Direkt zum Seiteninhalt springen
Meine Merkliste Geteilte Merkliste PDF oder EPUB erstellen

Dokumentation: EU vs Disinfo: Doppelgänger | Russland-Analysen | bpb.de

Russland-Analysen Silowiki (23.12.2024) Analyse: Die Silowiki im Krieg: Die russischen Geheimdienste seit Februar 2022 Analyse: Die GRU – Russlands Militärgeheimdienst Analyse: Russlands Freiwilligenformationen: Vehikel zur Rekrutierung, Loyalitätsbeweis oder Zeichen der Machtdiffusion? Chronik: Hinweis auf die Online-Chronik Einstellung zum Krieg (20.12.2024) Analyse: Entwicklung der gesellschaftlichen Wahrnehmung und der Zustimmung in Russland zum Krieg gegen die Ukraine Umfragen: Einstellung zum Krieg gegen die Ukraine dekoder: Verschollene Gefallene Chronik: Hinweis auf die Online-Chronik Wirtschaftsmodell und Eliten (25.10.2024) Veränderungen in den Beziehungen zwischen Staat und Unternehmen angesichts des Krieges und der Sanktionen Ranking: Russen auf der Forbesliste der Milliardäre weltweit 2024 Analyse: Rätselhafte Todesfälle in der russischen Elite vor dem Hintergrund des russischen Überfalls auf die Ukraine Chronik: Hinweis auf die Online-Chronik Russlands Auslandspropaganda (11.10.2024) Analyse: Wie deutschsprachige alternative Medien vom Kreml unterwandert und instrumentalisiert werden Kommentar: Sympathien für Putin: Eine Folge politischer Entfremdung Kommentar: Schulprojekt: "Russische Propaganda erkennen" – ein Werkstattbericht Dokumentation: Lesetipps: Russische Desinformationskampagne Doppelgänger in Deutschland Dokumentation: EU vs Disinfo: Doppelgänger Dokumentation: Durchführungsverordnung des Rates der Europäischen Union zu Sanktionen gegen Russland Dokumentation: Öffentliche Bewertung des Parlamentarischen Kontrollgremiums des Deutschen Bundestags der russischen Einflussnahme in Deutschland Kommentar: Lauschangriff auf deutsche Offiziere: Russlands hybride Kriegsführung Chronik: Hinweis auf die Online-Chronik Russlands Weizenexporte (12.09.2024) Analyse: Konzentration der russischen Weizenexporte nach Ägypten und in die Türkei: Evidenzen aus den Exporten der Häfen Noworossijsk und Rostow Analyse: Weizenhandel zwischen Russland und dem Iran: ein unsteter Trend Chronik: Hinweis auf die Online-Chronik Nordkaukasus / Russisch-Orthodoxe Kirche (26.07.2024) Analyse: Ramsan Kadyrow: Halb Putins loyaler Prätorianer, halb ergebener Diener des tschetschenischen Volkes Dokumentation: Lesetipps zu Tschetschenien und Kadyrows Gewaltherrschaft, Familienclan, seinem Gesundheitszustand und Spekulationen über seinen Rücktritt Dokumentation: Ramsan Kadyrows Spezialoperation. Was schreiben die Regionalchefs auf Telegram und VK über Russlands Krieg gegen die Ukraine? Analyse: Fehlwahrnehmung: Inguschetien und Dagestan zwei Jahre nach der russischen Vollinvasion in die Ukraine Analyse: Prüfung durch das Gebet. Welche Perspektiven haben die Kriegsgegner in der Russisch-Orthodoxen Kirche? Chronik: Chronik: 1. bis 6. Juli 2024 Geheimhaltung und Manipulation von Daten (05.07.2024) Analyse: Die Open Data-Lage in Russland während des Krieges:
zwischen Drohnenangriffen und bürokratischen Grabenkämpfen Analyse: Die Kunst der Datenmanipulation in Russland: Erkenntnisse aus der COVID-19-Pandemie Chronik: Hinweis auf die Online-Chronik Personalveränderungen in Regierung und Präsidialverwaltung (11.06.2024) Analyse: Regierungsumbildung in Moskau: Herrschaftssicherung sticht Effizienzsteigerung Analyse: Andrej Beloussow – Russlands neuer Kriegsminister dekoder: Alexej Djumin Chronik: 30. April – 18. Mai 2024 Wahlen / Alternativen / öffentliche Meinung (02.05.2024) Analyse: Die Präsidentschaftswahl 2024: Ergebnisse und Deutungen Umfragen: Einstellung im Vorfeld der Präsidentschaftswahl 2024 in Russland Statistik: Präsidentschaftswahlen in Russland 2000 – 2024 dekoder: Es braucht eine Aussicht auf Veränderung Ranking: Die politische Elite im Jahr 2023 Chronik: 18. März – 20. April 2024 Krieg zwischen Israel und Hamas / Antisemitismus (03.04.2024) Analyse: Eine neue Phase der russisch-israelischen Beziehungen nach dem 7. Oktober 2023 Umfragen: Einstellungen zum Krieg zwischen Israel und der Hamas Analyse: Antisemitismus in Russland – ein alter Bekannter meldet sich zurück Umfragen: Antisemitismus in Russland Dokumentation: Gewissensfreiheit und Anti-Extremismus-Gesetzgebung in Russland dekoder: Lesetipp: Gaza und die Juden im Kaukasus Chronik: 11. – 18. März 2024 Annektierte Gebiete (27.03.2024) Analyse: Zehn Jahre russische Annexion: Die aktuelle Lage auf der Krim Analyse: Die Lage im annektierten Donbas zwei Jahre nach dem 24. Februar 2022 Umfragen: Einstellung der Bevölkerung zur Krim und dem Krieg gegen die Ukraine Chronik: 14. Februar – 10. März 2024 Propaganda / Nawalnyj (19.02.2024) Analyse: It’s fake! Wie der Kreml durch Desinformationsvorwürfe die Diskreditierung von Informationen in ein Propagandainstrument verwandelt Kommentar: Der Kampf um die Deutungshoheit. Deutsche Medien zu Ukraine, Krim-Annexion und Russlands Rolle im Jahr 2014 Von der Redaktion: dekoder-Special "Propaganda entschlüsseln" Kommentar: Erste Gedanken zum Tod und zum Leben Alexej Nawalnys Statistik: Politisch motivierte strafrechtliche Verfolgung in Russland Chronik: 23. Januar – 09. Februar 2024

