Die Beiträge sind Teil der russischen Propaganda-Kampagne Doppelgänger, die im Westen Stimmung gegen die Ukraine machen soll. Glaubt man den – in Wahrheit künstlich angekurbelten – Statistiken, wurden die Beiträge teils hunderte Male geteilt. Eigentlich sollten die Links darin zu manipulativen Artikeln führen. Doch wer darauf klickt, der landet Anfang November größtenteils bei einer Fehlermeldung: „404 Not Found“ oder „Seite wurde nicht gefunden“.
Read the English version of this article here.
Grund dafür sind die neuesten Recherchen von CORRECTIV und der auf IT-Forensik spezialisierten Organisation Qurium. Nach mehr als zwei Jahren ist die Desinformationskampagne aktuell nahezu wirkungslos.
Stück für Stück bröckelte die Infrastruktur der russischen Propaganda-Kampagne Doppelgänger
Doppelgänger funktionierte bisher so: Künstliche Accounts verwiesen in Sozialen Netzwerken auf eigene Portale oder Nachbildungen seriöser Nachrichtenseiten wie Spiegel oder Süddeutsche Zeitung. Dabei handelte es sich um täuschend echte Fakes, auf denen dann anti-ukrainische oder anti-westliche Artikel vorzufinden waren.
Seitdem CORRECTIV und Qurium in diesem Sommer offenlegten, dass Doppelgänger die technischen Strukturen europäischer IT-Unternehmen nutzt, haben diese nach und nach ihre Dienste für die Kampagne eingestellt. Die russischen Hinterleute – zwei Firmen namens Struktura und Social Design Agency – wurden bereits seit Mitte 2023 von der EU sanktioniert, jedoch ohne Effekt.
Die meisten westlichen Dienstleister gaben an, nicht gewusst zu haben, wen sie als Kunden bedienten. Viele Monate lang nutzte Doppelgänger beispielsweise Server der deutschen Hosting-Firma Hetzner. Diese schloss nach unserer Veröffentlichung im Sommer entsprechende Kundenkonten.
Auch die estnische Softwarefirma Apliteni hatte gegenüber CORRECTIV bestätigt, dass ihr Produkt, eine Weiterleitungssoftware namens Keitaro, ohne ihr Wissen von Doppelgänger in Anspruch genommen worden war. Apliteni widerrief entsprechende Lizenzen. „Wir arbeiten aktiv daran, solchen Missbrauch unseres Produktes in Zukunft zu verhindern“, teilte Firmenchef Artur Sabirov mit. Die Software Keitaro war für die Kampagne wichtig, um die Propaganda-Artikel nur an das entsprechende Publikum in den Zielländern zu bringen. Neben Deutschland waren in der Vergangenheit verstärkt Frankreich oder Israel im Visier Russlands; angesichts der Wahlen fokussierte sich Doppelgänger kürzlich auf die USA.
Fake-Webseiten werden verschleiert – mit einem Mechanismus, den man von Kriminellen kennt
Damit die Links zu den Internetseiten von Doppelgänger von den Plattformbetreibern – also X oder Meta – nicht gesperrt werden, haben sich die Architekten der Kampagne eines Mechanismus bedient, der vor allem bei Internetkriminellen beliebt ist.
Normalerweise sind Webseiten anhand ihrer Adresse sehr einfach zu identifizieren – so lautet die des Spiegels immer spiegel.de. Doppelgänger erschuf Fake-Webseiten mit sehr ähnlichen Adressen, zum Beispiel spiegel.ltd. Links zu dieser Webseite wurden auf Facebook nach einiger Zeit blockiert. Um das zu verhindern, leihen sich die Propaganda-Macher für begrenzte Zeiträume Dutzende unscheinbare Wegwerf-Internetadressen. Beispiele aus der Vergangenheit sind climzenante.shop oder lowlementor.shop.
Diese Adressen werden dann in Sozialen Netzwerken gestreut und leiten Nutzerinnen und Nutzer auf die eigentliche Fake-Webseite weiter. Dabei laufen im Hintergrund mehrere technische Prozesse ab, die sicherstellen, dass die Seite zum Beispiel nur Menschen aus Deutschland angezeigt wird. Die Moderationsabteilung von X hingegen, die die Inhalte auf der Plattform überprüft, sieht nur eine harmlose Internetseite und bekommt den Fake nicht zu Gesicht.
Für diese Dienstleistung hat sich auf dem Markt der Name „Cloaking“ etabliert, auf Deutsch „Tarnung“. Verschiedene Betrugsmaschen wie Krypto- oder Dating-Scams nutzen diesen Mechanismus ebenfalls, um Anzeigen zu verbreiten.
Das gezielte Umgehen von Moderationsmechanismen der großen Plattformen verstößt gegen deren Richtlinien. Meta, der Mutterkonzern von Facebook, hatte 2020 den Anbieter eines Cloaking-Dienstes verklagt. Wie der Konzern aktuell gegen Cloaking vorgeht, wollte er uns auf Anfrage nicht sagen. „Betrügerische Inhalte werden auf unseren Plattformen nicht geduldet. Betrüger*innen passen sich jedoch ständig an und entwickeln neue Methoden, um unsere Systeme zu umgehen – so auch Doppelgänger“, teilte der Konzern über eine Sprecherin lediglich mit. X antwortete nicht auf eine Anfrage.
Die Spur des Cloaking-Dienstleisters führt in den Süden der Ukraine
Untersuchungen von Qurium auf Basis von Daten der Initiative Antibot4Navalny ergaben, dass sich Doppelgänger mindestens seit Mai 2023 auf den Cloaking-Dienst Kehr verließ. Mindestens 147 Wegwerf-Domains wie radilwanised.shop oder shuanse.shop hat Doppelgänger über Kehr in Anspruch genommen, um sie in Sozialen Netzwerken verbreiten zu können. Das ergaben unsere Recherchen.
