Jen několik dní před mimořádnými německými volbami v únoru letošního roku se na sociální síti X objevilo dvouminutové video, které ukazovalo ničení volebních lístků AfD. Video mělo dokazovat, že v Německu dochází k volebním podvodům, jejichž cílem je zfalšovat výsledky německé extrémní pravice. Jenže falešné bylo samotné video. Podle německých bezpečnostních složek se stalo součástí ruské dezinformační kampaně prováděné skupinou Storm-1516.
K tomuto tématu připravujeme podcast Odposlech.
Německé investigativní centrum
correctiv.org, americká organizace NewsGuard a centrum Gnida Project se shodují, že v průběhu roku 2024 skupina označovaná bezpečnostními analytiky jako Storm-1516 vytvořila více než sto webových stránek, které se tvářily jako zpravodajské servery, a na nich publikovala řadu dezinformací o německých politicích a německé politice. Dozvědět jste se tak například mohli, že kandidát strany Zelených Robert Habeck byl obviněn, že před lety zneužil mladou ženu.
Dalším nepodloženým tvrzením byl článek o tom, jak se ministryně zahraničí Annalena Baerbock během svých cest do Afriky setkávala s gigolem nebo že Marcus Faber, šéf německého parlamentního výboru pro obranu, je ruský agent. Další falešné zprávy tvrdily, že německá armáda plánuje mobilizovat pět set tisíc mužů pro vojenskou operaci ve východní Evropě, a objevila se rovněž informace o Německem podepsané dohodě o migraci, na jejímž základě má do země přijít 1,9 milionu Keňanů.
Pokud se ohlédneme nejen za předvolební kampaní v Německu, ale za celým posledním rokem, uvidíme, že sousední země je dalším z terčů rozsáhlé kybernetické ofenzivy vedené Ruskem již řadu let. Totéž se týká i jiných evropských států. Tato ofenziva je složena z řady často na sobě nezávislých, ale propojených operací, známých většinou pod kódovými označeními, jako je Storm-1516 (a s ní ruku v ruce jdoucí Operaci CopyCop), Doppelgänger (a jejich variantami jako Operace Overload), Undercut či Matrjoška. Některé z nich působí na světové kybernetické scéně již roky, jiné jsou relativně nové.
Storm-1516, jeho CopyCop a další operace
Operace skupiny označované jako Storm-1516 tvoří síť sestávající z řady aktérů spojených s ruskými státními orgány, proxy organizacemi a šiřiteli zpráv různých influencerů. Poprvé na sebe skupina upozornila již v roce 2023 při ovlivňování amerických voleb, přesněji řečeno během kampaně do tamních primárek. Od té doby se zmiňuje v souvislosti s dalšími vlivovými operacemi včetně působení v Německu. Její akce bývají médii označované jako třeba CopyCop nebo dalšími jmény.
Jádrem operace skupiny Storm-1516 v případě Německa byla produkce obsahu zaštítěná Johnem Markem Douganem, bývalým floridským policejním důstojníkem, jenž v roce 2016 utekl před trestním stíháním do Ruska. Ten podle analýz serveru Correctiv stojí za sítí sto dvou stránek s profesionálním layoutem a názvy jako Berliner Wochenzeitung, Hamburger Post, Echo der Zeit nebo Widerhall, které se tváří jako obvyklé zpravodajské weby. Podle analýzy serveru NewsGuard ale publikovaly především umělou inteligencí parafrázovaný obsah pravicových médií, jako je Compact, nebo pro-ruského blogu Nachdenkseiten. Do tohoto obsahu pak byly přimíchány dezinformace a fake news. Většina těchto stránek vznikla až koncem roku 2024 a nyní již nepublikují nebo jsou zrušené.
Podle uniklých dokumentů je Dougan spojen s ruskou zpravodajskou službou GRU. Dle Washington Post spolupracuje se Skupinou 29155, spjatou se sérií sabotáží, vražd a hackerských útoků v Evropě, mezi nimiž najdeme nejen sestřelení civilního letadla malajských aerolinek MH17 nad Ukrajinou v červenci 2014, ale také výbuch ve Vrběticích.
V kampani vedené Storm-1516 podpořila Dougana i další ruská organizace, takzvaný Fond boje s represemi. Ten se na webu prezentuje posláním: „Bojovat za lidská práva na celém světě, podporovat občanské aktivisty, poskytovat právní pomoc a finanční podporu obětem soudní a policejní zvůle a politického pronásledování.
