Deutschlands Politik und Medien unter dem Einfluss nachrichtendienstlicher Aktivitäten.

Diese Woche haben mehrere Politiker und Medien in einer konzertierten Aktion Russische Nachrichtendienste bzw. „Russland“ beschuldigt, in Deutschland und der EU Desinformation mittels gefälschter Seiten bekannter Nachrichtenportale zu verbreiten.

In diesem Artikel werden betroffene Portale, die verwendete Technik, die erzielte Reichweite und mögliche Täter genauer beleuchtet. Bisher wurde in keinem der publizierten Artikel die Technik soweit beschrieben, dass auch Laien die Anschuldigungen nachvollziehen können.

Selbst Journalisten, die die Artikel veröffentlichen, verfügen nicht immer über das entsprechende Hintergrundwissen.

Der T-Online Redakteur Lars Wienand hat freundlicherweise eine Sammlung von Adressen auf Twitter zur Verfügung gestellt. Erstellt wurde diese Linksammlung in Kooperation mit Julia Smirnova von der Denkfabrik ISD Global.

Kommen wir anhand des Beispiels https://news.bild.pics/article/2607OKGBB.bild.html zur funktionsweise der Technik:

1. Entfernen wir den Protokollheader http://, https:// oder // von der Linken Seite ausgehend.
Übrig bleibt news.bild.pics/article/2607OKGBB.bild.html

2. Entfernen wir von rechts alles nach dem ersten /
Übrig bleibt news.bild.pics

3. Um zur verwendeten TLD (der Top Level Domäne/Domain) zu gelangen, sucht man nach dem ersten Punkt von Rechts. Die TLD wäre damit pics, andere TLD`s sind zum Beispiel „com“ , „de“ …

4. Der Domänenname ist der nächste Punkt von rechts.
bild.pics ist hier der komplette Domänenname, news ist eine Subdomain.


https://news.bild.pics/article/2607OKGBB.bild.html

Verglichen mit einem konventionellem Dateisystem heißt dass, die Datei 2607OKGBB.bild.html, liegt in einem Unterverzeichnis namens article auf dem Server news im Netzwerk bild.pics.

Wenn ihr Computerbrowser (Google Chrome, Safari, Edge, Mozilla FireFox, Opera, InternetExplorer…) die Seite news.bild.pics/article/2607OKGBB.bild.html aufruft passiert im Hintergrund folgendes:

Der Computer kann nur mit IP Adressen andere Internetseiten finden. Das heißt die Domäne bild.pics, bzw. news.bild.pics muss in eine IP (Internet Protocol) Adresse übersetzt werden. Dazu findet eine Anfrage an einen DNS (Domain Name System) Server statt. Dieser gibt als Antwort zurück, unter welcher IP Adresse ihr Computer diesen Namen im Internet findet.

Während man in Deutschland eine Internetseite mit Domäne und Speicherplatz in der Regel als Komplettpaket bei Strato oder 1und1 erwirbt, sind Webseiten von Online Kriminellen modularer aufgebaut.

In der Praxis hat man einen Domain Name Registrar, zum Beispiel das in Phoenix/Arizona ansässige Unternehmen „namecheap“. Bei diesem kann man günstig eine Internetadresse erwerben. (zum Beispiel Bild.pics). Gleichzeitig bietet „namecheap“ eine Anonymisierung an. D.h. der Kunde muss keine privaten Daten von sich veröffentlichen. Nach außen bietet Namecheap eine Support Telefonnummer und eine gefälschte Kontaktadresse mit Sitz in Reykjavik an. An dieser Adresse befindet sich ein Phallus Museum.

Eine bei Namecheap gekaufte Domäne kann man nun auf einen Webspace oder Virtuellen Server weiterleiten, zum Beispiel beim niederländischen Anbieter Worldstream.

Um das ganze gegen Computerangriffe abzusichern, oder dynamisch zu verwalten verwendet man den Service des NYSE gelisteten US Unternehmen Cloudflare.

Das US Department für Homeland Security setzt übrigens ebenfalls auf Cloudflare.

Entsprechend konfiguriert kann man aus dem Internet lediglich den Namen einer Domäne und deren IP-Adresse einsehen. Mittels Cloudflare lässt sich selbst der Registrar verschleiern.

Fassen wir die Erkenntnisse zur Arbeitsweise kurz zusammen:

Cyberkriminelle verwenden Internetdienste um ihre Identität zu verschleiern. Die verwendete Technik ist modular. Beim Ausfall einer Komponente, lässt sich schnell ein Ersatz einrichten, so dass „Downtimes“ zum Beispiel des Webspace in kurzer Zeit durch eine Neukonfiguration behoben werden können.

