Когда фейковые новости носят знакомое лицо
В сентябре 2022 года исследователи EU DisinfoLab обнаружили нечто тревожное: сеть сайтов, которые выглядели точно как самые авторитетные европейские газеты, но таковыми не являлись. Те же логотипы, тот же дизайн, те же шрифты. Только доменные имена слегка отличались. А статьи, которые они публиковали, были чистой кремлёвской пространсивой.
Исследователи назвали это «Doppelganger» — по-немецки «двойник». Это стало одной из самых изощрённых и устойчивых российских информационных операций из когда-либо задокументированных.
Механика клонирования СМИ
Концепция была обманчиво проста. Российские операторы покупали доменные имена, очень похожие на настоящие СМИ. Вместо spiegel.de они регистрировали spiegel.ltd. Вместо washingtonpost.com создавали washingtonpost.pm. Визуальный дизайн копировался до мельчайших деталей — те же цвета, типографика, меню навигации. Многие страницы даже содержали ссылки на реальные статьи подлинных сайтов, что делало обман ещё сложнее для обнаружения.
К моменту, когда следователи составили карту операции, были подделаны минимум 17 крупных СМИ: немецкие Bild, Der Spiegel, Süddeutsche Zeitung, Die Welt, Frankfurter Allgemeine Zeitung и Der Tagesspiegel; французские Le Monde, Le Figaro, Le Parisien и 20 Minutes; итальянское Ansa; британское The Guardian; польские Polityka и Polskie Radio; украинские RBC Ukraine и UNIAN; американские Fox News и The Washington Post.
Фальшивые статьи не отличались тонкостью. Они изображали Украину коррумпированной и нацистской. Отрицали резню в Буче. Утверждали, что западная военная помощь разворовывается. Предупреждали, что поддержка Украины разорит европейские экономики. Одна фальшивая статья Le Monde вышла с заголовком: «Французский министр поддерживает убийство российских солдат в Украине».
Операция также нацелилась на правительственные сайты. Фальшивые версии сайта НАТО (nato.ws) публиковали сфабрикованные пресс-релизы об удвоении военных бюджетов. Клоны Министерства внутренних дел Германии и МИД Франции распространяли ложные политические заявления.
Кто стоял за этим
Американские и европейские следователи проследили Doppelganger до совокупности российских компаний, действовавших под руководством Кремля. Агентство социального проектирования (Social Design Agency, SDA) под руководством Ильи Гамбашидзе и «Структура Нэшнл Текнолоджис» (Structura), основанная Николаем Тупикиным, были определены как основные операторы. Некоммерческая организация АНО «Диалог» предоставляла инструменты на базе ИИ для генерации контента.
Но цепочка командования тянулась выше. Согласно 277-страничному аффидевиту ФБР, рассекреченному в сентябре 2024 года, операцией руководил Сергей Кириенко — первый заместитель главы Администрации Президента РФ и, как описало его Министерство финансов США, «правая рука Путина» и куратор внутренней политики.
Внутренние документы, полученные следователями, показывали регулярную связь между операторами и представителями Кремля. Еженедельные отчёты отслеживали эффективность кампании на разных платформах — Facebook, YouTube, Telegram, TikTok. Дашборды мониторили, какие нарративы набирают обороты, а какие нуждаются в корректировке.
Машина усиления
Создание фальшивых сайтов было лишь половиной операции. Контент должен был дойти до реальной аудитории. Операторы Doppelganger использовали несколько техник:
Ботнеты. Сотни фальшивых аккаунтов в соцсетях — выдающих себя за американцев, немцев, французов и других — делились ссылками на клонированные сайты. Эти аккаунты публиковали комментарии, участвовали в дискуссиях и постепенно наращивали аудиторию. Только в X (бывший Twitter) исследователи отследили более 800 аккаунтов, продвигавших фальшивые украинские новостные статьи.
Платная реклама. Операторы закупали рекламу в Facebook, таргетируя французских и немецких пользователей сообщениями о помощи Украине, протестах фермеров и войне в Газе. AI Forensics, некоммерческая организация, отслеживающая онлайн-манипуляции, обнаружила, что реклама охватила в 5-10 раз больше людей, чем предполагалось изначально.
Клоакинг (маскировка). Чтобы обойти модерацию платформ, Doppelganger использовал технику, заимствованную у киберпреступников. Ссылки в соцсетях вели не напрямую на фальшивые новостные сайты. Пользователей перенаправляли через одноразовые домены с безобидными названиями типа «radilwanised.shop» или «climzenante.shop». Система определяла потенциальных целей (по местоположению и другим факторам) и только затем перенаправляла их к пропагандистскому контенту. Модераторы X или Facebook видели лишь безобидные страницы.
Эксплуатация знаменитостей. В ноябре 2023 года исследователи обнаружили рекламу в Facebook со сфабрикованными пророссийскими цитатами, приписанными Тейлор Свифт, Бейонсе, Джастину Биберу и другим знаменитостям. Реклама должна была создать впечатление, что популярные западные фигуры тайно поддерживают российские позиции.