Činnost nadace je zaměřena na poskytování informací, právní a jiné pomoci všem, kteří se setkali s bezprávím ze strany představitelů státu.“ V roce 2021 fond založil oligarcha a spoluzakladatel trollí farmy Agentura pro výzkum internetu Jevgenij Prigožin. Před německými volbami fond spustil několik vlastních vlivových operací koordinovaných se sítí Dougana.
Výzkumníci z organizace CeMAS ve svém reportu uvádějí jako příklad obvinění Friedricha Merze a Ursuly von der Leyen ze zneužívání dětí nebo článek o tom, že Strana zelených a Ukrajina verbují mladé lidi a přistěhovalce, aby v Německu páchali trestnou činnost.
Zatímco Douganova síť a Fond boje s represemi se starají o výrobu dezinformací, jejich distribuci podle výzkumníků zajišťuje síť jak anonymních, tak autentických účtů na Twitteru a Telegramu. Odborníci z CeMAS uvádějí, že na šíření falešných zpráv se v Německu podílel například telegramový účet Neues aus Russland 🪆📢 Alina Lipp, který sdílel nepravdivou informaci o dvoustranné migrační dohodě podepsané mezi Německem a Keňou, v jejímž rámci bude moci v příštím roce do Německa přijet až 1,9 milionu keňských pracovníků a sedm set padesát tisíc Keňanů bude mít nárok na urychlenou naturalizaci. Informace pak odkazovala přímo na jeden z Douganových webů.
Realita přitom byla jiná. Ve skutečnosti keňský ministr zahraničí Musalia Mudavadi a německá ministryně vnitra Nancy Faeser podepsali 13. září 2024 bilaterální dohodu mezi oběma zeměmi o tom, že Německo přijme legálními cestami několik tisíc kvalifikovaných keňských pracovníků, zatímco Keňa přijme zpět nelegální keňské migranty. Telegramový účet Aliny Lipp má více než sto osmdesát tisíc sledujících a tuto zprávu na něm vidělo přes padesát tisíc uživatelů.
Storm-1099 a Doppelgänger
Storm-1516 nebyla jediná ruská skupina, jež své operace namířila proti Německu a využívala k tomu webové stránky s dezinformacemi. Vedle ní se Německo stalo terčem i dalších kampaní. Mezi nimi i takzvané operace Doppelgänger, za kterou stála skupina označovaná výzkumníky Microsoftu jako Storm-1099.
Operace Doppelgänger přitom probíhá již nejméně od května 2022 po celé Evropě. Její název znamená „dvojník“ a přesně vystihuje podstatu samotné činnosti. V rámci této operace totiž útočníci vytvářejí množství falešných stránek, jež budí dojem běžných mainstreamových webů a jejich URL také tyto weby připomínají. V Německu se tak objevily například dvojníci webů Der Spiegel, Bild či T-Mobile.
Tyto klony legitimních webů pak přinášejí dezinformace, které se tváří jako texty původních stránek. Pro šíření obsahu z těchto falešných webů pak slouží sítě neméně falešných účtů na síti X či Facebooku. Podle zprávy německého ministerstva zahraničí z ledna roku 2024 se na jedné části operace podílelo padesát tisíc účtů na sociální síti X.
Bavorský úřad pro ochranu ústavy (BayLfV) publikoval v polovině loňského roku detailní analýzu infrastruktury používané po dobu čtrnácti měsíců v části této operace. Z dokumentu vyplývá, že prostřednictvím této infrastruktury bylo distribuováno téměř osm tisíc jednotlivých kampaní, jež mířily na více než sedm set cílových webových stránek. Jen v osmiměsíčním období, které analyzovala BayLfV, bylo takto osloveno více než tři čtvrtě milionu uživatelů.
Investigativní novináři z organizace Correctiv ve spolupráci se švédskou neziskovou organizací Qurium odhalili, že kampaň částečně spoléhá při šířené své propagandy na evropské a německé společnosti. Na investigaci se podílel i náš server, který ukázal, že součástí této operace byly i firmy s českou stopou. Podařilo se tak odhalit řetězec od ruských PR agentur, jež vytvářejí obsah, přes síť hostingových společností v Rusku, Velké Británii, Německu či Finsku až po koncové servery v Malajsii a Singapuru.