Ein Beispiel aus der Praxis


Wenden wir unsere Erkenntnisse an der ukrainischen myrotvorets.center website an.
Dabei handelt es sich um einen Internetpranger von in der Ukraine unerwünschten Personen. Darauf befinden sich auch Prominente wie Gerhard Schröder, Wolfgang Ischinger (Link), die Vorsitzende der Partei BüSo Helga Zepp-LaRouche aber auch die kürzlich ermordete russische Journalistin Darya Dugina, deren „Mugshot“ auf der Seite mit „Liquidiert“ überschrieben wurde.

Um an den Registrar der Website zu gelangen machen wir eine Anfrage bei ICANN. Dies ist die Behörde in der alle Internetadressen gelistet sind.

https://lookup.icann.org/en Hierbei erscheint als Registrar lediglich das US Unternehmen Cloudflare.


Um an die verwendete IP Adresse zu gelangen gibt es unter Mac und Windows das ping Utility.
Unter Windows drückt man die Windows-Taste + R-Taste gleichzeitig und gibt dann den Befehl CMD mit der Tastatur ein. Nun sollte sich ein Konsolenfenster öffnen.

Hier gibt man ein „ping myrotvorets.center“

Nun erhält man die IP Adresse (104.26.12.59) zurück, unter welcher die Website im Internet erreichbar ist.

Diese URL kann man zum Beispiel mittels https://www.geolocation.com oder https://whois.domaintools.com zurückverfolgen.


Auch hier landet man bei Cloudflare. Manchmal lassen sich aber auch im verwendeten HTML Quelltext der Internetseite Hinweise finden. Wir öffnen also die Seite myrotvorets.center in einem neuen Browserfenster. Hier kann mittels Google Chrome über die Taste F12 im Quelltext suchen.

Wir suchen uns statt dessen jedoch eines der Bilder und kopieren die Bildadresse. In Chrome reicht dazu unter Windows ein Rechtsklick mit der Maus auf eines der Bilder.

Wir fügen das Ergebnis nun in die Adressleiste des Browsers ein.

Man erhält nun zum Beispiel folgende URL:

https://psb4ukr.natocdn.net/2022/02/EPmLWt-W4AAby0e.jpg

Die verwendete Domain natocdn.net liefert bei einer Suche mittels https://whois.domaintools.com/natocdn.net das NATO Hauptquartier in Brüssel als Serverstandort zurück.

Nun handelt es sich bei natocdn.net jedoch um eine genauso falsche Domain wie bei bild.pics.
Die Technik ist dabei aber identisch. Hier wurde der Cloudflare DNS Server Eintrag für die Adresse natocdn.net auf einen ungenutzten IP Bereich der NATO gesetzt. Der DNS Eintrag von psb4ukr.natocdn.net verweist dagegen auf die korrekte IP des realen Webservers.

Der NATO ist der Vorgang bekannt – es wird jedoch nicht reagiert. Die IP Adresse (psb4ukr.natocdn.net) des Webspace verweist ebenfalls auf das US Unternehmen Cloudflare (172.67.154.248).

Wir sehen also, dass die Seite für Außenstehende komplett anonymisiert ist.
Der einzige mögliche Kontakt wäre das Abuse Formulat bei CloudFlare.

Kommen wir zurück zu den Konten, welche die URL`s verbreitet haben.
Die Bilder angeblicher Personen sind computergeneriert mittels künstlicher Intelligenz.
Die gleiche Technik wird bereits seit Jahren von polarisierenden regierungsnahen Propagandakonten wie @Hosenmaus1 auf Twitter eingesetzt wird.

Die Bilder der Seite thispersondoesnotexist.com zeichnen sich dadurch aus, dass die Augen auf der gleichen Höhe liegen.

Auch das Bild des Twitterkonto Hosenmaus1 ist computergeneriert.

Ein weiteres Merkmal, die Pupillen sind eher sternförmig als rund.

Kommen wir zur Auswirkung der „Netflixfrauen“ Kampagne.

T-Online hat durch mehrere Beschwerden bei Cloudflare erreicht, dass die T-Online DNS Einträge gelöscht wurden. Dadurch gingen die gefälschten T-Online Seiten dauerhaft vom Netz. Springer fehlt eventuell die T-Online Technik als Druckmittel, oder die Story scheint nicht interessant für Bild…

Die Inhalte die geteilt werden, entsprechen Bildzeitungsniveau – und zeichnen sich vor allem durch ihren Clickbait Charakter aus.

Verwendete Social Media Konten gehören unter anderem auch zu Netzwerken, die auch Bitcoin Scamming betreiben. Eines der realen Bilder wurden auf VKontakte geklaut. Der Text im Bild verlinkt zu einem Russischen Photographen. Dieses Russische Facebook äquivalent ist jedoch gleichermaßen unter Ukrainern beliebt.