Dokumentation: EU vs Disinfo: Doppelgänger Russland-Analysen Nr. 456

/ 10 Minuten zu lesen

Die russische Desinformationsinitiative "Doppelgänger" nutzt Klone legitimer Webseiten und Netzwerke von Fake-Accounts, um antiukrainische Narrative zu verbreiten. Wie geht die Kampagne vor?

Seit mindestens Februar 2022 richtet sich die von Russland ausgehende, vielschichtige Online-Informationsoperation "Doppelgänger" gegen mehrere Länder weltweit. (© picture-alliance, NurPhoto | Dominika Zarzycka)

1. Einleitung

Seit Februar 2022 oder möglicherweise noch früher organisiert Russland im Internet eine vielschichtige Informationskampagne gegen einige bestimmte Länder. Inhaltlich zielt die Operation hauptsächlich darauf ab:

  • die nach Beginn des russischen Angriffes aufgesetzte Unterstützung für die Ukraine zu untergraben, indem die ukrainische Regierung dämonisiert und des Nazismus und der Korruption beschuldigt wird.

  • die Länder, die die Ukraine unterstützen, innenpolitisch zu spalten mit der Behauptung, dass die finanzielle Unterstützung der Ukraine und die Verhängung von Sanktionen gegen Russland erfolglos bleiben werden und diese letztendlich nur der Zivilgesellschaft schaden.

Das EU DisinfoLab-Team, welches die folgende Untersuchung verfasste, gab dieser Kampagne den Namen „Doppelgänger“, da sie regelmäßig gefälschte Klone von echten Internetauftritten (sowohl von Medienorganisationen als auch von öffentlichen Einrichtungen) verwendet.

