בראשית חודש יוני השנה, הוצפו הרשתות החברתיות בישראל בסטטוסים ובתגובות לציוצים ולפוסטים, שהביעו תרעומת על הסולידריות הישראלית עם אוקראינה. לתגובות צורפו קישורים שונים שכולם הובילו למאמר באתר שנראה כמו מגזין "ליברל", שכותרתו: "אוקראינה זה יקר" ועליו חתומה ג'ואנה לנדאו, כותבת שפרסמה כתבה במגזין כמה שבועות קודם לכן.
כעבור כמה ימים הגיע גל חדש של תגובות כאלה, כאשר הפעם הופנו הגולשים למאמר באתר שנראה כמו מגזין "מאקו", תחת הכותרת: "סולידריות עם אוקראינה עולה יותר מדי" ואותו פרסם, כביכול, הפרשן המוערך אמנון אברמוביץ'.
לכאורה, שום דבר מעניין, פרט לעובדה הפעוטה שלא אברמוביץ' ולא לנדאו פרסמו את הדברים, והאתרים שבהם פורסמו כלל לא היו "ליברל" ו-"מאקו" כפי שהתחזו להיות. מישהו, איפשהו, מנסה להשפיע על דעת הקהל בישראל ולהטות אותה בעד רוסיה ונגד אוקראינה, באמצעות מאמרים שונים ומשונים, העוסקים בזוויות שונות.
ככל שצוללים לתוכו, כך מתברר שהקמפיין הזה מסתעף ומסתבך, חושף גרורות גם בצרפת, בגרמניה, ובמקומות אחרים באירופה, עם תשתית טכנולוגית יקרה ומורכבת שניכר שהושקעו בה משאבים רבים על מנת להסתתר ולהתחמק ממנגנוני הזיהוי שיחשפו את שקריה. במאמר זה נפרוש את ממצאינו ונצביע במידה לא קטנה של וודאות על מקורו ועל הדרכים שהובילו אותנו לשם.
רגע לפני כן, נזכיר שבינתיים, כפי שפרסם נדב אייל בידיעות אחרונות, פנו גורמי מודיעין ישראלים לרוסיה בדרישה להפסקת מבצעי ההשפעה בישראל, לאחר שזיהו גם ניסיון להחריף את השסעים החברתיים בארץ.
מהו מבצע השפעה?
מבצעי השפעה הם ההתפתחות הטבעית של מה שנקרא בעת מלחמה "לוחמה פסיכולוגית": עיצוב התגובה הפסיכולוגית של האויב על מנת להפנות אותה בכיוון המתאים לתוקף.
כבר לפני יותר מאלפיים שנה, בקרב פלוסיום שנערך בין צבאות הפרסים לאלה של המצרים, קשרו הראשונים חתולים למגיניהם בשל האמונה המצרית האוסרת פגיעה בהם, ובכך, בין השאר, הביאו למפלה המצרית ולביסוס השושלת הפרסית במדינה. גם המונגולים לא בחלו באמצעים פסיכולוגים על מנת לעודד כניעה של אויביהם בלי צורך לשפוך דם מיותר, ושלחו שליחים לפני הצבא עם סיפורי זוועות על העתיד להתרחש במידה שלא תהיה כניעה מלאה, מהירה וללא תנאים.
בשתי מלחמות העולם השתמשו שני הצדדים בשלל אמצעים, החל מפליירים מודפסים שהוטלו ממטוסים, ועד לתכנים משודרים – למשל תחנת הרדיו הפופולרית של "לורד האו-האו" שבאמצעותה ניסו הגרמנים לגרום לחיילים האמריקאים לוותר על הלחימה ולחזור לארצם, או "רדיו אירופה החופשית" שפעל אחרי המלחמה במימון האמריקאים ושידר חדשות בכל שפות מזרח אירופה כדי לדחוף את האג'נדה המערבית לאזרחי הגוש הסובייטי.
במלחמת עיראק הראשונה, הפיצו האמריקאים תעמולה שנועדה לגרום לאזרחים להתקומם נגד הממשל המושחת, ואפילו אצלנו כאן בישראל שולחת המדינה הודעות סמס מאיימות לאזרחים ולתושבים פלסטינים בניסיון מגושם להפחיד אותם ולמנוע מהם להשתתף בהפגנות.