Die Reichweite der Kampagne außerhalb von Facebook Gruppen und Twitter schien äußerst limitiert, jedoch ausreichend genug für eine breite mediale Berichterstattung. Innerhalb von Twitter soll es laut T-Online 4200 Posts von ca. 100 Konten gegeben haben. Eine Anzahl die ich auf Grund der bereits erfolgten Sperrungen der gezeigten Accounts nicht mehr verifizieren konnte.

Facebook Posting, wird umgehend als Fälschung entlarvt.

Ergebnisoffene Analyse möglicher Drahtzieher:

AFD: Auf den ersten Blick könnte man eine Analogie zur Kampagne „Grüner Mist“ ziehen.
Auf Twitter wurden Konten synthetisiert, die AFD Konten mit Nähe zu russischen Konten assoziieren sollen. Ganz klar dagegen spricht jedoch eine fehlende Zirkulation der Fake-Seiten innerhalb entsprechender Kreise.

Russland: Schon vorab lässt sich sagen – für Russische Dienste wäre diese Kampagne nicht professionell genug. Zudem existieren defekte Websiten.

Gegen Russland spricht vor allem, dass die verwendete Infrastruktur komplett aus den USA per Cloudflare gesteuert wird, mit US Diensten wie namecheap, die sich hinter der Ukraine positioniert haben, und im Falle von CloudFlare sogar mit Homeland Security zusammen arbeiten.


Interessant wird es, wenn man die Sponsoren hinter ISD-Global betrachtet, welche die Analyse dieser Kampagne durchgeführt haben. Hier findet sich ebenfalls die US Homeland Security als Geldgeber.

https://www.isdglobal.org/partnerships-and-funders/

Somit kommt letztendlich noch eine weitere Partei in Betracht.

NATO/US/Ukraine:

Mit einer neuen Gefährdung durch Russland lassen sich 64.000 NAFO Accounts rechtfertigen, von denen einige medial auf alles eindreschen, was sich gegen NATO oder Ukraine-Krieg äußert.

Seit Präsident Selenski Anfang diesen Jahres Cryptowährungen legalisierte kam es zu massiven Steigerungen im Bereich Crypto Scamming, für welches einige der Accounts initial angelegt wurden.

Die verwendete Technik wurde bereits zuvor von der Ukrainischen Seite (Myrotvorets) sowie dem offensichtlich regierungsnahen Konto Hosenmaus1 eingesetzt.

Das Bedrohungsszenario durch Russland aufrecht zu erhalten dient dem militärisch-industriellen Komplex der USA. Dessen Thinktanks und NGOS von Atlantikbrücke, AtlanticCouncil, Brookings, CFR, GMF, OSF bis zur SWP,… durchziehen Deutschlands Medien und Politik. Hier dominiert neben Waffengeschäften die Aussicht auf unglaubliche Gewinne durch Energieexporte in die EU. Eskalation und militärische Berichterstattung steigern dabei die Zustimmungsraten zur NATO.

Weiterführende Urls:

Hosenmaus1 ursprüngliches Profilfoto zum Download aus dem Internet Archiv

Berichterstattung

Das Innenministerium hält den russischen Staat für verantwortlich.

DLF Vorsicht vor nachgebauten Websiten im Netz

T-Online Prorussische Kampagne: Das steckt hinter den Netflixfrauen

Deutsche Welle: Der Erfolg gefälschter Nachrichtenportale

RND: Russland fälscht Deutsche Nachrichtenseiten

ZDF: ProRussische Propaganda FakeNews Seiten enttarnt

Twitter
https://twitter.com/PeggyDaw5/with_replies (Aug 06th)

https://twitter.com/nix80589452/with_replies (Aug14th)

https://twitter.com/AtuAtkinson/with_replies (Aug 06th)

Facebook
https://www.facebook.com/profile.php?id=100077263268268&sk=about
https://www.facebook.com/taz.kommune/posts/pfbid0KRWfUXqq8ic6A842PrJKQXh9jEWTesfiKUPeJLfdyqWbG8UvraK6CXWUeZUKy8KGl?comment_id=1197513341097898 (August 18th)
Einige der Facebook Profile können über die Suche nach dem Arbeitsplatz „Netflix“ über die Facebook Suche gefunden werden.

Fake Websiten
Linksammlung

Defekte Fake Website
https://wvw.spiegeli.life/article/0408OKGCS.html

Gemeinsame Datenrecherche von ISD Germany und HateAid, zum Wahlkampf September 2021.
Eine Spiegel Journalistin kündigt an, dass HateAid Accounts anzeigt, die ein vermeintlich manipuliertes Bärbock Video teilen. Das Problem dabei – Bärbock sagt Sie wird die Ukraine unterstützen, egal was ihre Wähler davon halten, übrigens schon zum zweiten Mal. HateAid wird durch das Bundesprogramm „Demokratie Leben!“ gefördert.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s