Da es sich bei Cloaking um ein Angebot handelt, das im rechtlichen Graubereich angesiedelt ist und die Nutzung durch Internetbetrüger mindestens billigt, bleiben auch die Betreiber solcher Dienste zumeist im Verborgenen. So auch im Falle von Kehr – der Dienst wirbt vor allem in russischsprachigen Foren, auf seiner Webseite nennt er aber keine Verantwortlichen für seine Dienstleistungen.
CORRECTIV ist es jedoch gelungen, die Verantwortlichen ausfindig zu machen. Die digitalen Spuren führen in den Süden der Ukraine – ausgerechnet in jenes Land, gegen das Russland die Kampagne fährt.
Wir baten den Betreiber von Kehr Ende Oktober um eine Stellungnahme. Er zeigte sich überrascht. „Ich bin äußerst negativ eingestellt gegenüber Propaganda gegen mein Land“, teilte er CORRECTIV mit. Der Mann, der um seine Sicherheit fürchtet und dessen Namen wir daher hier nicht nennen, informierte uns sogleich über die Konsequenzen: „Der Nutzer wurde blockiert und sein Dienst abgeschaltet.” Der Effekt ist unmittelbar sichtbar: Seit Ende Oktober funktionieren die Links der Doppelgänger-Kampagne auf X größtenteils nicht mehr.
Wann immer ein Dienstleister Doppelgänger aussperrt, sucht die Kampagne sich einen Ersatz. Auch für Kehr scheint ein solcher nach Recherchen von Qurium bereits gefunden zu sein. Doch die Links, die aktuell auf X verbreitet werden, laufen noch immer ins Leere.
Auch eine deutsche Firma reagiert nach CORRECTIV-Anfrage
Inzwischen ist allerdings nicht nur der Weiterleitungsmechanismus gestört. Die Verantwortlichen der Kampagne müssen inzwischen auch die Zielseiten, auf denen die Propaganda-Inhalte letztlich aufzufinden sind, neu aufsetzen. So hat das US-Justizministerium Anfang September dieses Jahres 32 Internetseiten der Kampagne beschlagnahmt. Das betraf unter anderem die Domains der Doppelgänger-Portale „Reliable Recent News“ oder „Tribunal Ukraine“. Dort – und auch auf mehreren Medien-Fakes wie faz.ltd – prangt seitdem ein Banner des FBI.
Die russische Kampagne passte sich daraufhin an und registrierte neue ähnliche Internetadressen für diese Webseiten bei einem anderen Dienstleister. Zum Beispiel fand man „Reliable Recent News“ dann unter rrn.news statt rrn.media. Trotz Sanktionen suchten sich die russischen Propagandisten ausgerechnet eine deutsche Firma aus, die 1API GmbH aus dem Saarland. Die neuen Internetadressen waren bis Anfang November abrufbar.
Wir haben die Firma 1API GmbH damit konfrontiert und ihr 28 Adressen zu Doppelgänger-Seiten geschickt. Man habe die Domains „nach kurzer Prüfung nunmehr wegen Verstoßes gegen unsere Nutzungsbedingungen gesperrt“, antwortete ein Firmenvertreter. Ein großer Teil der Propaganda-Portale ist mit Stand der Veröffentlichung nicht mehr erreichbar.
Zugriffe aus dem Netz des russischen Verteidigungsministeriums
Nach Informationen von CORRECTIV erfolgten Zugriffe sowohl auf die im Sommer gesperrten Kundenkonten bei Hetzner, als auch auf die Internetdienste des estnischen Apliteni und des ukrainischen Kehr teils von einer IP-Adresse des russischen Anbieters Voentelekom. Das Unternehmen wurde von mehreren westlichen Staaten sanktioniert. Voentelekom wurde von der russischen Regierung gegründet und untersteht dem Verteidigungsministerium der Russischen Föderation, für das es der Haupt-Telekommunikationsanbieter ist.
Das ist eine weitere Bestätigung für die direkte Beteiligung des russischen Staates an der Kampagne. Diese Verbindung wurde bisher vor allem durch Geheimdienste wie das FBI belegt. Zudem zeigten interne Dokumente der russischen Präsidialverwaltung die Beteiligung von deren Leiter Sergej Kirijenko an der Planung der Kampagne.
Die Büros der beiden russischen Firmen Social Design Agency und Struktura, die für die Durchführung der Kampagne verantwortlich gemacht werden, befinden sich in fußläufiger Distanz zum Hauptgebäude des russischen Verteidigungsministeriums im Zentrum Moskaus. Unsere Recherche zeigt nun: Entweder nutzen die zwei PR-Firmen eine gemeinsame Internetleitung mit dem Ministerium, oder ein Ministeriumsmitarbeiter griff direkt auf die Kampagnen-Konten zu.
Dem Propaganda-Netzwerk Doppelgänger wurde Stück für Stück die technische Grundlage entzogen – inzwischen erreichen die Fakes offenbar kaum noch Menschen. Damit sind sie wirkungslos.
Diese Recherche entstand in Zusammenarbeit mit Qurium und mithilfe von Daten der Initiative Antibot4Navalny.
Text und Recherche: Alexej Hock, Sarah Thust, Max Bernhard
Redaktion und Faktencheck: Alice Echtermann
Redigatur: Alice Echtermann, Matthias Bau
Design: Ivo Mayr
Grafik: Laila Shahin