Парижские звёзды Давида
Одна операция Doppelganger перешла из цифрового пространства в физическое. В конце октября 2023 года на зданиях по всему Парижу начали появляться синие звёзды Давида — граффити, нанесённые через трафарет и немедленно осуждённые как антисемитские. Образность вызывала ассоциации с нацистскими преследованиями.
Французские власти проследили граффити до молдавской пары, завербованной Анатолием Призенко, пророссийским молдавским бизнесменом. Операция была задумана для того, чтобы посеять разделение и разжечь напряжённость — а затем усилить это через российские СМИ, изображая Францию враждебной к евреям. 9 ноября 2023 года Франция официально обвинила сеть Doppelganger в организации этого инцидента.
Устойчивость операции
Несмотря на разоблачение, Doppelganger отказывался умирать. ЕС ввёл санкции против Social Design Agency, «Структуры» и ключевых лиц в июле 2023 года. Министерство финансов США включило их в свой санкционный список в марте 2024 года. В сентябре 2024 года Министерство юстиции США изъяло 32 домена — и в течение нескольких дней операторы зарегистрировали новые через немецкую компанию (1API GmbH), которая закрыла их только после того, как журналисты подняли тревогу.
Техническая инфраструктура постоянно менялась. Когда немецкий хостинг-провайдер Hetzner заблокировал аккаунты Doppelganger, операция переместилась в другое место. Когда эстонская софтверная компания Apliteni обнаружила, что её инструмент перенаправления Keitaro используется злоумышленниками, она отозвала лицензии — но операторы просто нашли альтернативы. Bulletproof-хостинг-провайдер AEZA, несмотря на то что его основатели преследовались за управление даркнет-маркетплейсом наркотиков, продолжал предоставлять инфраструктуру до введения санкций США, Великобритании и Австралии в ноябре 2025 года.
Исследователи обнаружили, что IP-адреса, с которых осуществлялся доступ к инфраструктуре Doppelganger, включали адреса Воентелекома — телекоммуникационной компании, основанной российским правительством и работающей под Министерством обороны. Цифровые следы вели напрямую к российскому государству.
Эволюция ИИ
По мере развития операции в неё интегрировался искусственный интеллект. В мае 2024 года OpenAI объявила об удалении аккаунтов, используемых Doppelganger для операций влияния. Связанная сеть под названием CopyCop за один месяц зарегистрировала более сотни веб-сайтов, все с ИИ-сгенерированными персонами журналистов — слегка изменёнными вариациями реальных консервативных американских медийных личностей.
Экономика была убедительной. Как отметил один исследователь: «Фабрике троллей Пригожина больше не нужно набивать ряды компьютеров в пыльном петербургском ангаре, когда ИИ может выполнять работу целой команды троллей с одного устройства». Стоимость единицы влияния резко упала.
Уроки Doppelganger
Доверие можно взломать. Doppelganger эксплуатировал визуальный язык достоверности — знакомые логотипы, профессиональный дизайн, легитимно выглядящие домены — чтобы отмыть пропаганду через видимость журналистики. Читатели, видевшие «spiegel.ltd», не всегда замечали, что это не «spiegel.de».
Система доменов уязвима. Ничто не помешало российским операторам покупать домены, имитирующие известные бренды. EU DisinfoLab призвала к лучшему регулированию индустрии доменных имён для защиты легитимных игроков от имперсонации.
Санкции имеют пределы. Несмотря на санкции ЕС и США, операция продолжалась годами. Операторы просто перемещались между хостинг-провайдерами, платёжными процессорами и доменными регистраторами — зачастую внутри самой Европы.
Реакция платформ остаётся неадекватной. Facebook и X с трудом справлялись с техниками клоакинга, одноразовыми доменами и ботнетами. Операторы неизменно были на шаг впереди.
Атрибуция не равна сдерживанию. Даже после того как Кириенко был публично назван руководителем, даже после утечки внутренних документов, даже после санкций против компаний и физических лиц — Doppelganger адаптировался и продолжал работать. Кремль рассчитал, что выгоды перевешивают издержки.
Doppelganger представляет новую категорию информационной войны: промышленное имитирование доверенных институтов. В среде, где любой может клонировать сайт за минуты, сама подлинность новостей становится жертвой.
Источники:
- EU DisinfoLab. «Doppelganger: Media clones serving Russian propaganda.» Сентябрь 2022.
- Министерство юстиции США. «Justice Department Disrupts Covert Russian Government-Sponsored Foreign Malign Influence Operation.» 4 сентября 2024.
- CORRECTIV. «Inside Doppelganger: How Russia uses EU companies for its propaganda.» Июль 2024.
- Atlantic Council DFRLab. «Doppelganger: How Russia mimicked real news sites to target US audiences.» Сентябрь 2024.
- Центр восточных исследований (OSW). «‘Doppelgänger’: the pattern of Russia’s anti-Western influence operation.» Сентябрь 2024.