Mezi ruskými PR agenturami hraje zásadní roli především Social Design Agency (SDA). Jedná se o moskevskou firmu vedenou Iljou Gambašidzem, jenž údajně pracuje podle pokynů Sergeje Kirijenka, prvního zástupce vedoucího kanceláře ruského prezidenta. SDA se zaměřuje na strategii obsahu a vývoj narativů. Uniklé dokumenty a videonahrávky ukazují Gambašidzeho nabídku služeb na ovlivnění politických nálad v jednotlivých zemích.
Ruská IT společnost Struktura, založená Nikolajem Tupikinem, se zase měla starat především o poskytování technologické infrastruktury pro tyto kampaně, včetně registrace domén, hostingu webových stránek a komplexu botů na sociálních sítích. Obě společnosti jsou nyní na sankčním seznamu EU i USA.
Matrjoška
Třetí operací, kterou jsme mohli sledovat v průběhu loňského roku nejen v Německu, ale po celé Evropě, byla takzvaná operace Matrjoška, jejíž průběh poprvé zdokumentovala skupina bot blocker (působící na síti X pod účtem @Antibot4Navalny) v září 2023. Principy Matrjošky pak detailně popsala francouzská agentura Viginum ve svém podrobném reportu.
Na rozdíl od Storm-1516 a Doppelgängera se operace Matrjoška nesoustředí pouze na samotné šíření a vytváření dezinformací, ale i na zahlcení obětí dezinformačních kampaní, jako třeba politiků nebo novinářů a případně organizací ověřujících fakta. Cílem je omezit jejich možnosti reagovat. Samotná kampaň totiž probíhá ve dvou fázích. „První skupina účtů, známá jako ‚seeders‘, zveřejňuje na platformě falešný obsah. Druhá skupina účtů, takzvaných ‚quoters‘, posléze sdílí příspěvek seederu a reakci na něj. Quoters kontaktují cílové osoby nebo organizace a žádají je, aby ověřily pravost nebo pravdivost obsahu zveřejněného seedery,“ uvádí report agentury Viginum.
Podle červnové zprávy finské společnosti Check First byla Operace Overload, rozvíjející taktiky Matrjošky, schopna zasáhnout osm set organizací z více než pětasedmdesáti zemí, mezi kterými hrály zásadní roli Francie a Německo. Check First uvádí příklad videa, jež se tvářilo, jako by bylo převzaté z německého média BR24. Smyšlený příběh videa zesměšňuje ukrajinského uprchlíka, který údajně pracoval v berlínském akváriu, a tvrdí, že tam ukradl tropické ryby, uvařil je a snědl a následně utrpěl otravu, což vedlo k jeho hospitalizaci. V záběrech lze vidět fotografii ukrajinského muže, identifikovaného jako Oleg Panasjuk. Zpětné vyhledávání obrázků odhalilo, že tato fotografie pocházela z ruské seznamky, k nalezení byla na profilu osoby s bydlištěm v Rusku.
Poté bylo video šířeno po Twitteru a účet patřící do sítě Matrjošky v jednu chvíli požádal fact-checkera BBC o jeho kontrolu. BR24 reagovalo na celou kampaň dlouhým vysvětlujícím textem. Nicméně jak pro server The New Arab uvedla Janina Lückoff, redaktorka a vedoucí týmu pro ověřování faktů v BR24, „zabývat se falešným mediálním obsahem samozřejmě omezuje naše kapacity“.
Jak upozornil server The Insider, v prosinci roku 2024 spustila síť účtů kolem Matrjošky kampaň, v níž propagovala video s protiukrajinskými prohlášeními světových akademiků. Všechna tato prohlášení ale byla vytvořena pomocí AI a klonování hlasů. Podle ruského serveru Agenstvo se síť účtů Matrjoška opět aktivovala koncem ledna 2025, kdy publikovala během tří dnů patnáct fake videí.
Útoky na kybernetickou infrastrukturu
Zatímco Storm-1516, Doppelgänger a Matrjoška se v Německu zaměřovaly především na šíření dezinformací, další útoky se orientovaly na kybernetickou infrastrukturu.