למעשה, כמעט כל מערכה במאה האחרונה הכילה אספקטים פסיכולוגים-תודעתיים כאלה או אחרים, אם באמצעות זיוף תמונות או ידיעות מהחזית, או הפצת שמועות שנועדו להטיל אימה בקרב שומעיהם.
מבצעי השפעה משתמשים באמצעים דומים מאוד, פרט לעובדה שהם נערכים בימי שלום, לכאורה. לפני שנים אחדות הכריז הממשל האמריקאי כי רוסיה הפעילה מבצע כזה במהלך הבחירות לנשיאות של 2016, וקהיליית המודיעין הלאומי האמריקאי קבעה כי "מטרותיה של רוסיה היו לערער את אמון הציבור בהליך הדמוקרטי בארצות הברית, להשמיץ את מזכירת המדינה לשעבר והמועמדת הדמוקרטית, הילרי קלינטון, ולפגוע בסיכוי הבחירה שלה לנשיאות".
האמריקאים טוענים שהרוסים בחשו ובוחשים במחלוקת הפנים-אמריקאית סביב תנועת "חיי שחורים חשובים" ואפילו בניסיון ההפיכה המביך והכושל של ה-6 בינואר. גם הסינים, לטענת גורמים ממשלתיים אמריקאים והודעה מאת חברת "מטא" שמפעילה את "פייסבוק", ניסו להשפיע על בחירות-האמצע במדינה ולפעול להסטת דעת הקהל נגד מועמדים שנתפסו כפחות אוהדים את בייג'ין. טוויטר, לעומת זאת, הודיעה שזיהתה ניסיונות איראנים להשפיע על בחירות אזוריות בארה"ב, והרשימה עוד ארוכה.
מטרת מבצעי ההשפעה האלה היא להחליש את הלכידות בצד השני, ליצור קרעים ושסעים שיגזלו משאבים ותשומת לב, ולהסיט את דעת הקהל לכיוון המועדף על הצד התוקף.
הקמפיין האנטי-אוקראיני
בחודש פברואר 2022 פלשו כוחות רוסיים לאדמת אוקראינה, במה שקיוו שתהיה מלחמת בזק, שתיגמר תוך זמן קצר בסיפוח המדינה בחזרה לגוש שממנו התרחקה עם נפילת ברית המועצות בראשית שנות התשעים. התקווה הזאת התבדתה ככל שנקפו השבועות וערימת החללים משני הצדדים הלכה וגבהה. המערכה, שתוכננה להימשך שבועות ספורים, הפכה למלחמת התשה בלתי נגמרת, כאשר דעת הקהל בעולם המערבי התייצבה לצד האוקראינים, ומדינות רבות בעולם המערבי העבירו עד כה מיליארדי דולרים בסיוע צבאי ואזרחי על מנת לסייע בלחימה בפולש הרוסי. כך ארצות הברית, גרמניה וגם ישראל, שעל אף הקו הלא החלטי שמובילה הממשלה העבירה לאוקראינה ציוד הגנה נגד מזל"טים וטילים, כלי רכב ממוגנים המיועדים לשימוש כאמבולנסים, ושלל ציוד לוחמה אחר, כמו גם מודיעין על אודות ציוד הנמצא בשימוש הצבא הרוסי.
את הסיוע הזה מבקש מבצע התודעה מושא מאמר זה לעצור. מדוע, שואל הקמפיין, על משלמי המיסים במדינות שונות לממן את אוקראינה? אלא שמתכנני הקמפיין לא הסתפקו רק בזווית אחת, והשקיעו משאבים ומאמצים בהתאמתו לקבוצות שונות במדינות היעד. התמה בגרמניה, למשל, היא "אמריקה צאי מאירופה", כפראפרזה על "יאנקיס גו הום" של מכונת התעמולה המזרח-גרמנית של שנות השישים שבוודאי מוכרת לגרמנים רבים; בישראל, לעומת זאת, מפזר הקמפיין מסרים הקושרים את הממשלה האוקראינית לגורמים פרו-נאצים, מעוררים חרדות שנשק שיגיע לאוקראינה ימצא את דרכו לארגונים פלסטינים וישמש למלחמה בישראל ומעלים חשש לפגיעה ביהדות רוסיה אם תבחר ישראל צד.