Im Laufe der Zeit scheint es, als sei die Kampagne in ihrer Ausrichtung breiter angelegt als nur auf die Doppelgänger-Strategie, doch wird der Name meist auf Nebenoperationen zurückgeführt.

Die Kampagne und ihre Ausprägungen sind dabei auch bekannt als

  • RRN (Recent Reliable News), eine anonyme Nachrichtenmedienorganisation, die große Teile der Operation mit Inhalten versorgt.

  • Matriochka, ein Nebenprojekt, welches gefälschte Videos bekannter Medien mit Social-Media-Konten auf verschiedenen Plattformen verbreitet.

  • Overload, eine Weiterführung des Matriochka-Projekts, welches insbesondere Journalist:innen und Medienhäuser kopiert.

  • Storm-1099/ Storm-1679: Diese Codenamen wurden der Kampagne von Microsoft verliehen .

Die zentralen Akteure, die diese Operation durchführen, sind Struktura und Social Design Agency (auch bekannt als ASP), zwei russische Unternehmen. Das ISD nennt auch Argon Laps als ein weiteres russisches Unternehmen, das an der Operation beteiligt sein könnte .

Doppelgänger-Verstärkungstechniken wurden nicht nur bei Doppelgänger-bezogenen Inhalten eingesetzt. Die Netzwerke bestehender Fake-Accounts und verschleierte Infrastruktur wurden auch zur Verstärkung anderer pro-russischer Operationen wie InfoRos-Assets eingesetzt oder zur Beeinflussung authentischer Nachrichten/Meinungen von legitimen Akteuren genutzt. Aus Berichten geht auch hervor, dass das Portal Kombat eine Vermittlerrolle bei der Weiterverbreitung ähnlicher Inhalte spielt.

Zum gegenwärtigen Zeitpunkt gibt es keine überprüfbaren Anhaltspunkte dafür, dass alle diese Bemühungen zentral koordiniert werden. Wir raten zur Vorsicht bei Berichten, die auf eine Zentralisierung solcher Bemühungen hindeuten.

2. Taktik

Doppelgänger hat vor allem die folgenden Taktiken verwendet, um seine Operation auszuweiten:

Erstellung von Inhalten

  1. Klone von Medien-Websites
    Die meisten der öffentlichkeitswirksamen Aktivitäten von Doppelgänger bestanden in der Entwicklung von Websites, die sich als etablierte Nachrichtenorganisationen ausgaben. Solche Imitationen existierten für Le Monde, The Guardian, Ansa, Der Spiegel und Fox News. Diese Imitationen wurden durch Typosquatting [Eine Form des Internetbetruges, bei der der Angreifer absichtlich URLs registriert, welche Tippfehler von bekannten Websites enthalten, Anm. d. Redaktion] oder alternativen Domänennamen betrieben. Die Operationen nutzten besonders häufig seltene Top-Level-Domains wie .ltd, .online oder .foo.

    Die Artikel, welche oft in schlechter Sprache verfasst waren, entsprachen alle den oben erwähnten Narrativen. Zur Erstellung von Inhalten gehörte auch die Produktion gefälschter Videos, die das Grafikdesign der Nachrichtenplattformen nachahmten.

  2. Klone von Regierungswebsites
    Ähnlich wie bei den etablierten Nachrichtenorganisationen kopierte Doppelgänger Behörden und internationale Organisationen. Als prominente Beispiele können hier die Kopien der Websites des französischen Außenministeriums , des Innenministeriums der deutschen Bundesregierung und sogar der NATO selbst genannt werden. Die angewandte Taktik entspricht dem Typosquatting legitimer Domänennamen bei alternativen DNS-Registrierstellen.

    Inhaltlich konzentrierte sich die Kampagne auf die falsche Ankündigung staatlicher Maßnahmen, wie etwa die Einführung einer Steuer zur Unterstützung der Ukraine, die Verdoppelung aller Militärbudgets oder Präventionskampagnen gegen angeblich importierte ukrainische Kriminalität.

