
Идентификатор: TRR240701
Опубликовано 25 июля 2024 г. | Время чтения: 54 мин
В последние месяцы наблюдатели и аналитики угроз фиксируют резкий рост сложных кампаний по дезинформации в Европе и Соединённых Штатах. Эти кампании, классифицируемые как информационные операции типа «Доппельгангер», используют новые инфраструктурные приёмы, многоуровневые цепочки переадресации и бот-сети в социальных медиа для манипулирования нарративами и влияния на общественное мнение. В этом материале мы разбираем технические детали происходящего — от инфраструктурных особенностей до примеров кода для анализа. Независимо от того, являетесь ли вы новичком в кибербезопасности или опытным исследователем, это руководство даст полезные сведения о развивающихся угрозах и покажет, как обнаруживать, анализировать и противостоять им.
Современные кампании дезинформации ушли далеко от простых фальшивых новостных сайтов и обманных постов в соцсетях. Недавние операции середины года — преимущественно проводимые российскими акторами — продемонстрировали отточенный модус операнди, получивший название «распространение по схеме Доппельгангер». Особенно активно они отслеживались в контексте политических событий, таких как внеочередные парламентские выборы во Франции в июне 2024 года.
В этом материале мы рассмотрим:
Для команд, занимающихся киберразведкой (CTI), понимание этих механизмов критически важно для снижения рисков и защиты демократических процессов от манипуляций.
Операции «Доппельгангер» — это согласованные кампании информационного воздействия, которые:
Термин «Доппельгангер» в исследованиях охватывает:
Появление подобных кампаний, особенно на фоне внезапных политических событий, подчёркивает необходимость для специалистов по кибербезопасности совершенствовать методы анализа.
В сердце операций «Доппельгангер» лежит тщательно выстроенная цепочка, затрудняющая отслеживание первоначального источника контента.
Посты в соцсетях
Редиректоры первого уровня
Редиректоры второго уровня
Финальный ресурс
Пост в соцсетях (X/Twitter)
│
▼
Редиректор 1-го уровня (рандомный URL)
│ (обфусцированный HTML, meta-редирект)
▼
Редиректор 2-го уровня (доп. обфускация)
│
▼
Финальный сайт (дезинформация / имитация СМИ)
Понимание каждого звена критически важно для охотников за угрозами и CTI-аналитиков.
Отличительная черта «Доппельгангера» — постоянная ротация и маскировка инфраструктуры. Операторы:
Особенности:
Динамические URL-шаблоны
• http(s)://<5–6 случайных символов>.<домен>/<6 символов>
• http(s)://<короткий-домен>/<6 символов>
Тренды регистрации
Часто используются TLD .click, .top, .shop.
Серверные детали
Нередки IP, где запущены:
Пример HTML редиректора 1-го уровня:
<!DOCTYPE html>
<html>
<head>
<title>Гражданство неважно, если вы поддерживаете Байдена</title>
...
<meta http-equiv='refresh' content='0; url=hxxp://vickypitner[.]com/wash9261378'>
</head>
<body>
<script type="text/javascript">
var _0xc80e=[...];
</script>
<div>
принц-регент – А кто занимается похоронами? Не вы? ...
</div>
</body>
</html>
Особенности:
<meta http-equiv="refresh"> или JavaScript.Пример HTML редиректора 2-го уровня:
<html lang="en">
<head>
...
<title>with their hippopotamus.</title>
</head>
<body>
<div class="header">
<h1>Website Header</h1>
<a href="page2.html">Page 2</a>
</div>
</body>
</html>
С мая по конец июля 2024 г. исследователи зафиксировали тысячи таких URL на сотнях доменов.
Диссеминация ботами
Многоязычность и уникальность
Посты на английском, французском, немецком, польском, украинском — для расширения охвата.
Отвлекающие сюжеты
Пример: AI-генерированный клип, пародирующий группу Little Big и высмеивающий Олимпиаду-2024 в Париже.
Контекст:
Внеочередные парламентские выборы (июнь 2024 г.) стали триггером.
Наблюдения:
Контекст:
AI-клип, высмеивающий Олимпиаду-2024, распространялся «безобидными» аккаунтами.
Вывод:
Комбинация анализа контента и поведения критична: видео-формат ускользает от текстовых фильтров, но инфраструктура выдаёт схему «Доппельгангер».
Интеграция угрозоразведки
Анализ сетевого трафика
Защита конечных точек
Осведомлённость пользователей
#!/bin/bash
# scan_redirects.sh
# Сканирует список URL и ищет meta-редиректы
# Использование: ./scan_redirects.sh urls.txt
if [ $# -ne 1 ]; then
echo "Usage: $0 <urls_file>"
exit 1
fi
URLS_FILE="$1"
if [ ! -f "$URLS_FILE" ]; then
echo "File $URLS_FILE does not exist."
exit 1
fi
while IFS= read -r url; do
echo "Scanning URL: $url"
meta=$(curl -sL "$url" | grep -i "meta http-equiv='refresh'")
if [ -z "$meta" ]; then
echo "No meta refresh found for $url"
else
echo "Found meta refresh: $meta"
fi
echo "---------------------------------------"
done < "$URLS_FILE"
#!/usr/bin/env python3
import re
import requests
from bs4 import BeautifulSoup
def fetch_html(url):
try:
response = requests.get(url, timeout=10)
response.raise_for_status()
return response.text
except Exception as e:
print(f"Error fetching {url}: {e}")
return ""
def extract_redirect_url(html):
soup = BeautifulSoup(html, 'html.parser')
meta = soup.find('meta', attrs={'http-equiv': re.compile('refresh', re.I)})
if meta:
content = meta.get('content', '')
match = re.search(r"url=(.*)", content, re.IGNORECASE)
if match:
return match.group(1).strip()
return None
def main():
urls = [
"http://example-redirect1.com/xyz123",
"http://example-redirect2.com/abc456"
]
for url in urls:
print(f"Fetching URL: {url}")
html = fetch_html(url)
if html:
redirect_url = extract_redirect_url(html)
if redirect_url:
print(f"Redirect URL: {redirect_url}")
else:
print("No redirect meta tag found.")
print("-" * 50)
if __name__ == "__main__":
main()
Операции «Доппельгангер» середины 2024 года демонстрируют эволюцию современных кампаний дезинформации. Используя многоуровневые редиректы, динамические бот-сети и быструю ротацию инфраструктуры, злоумышленники создают серьёзную угрозу политическим процессам и общественному доверию. Для эффективного противодействия специалисты по кибербезопасности должны применять комплексный подход: угрозоразведка, анализ трафика, защита конечных точек и просветительская работа с пользователями.
Оставайтесь в курсе, внедряйте надёжные механизмы обнаружения — и вместе мы защитим информационную экосистему Европы, США и всего мира.
Если вы нашли этот контент ценным, представьте, чего вы могли бы достичь с нашей комплексной 47-недельной элитной обучающей программой. Присоединяйтесь к более чем 1200 студентам, которые изменили свою карьеру с помощью техник Подразделения 8200.