בגרמניה יצא הקמפיין מגבולות הרשת: כתובת גרפיטי של פסל החירות בפוזה מינית, יחד עם פליירים מודפסים שפוזרו בנדיבות, ניסו ליצור את התחושה שמדובר בתנועה עממית עם פעילות אמיתית. באופן טבעי, שלל פרופילים מזויפים ואמיתיים ברשתות החברתיות הפיצו את התמונות וחזרו על הקריאות של "אמריקה צאי מאירופה".
ברם, בדיקה מעמיקה קצת יותר של התמונות שהופצו ברשת מראות שמדובר בשני מיקומים בלבד בצידה המזרחי של ברלין, אחד לגרפיטי ואחד לפליירים. לא תנועה ולא עממית, אבל כן אינדיקטור שמישהו מוציא כאן לא מעט כסף ומאמצים, ולא רק בעולמות הרשת, על מנת לגרום לנו לחשוב שכן.
הצד הטכני
על מנת להסתיר את פעילותם מפני גורמים שונים ולהקשות עליהם לעצור את הפצתו, בנו מפעילי הקמפיין תכנון בעל חמש שכבות, ככל אחת נועדה למטרה אחרת:
השכבה הראשונה: ישויות פיקטיביות
על מנת להגיע לקהל יעד נרחב ככל האפשר, מסתמכים מפעילי הקמפיין על רשתות פרופילים מזויפים בערוצי הפצה שונים כגון פייסבוק וטוויטר. מאות פרופילים, לכל הפחות, השתתפו בהפצת הלינקים – בסטטוסים משלהם, או בתגובה לסטטוסים של אחרים. בדרך כלל מבנה התגובות הוא משפט ברוח הקמפיין ואחריו לינק לשכבה השניה של הקמפיין.
בשונה מקמפיינים אחרים, נראה שמפעילי הקמפיין פעלו בחופזה וקנו רשתות פרופילים מוכנות וברמה נמוכה ממפיצים בטורקיה, סין, מלזיה, ומקומות אחרים. הפרופילים עקבו אחד אחרי השני כמעט ללא עוקבים חיצוניים, ונראה שהרשתות "הוחכרו" ממפעילים שלא בחלו גם בהפצת נוכלויות קריפטו למיניהן.
גם הקישור לתכנים היה רעוע ומלאכותי: אותם פרופילים פרסמו את תכני הרשת בגרמנית, בצרפתית, באנגלית וגם ברוסית; פרופילים שפרסמו בסינית או ברוסית פתאום דיברו עברית שוטפת, למרות העדר כל קשר עוקבים/נעקבים לתכנים בעברית.
גם שמות הפרופילים נראים חסרי דמיון והם בנויים מאותה תבנית של שם פרטי, שם משפחה חלקי או מלא ומספר רנדומלי. חלקם אפילו חולקים תמונת פרופיל.
השכבה השניה: נתבים
לאורך השנים בנו הרשתות החברתיות שלל מערכות על מנת להילחם בתופעת ה"ספאם" – תכני האשפה שמופצים על ידי פרופילים מזויפים לקידום מטרותיהם הנכלוליות, אם הפליליות, בצורה של תרמיות או "פרסום בחינם", ואם הפוליטיות, בצורת דחיפת רעיונות ויצירת מראית עין של תמיכה ציבורית קיימת. על כן, יצירת קמפיין שבן-לילה מפיץ את אותו הלינק לאותו מאמר היה נעצר באיבו, ומפעיליו היו נכשלים במטרותיהם.
לצורך כך הצטיידו המפעילים במאות דומיינים בלתי-קשורים, ובכך הפכו את חיי המערכות שנועדו למנוע הפצה של מסר מזויף יחיד לקשים הרבה יותר. במקום לינק אחד למאמר שאפשר לעצור בלחיצת כפתור, פתאום יש אלפי לינקים שונים, שאף אחד מהם אינו זהה לקודמו.