  3. Anti-ukrainische Websites
    Ein weiterer Teil der Operation bestand in der Entwicklung von anti-ukrainischen Websites . Diese Inhalte zielten speziell auf den ukrainischen Präsidenten Wolodymyr Selenskyj durch eine Reihe von Zeichentrickfilmen ab. In diesen Karikaturen werden der ukrainische Staatschef, seine Familie und die ukrainische Regierung als korrupt dargestellt, die blind einer erfundenen internationalen Verschwörung gehorchen und ihre eigenen Bürger ermorden.

  4. Pro-russische Websites
    Darüber hinaus umfasste die Operation auch die Entwicklung und Pflege von pro-russischen Websites. Eine dieser Websites mit der Bezeichnung "War On Fakes" wurde kurz nach dem großangelegten Einmarsch in die Ukraine erstellt. Indem sie Faktenchecks nachahmte, sollte sie Fakten über die ukrainische Verteidigung widerlegen.

    Kurz danach, im Frühjahr 2022, wurde eine weitere Website namens "RRN" eingerichtet, die dieselbe Infrastruktur nutzt. Ursprünglich als "Reliable Russian News" bezeichnet, wurde sie kurzerhand in "Recent Reliable News" umbenannt. Diese Website, die bis heute aktiv ist, übernimmt und verbreitet regelmäßig russische Propagandanachrichten, die den Westen angreifen.

    RRN enthält auch Inhalte und Videointerviews bekannter prorussischer westlicher Akteure. Ein Videointerview mit dem französischen Europaabgeordneten Thierry Mariani wurde von der Website entfernt, nachdem Frankreich im Juni 2023 den russischen Ursprung von RRN aufgedeckt hatte.

  5. Potenzielle hybride Operationen
    Anfang November 2023 tauchten blaue Davidsterne – ein Symbol, das sowohl als pro- als auch als anti-israelisch interpretiert werden kann – auf Gebäuden in Paris auf, gefolgt von Bildern, die sich schnell in den sozialen Medien verbreiteten und kontroverse Auseinandersetzungen und Verwirrung im Internet schürten. Der technische und operative Dienst des französischen Staates, der für den Schutz vor ausländischen digitalen Eingriffen zuständig ist (VIGINUM), entdeckte die Beteiligung eines Netzwerks von mehr als tausend Bots auf X (früher Twitter), die mit RRN verbunden sind.

    In seinem Bedrohungsbericht für das zweite Quartal 2024 deckte Meta ein eigenes CIB-Netzwerk [Coordinated Inauthentic Behavior, abgekürzt CIB, koordiniertes unechtes Verhalten, Anm. d. Red.] auf, das angeblich vom russischen Geheimdienst angeheuert wurde, um an der Davidstern-Operation in Paris "teilzunehmen". Dieses Netzwerk, das Personen zugeschrieben wird, die früher mit anderen CIB-Netzwerken russischer Informationsoperationen (vor allem der Internet Research Agency) in Verbindung standen, war an anderen hybriden Operationen in der Republik Moldau, Polen und Frankreich beteiligt.

Verbreitung von Desinformationen

  1. Verstärkung durch Kommentare von gefälschten Profilen/Accounts auf Meta/X
    Eine der ersten Verbreitungsmethoden der Doppelgänger-Operation war die Verwendung von gefälschten Profilen auf Meta. Ein Beispiel für diese Technik sind die so genannten "German Odettes", ein Netzwerk von Profilen, die alle "Odette" heißen und angeblich für Netflix arbeiten . Dieses Netzwerk verbreitete systematisch die Inhalte von Doppelgänger direkt im Kommentarbereich etablierter Facebook-Seiten. Diese Technik wurde entwickelt, um mit normalen Facebook-Nutzer:innen direkt in Kontakt zu treten, ohne dass sie dabei so stark in Erscheinung treten wie durch eine eigene Facebook-Seite selbst.