V roce 2023 se stala Sociálnědemokratická strana Německa (SPD) obětí kybernetického útoku, při kterém byly napadeny e-mailové účty stranické centrály. Německá vláda tehdy za útok obvinila jednotku ruské vojenské rozvědky GRU, konkrétně skupinu APT28 (známou také jako Fancy Bear). Tento incident byl podle zjištění součástí širší kybernetické kampaně zaměřené na několik evropských zemí, přičemž útok na SPD byl umožněn díky dosud neznámé bezpečnostní mezeře v softwaru.
Koncem února 2024 výzkumníci z bezpečnostní společnosti Mandiant identifikovali novou vlnu útoků, tentokrát cílených na německou Křesťanskodemokratickou unii (CDU) a potenciálně i další německé politické strany. Útok provedla skupina APT29 (známá také jako Cozy Bear), spojovaná s ruskou Službou vnější rozvědky (SVR). Útočníci použili phishingové e-maily s falešnou pozvánkou na večeři CDU, které obsahovaly odkaz na kompromitovaný web. Po kliknutí byl stažen škodlivý program neboli malware s názvem ROOTSAW, jenž následně instaloval další škodlivý počítačový kód WINELOADER, umožňující útočníkům dlouhodobý přístup k napadeným systémům.
V reakci na tyto incidenty německá vláda v květnu 2024 povolala svého velvyslance v Moskvě Alexandra Grafa Lambsdorffa na konzultace do Berlína. Úřad pro ochranu ústavy a další německé bezpečnostní agentury pak vydaly varování všem parlamentním stranám a posílily ochranná opatření proti digitálním a hybridním hrozbám.
Odborníci se shodují, že tyto útoky jsou součástí širší ruské strategie zaměřené na získávání politických zpravodajských informací a potenciálně i na podkopávání evropské podpory Ukrajině, přičemž míra ohrožení je podle německých představitelů „vysoká jako nikdy předtím“.
Německo ostatně nebylo terčem podobného kybernetického útoku poprvé. V roce 2021 na tuto zemi mířila kampaň Ghostwriter neboli Storm-0257. Nejslavnějším útokem byl ovšem takzvaný Hack Bundestagu. Akce začala počátkem roku 2015, kdy poslanci obdrželi podvodné e-maily, které vypadaly jako zpravodajství OSN. Po kliknutí na odkaz v e-mailu došlo k instalaci malwaru, jenž se postupně rozšířil do celé parlamentní sítě. Útočníci tak získali přístup k důvěrné komunikaci poslanců, jejich harmonogramům a dalším citlivým údajům včetně počítače v kanceláři kancléřky.
Celkem bylo odcizeno přes 16 GB dat. Za útok byla podle německých úřadů rovněž zodpovědná skupina APT 28 spadající pod GRU.
Od šumu k signálu
Skupiny a agentury zapojené v informačních útocích mají podle Jamese Pammenta z Ústavu pro výzkum psychologických operací (Psychological Defence Research Institute) na Lundské univerzitě za cíl proniknout do národního bezpečnostního prostředí.
„Na první úrovni to vypadá jako rozesílání spamu. Využívají placenou reklamu, automatické komentáře a další nekvalitní metody spamování digitálních médií odkazy. Je to jako reklama a očekávají, že 95 % z toho bude ignorováno, takže se to promění na něco jako šum v pozadí. Neustálé bubnování, které je tu pořád,“ vysvětluje psychologii rozsáhlých operací pro investigaci.cz.
Na tuto část ale podle specialisty navazují další dvě. „Předpokládají, že v určitém okamžiku uživatele vyprovokují a on klikne na jeden z těchto odkazů, aby se dozvěděl více. Síť webových platforem nabízí něco pro každou cílovou skupinu – pokud potřebujete slyšet jejich narativy z Guardianu, mají k dispozici stránky dvojníků. Pokud je potřebujete slyšet z nekonvenčních médií, vytvořili tyto značky.
Vytvořili důvěryhodné prostředníky téměř pro jakékoli cílové publikum,“ říká James Pamment a dodává, že skutečným cílem je, aby dezinformace začali opakovat politici, celebrity, influenceři a vaši sousedé jako součást běžného diskurzu. Pak totiž mohou říci, že úspěšně pronikli do informačního prostředí.
Autor textu: Josef Šlerka
The post Jak Rusko útočilo na německé volby appeared first on investigace.cz.