    Ein Teil der Operation nutzte auch die unechte Verbreitung auf X durch Netzwerke von Fake-Accounts . Diese koordiniert betriebenen Konten verbreiteten Doppelgänger-Assets an ihr Publikum und beantworteten Tweets nach einem ähnlichen Modus Operandi wie auf Meta.

  2. Verstärkung auf anderen Plattformen
    Aus Arbeitsunterlagen von Struktura, die der Washington Post vorliegen, geht hervor, dass die Betreiber von Doppelgänger wöchentlich über die Leistung der Operation berichten. Dashboards zeigen, dass Narrative und Reichweite auf allen Plattformen, einschließlich Facebook, YouTube, Telegram und TikTok, überwacht werden.

    Weitere Ressourcen sind aus dem Bericht des deutschen Außenministeriums ersichtlich .

  3. Kauf von Anzeigen mit Netzwerken von gefälschten Facebook-Seiten
    Eine wiederkehrende Taktik der Doppelgänger-Betreiber war die Nutzung der Werbeplattform von Meta . Durch den Unterhalt von tausenden von Facebook-Seiten haben die Doppelgänger-Betreiber versucht, Facebook-Nutzer:innen mit den von ihnen produzierten Inhalten anzusprechen. Diese Verstärkung erfolgte über so genannte "Burner"-Konten, d. h. Wegwerfkonten, die nur für eine einzige Werbung genutzt und dann aufgegeben wurden.

  4. Verschleierung/ OpSec
    Die Operation hat spezielle operative Sicherheitsmaßnahmen [auch als OpSec bezeichnet, Anm. d. Red.] eingeführt, um ihren Ursprung zu verschleiern. Dazu gehörte zum Beispiel Geofencing, eine Einstellung, mit der die Sichtbarkeit von Inhalten für bestimmte Nutzer:innen eingeschränkt werden kann . So konnte beispielsweise französischer Internetnutzer:innen die für deutsche Nutzer:innen vorgesehenen Inhalte nicht sehen.

    Bei der Operation wurden auch mehrere Umleitungs-URLs verwendet, um die von Plattformen wie Meta eingerichteten Beschränkungen für Doppelgänger-Domänennamen zu umgehen. Ein Teil dieser Verschleierungsinfrastruktur wurde nun aufgedeckt .

3. Reichweite und Wirkung

Daten, welche vom bayerischen Landesamt für Verfassungsschutz veröffentlicht wurden, zeigen die folgende Verteilung der Kampagnen und Klicks. Diese Daten beziehen sich auf den Zeitraum von Mai 2023 bis Juli 2024 für nur 2 identifizierte Server. Der ursprüngliche Zeitraum von Februar 2022 bis Mai 2023 ist daher nicht enthalten, und wahrscheinlich sind auch nicht alle Kampagnen in dem überwachten Zeitraum durchgeführt worden.

Insgesamt konnten 7983 Kampagnen und 828 842 Klicks (durchschnittlich 103 Klicks pro Kampagne) festgestellt werden: Wichtigste Zielländer waren dabei

  • Deutschland, 2250 Kampagnen, 250 061 Klicks (30,17 %)

  • Frankreich, 2245 Kampagnen, 249 481 Klicks (30,1 %)

  • USA, 1024 Kampagnen, 180 521 Klicks (21,78 %)

  • Ukraine, 1339 Kampagnen, 148 777 Klicks (17,95 %)

  • Israel, 221 Kampagnen, (keine detaillierten Zahlen)

  • Polen, 118 Kampagnen, (Keine detaillierten Zahlen)

  • Italien, 89 Kampagnen, (Keine detaillierten Zahlen)

  • Lettland, (beobachtet im Jahr 2022, aber keine Zahlen)

  • Vereinigtes Königreich, (beobachtet im Jahr 2023, aber keine Zahlen)

Im September 2022 gab Meta bekannt, dass rund 105.000 USD in Anzeigen auf ihrer Plattform investiert wurden. Seitdem haben Untersuchungen gezeigt, dass immer noch Tausende von Anzeigen über die Plattform geschaltet und moderiert werden. Zum gegenwärtigen Zeitpunkt hat Meta noch keine aktualisierte öffentliche Mitteilung zu dieser Angelegenheit gemacht .

Im 2. Quartal 2024 gab Meta an, dass "seit der letzten Aktualisierung im Mai über 5.000 Konten und Seiten entdeckt und entfernt wurden". Im August 2024 gab Meta bekannt, dass bei diesem Vorgang mehr als 6000 Bedrohungsindikatoren entdeckt und auf Github veröffentlicht wurden. Fast alle (96 Prozent) Indikatoren betreffen Umleitungsdomänen, die von der Plattform blockiert werden.

Die wichtigsten geklonten Organisationen sind:

  • Medienorganisationen (Online-Versionen etablierter Zeitungen)

  • Französisches Ministerium für öffentliche Angelegenheiten

  • Deutsches Bundesministerium des Innern

  • NATO

Verwendete Plattformen:

  • Facebook

  • Instagram (Werbung nur für Instagram-Nutzer)

  • X

  • Dailymotion

4. Attribution

Im Dezember 2022 schrieb Meta den Vorgang zwei russischen Unternehmen zu: Struktura und Social Media Agency. Im Juni 2023 bestätigte VIGINUM (der französische Dienst zur Bekämpfung digitaler ausländischer Einmischung) diese Informationen.

Im November 2023 wird im Rahmen einer laufenden Untersuchung der hybriden "Davidstern"-Operation geprüft, ob weitere Personen beteiligt sind. Die französischen Behörden führen die Ausweitung dieser hybriden Operation auf das Doppelgänger/RRN-Netzwerk zurück .

Im November 2023 schrieb das US-Außenministerium denselben beiden russischen Unternehmen und ihren Managern auch eine auf Lateinamerika ausgerichtete Informationsoperation zu .

Es gibt immer noch ungelöste Fragen über die Verbindung zwischen der Doppelgänger-Operation und anderen Informationsoperationen wie Matriochka oder Overload .

Mehrere europäische und globale Unternehmen wurden von der Doppelganger-Operation als Vermittler/Dienstleister eingesetzt, beispielsweise für Geofencing- und Hosting-Lösungen oder den direkten Erwerb von Domänennamen.

5. Reaktionen

EU DisinfoLab hat eine erste Bewertung der Maßnahmen , die gegen die Doppelgänger-Kampagne ergriffen wurden, anhand von fünf Hauptkriterien vorgenommen:

  • Situationsbewusstsein

  • Auswirkungen auf die Fähigkeiten der schädlichen Akteure

  • Auslösen neuer Reaktionen

  • Zuschreibung

  • Abschreckung

Nach der Aufdeckung haben mehrere Medien angekündigt, rechtliche Schritte wegen Plagiats einzuleiten (Le Monde, Süddeutsche Zeitung und 20 Minuten, soweit wir wissen).

Im Juli 2023 wurden die Unternehmen Struktura und Social Media Agency sowie einige deren Betreiber auf die EU-Sanktionsliste gesetzt. Dem Rat der EU zufolge

Zitat

unterliegen alle genannten Personen einem Einfrieren von Vermögenswerten, und EU-Bürger:innen und Unternehmen ist es untersagt, ihnen Gelder zur Verfügung zu stellen. Natürliche Personen unterliegen darüber hinaus einem Reiseverbot, das sie an der Einreise in oder der Durchreise durch EU-Gebiete hindert.

Außerdem konnte die französische Regierung im Oktober 2023 nach einer Entscheidung des World Intellectual Property Office (WIPO) den Domainnamen beschlagnahmen, der das französische Außenministerium nachahmte (diplomatie.gouv[.]fm). Das Urteil besagt, dass NameCheap, das für den Verkauf dieses Domänennamens an eine Einzelperson verantwortlich war, die Domäne an die französische Regierung zurückgeben muss.

Seitdem wurden in ähnlichen Entscheidungen Doppelgänger-Domänennamen an rechtmäßige Inhaber zurückgegeben.

Weitere Inhalte