עם זאת, מבנה הלינקים המובילים לשכבה השניה זהה, ובכך מקל עלינו לזהות אותם, והוא בנוי כך: סאב-דומיין המכיל חמש אותיות, דומיין איזוטרי, ואז נתיב בעל חמישה תווים אלפא-נומרים. אם ניקח למשל את הנתיב שהוביל לאתר "מאקו" המזויף, הוא התחיל בדומיין: https://jself.nuprotection.co[.]uk/926cf
ובנוי כך: סאב-דומיין (jself), דומיין (nuprotection), ונתיב (926cf)
כאשר משתמשים הקישו על הקישור שנשלח מתוך סטטוס או תגובה, למשל (שכבה ראשונה) – הדפדפן שלהם הופנה לעמוד ריק, אך כזה שהכיל הוראות למערכות ה-preview של הרשתות החברתיות, על מנת שכותרת עמוד היעד והתמונה שלו תופיע בסטטוסים המקוריים בשכבה הראשונה.
את זה עשו מפעילי הקמפיין על ידי יצירת "מטא-מידע" בדיוק בפורמט שהכלים האוטומטיים של הרשתות החברתיות מצפות לו. כך למשל בלינק שהזכרנו קודם, למרות שהעמוד היה ריק, הופיעו הוראות שהכילו את תוכן הקופסא הקטנה שמופיעה כחלק מהסטטוס בכל פעם שאנחנו מדביקים שם לינק. להלן:
<meta property="og:title" content="האם ארה"ב היא בעלת ברית אסטרטגית או אויב זמני?"/>
<meta property="og:description" content="סדרה של מהלכים אנטי-ישראליים עוקבים של ממשל ביידן גורמת להניח שקיימת התקפה מסיבית על ישראל מצד המפלגה הדמוקרטית."/>
<meta property="og:image" content="https://[REDACTED]/file/26fd0ea7f10356c795b60.png">
הסיבה לכך מובנת: אם לא היו שמים את המידע בשכבה השניה, שאינה מכילה "תוכן" אמיתי, הלינק המודבק בסטטוסים היה נראה ריק ופחות מפתה ללחיצה. האמצעי שנקטו מפעילי הקמפיין בשכבה זו שרת את מטרתם בצורה מושלמת: הם גם לא היו צריכים "לשרוף" דומיין יקר על ידי שימוש בניתוב מדומיינים בלתי-קשורים, וגם קיבלו את תיבת ה"צפייה מראש" שהפכה את הלינק שלהם למושך הרבה יותר.
הדבר האחרון בעמוד הוא הפניה לשכבה השלישית באמצעות תג "מטא" של ניתוב מחדש באופן מיידי (רענון הדף תוך אפס שניות לכתובת אחרת, פרקטיקה נפוצה ולגיטימית).
חשוב לציין שעדיין לא ברור לנו הקשר בין הבעלות על מאות הדומיינים בשכבה הזאת לבין מפעילי הקמפיין. יתכן שהם נפרצו ונגנבו, יתכן שנקנו או הוחכרו, אך בכל מקרה לא היתה העברת בעלות "רשמית" מבעלי העסק המקורי שרץ על הדומיין קודם שהפך לחוליה בשרשרת מבצע ההשפעה הזה. למשל הדומיין nuprotection מהלינק שלמעלה נקנה לעשר שנים בשנת 2016, ובעליו המקוריים, שעל פי ארכיון האינטרנט הריץ עליו מעין תוכנית שותפים לסוכנויות ביטוח באנגליה עד שנת 2018 לפחות, עדיין רשום כבעליו.
או הדומיין ourteam.co.in (עוד על אודותיו בהמשך) שעד חודש מרץ השנה, על פי ארכיון האינטרנט, אירח אתר של חברת פיתוח מערכות בהודו שהציעה את שירותיה באתרים כמו "פרילנסר דוט קום" ו"פייבר". הבעלות על הדומיין לא עברה לאף אחד, קרי, היא עדיין בבעלות החברה ההודית, אך השליטה בו נמצאת היום בידי בעלי קמפיין ההשפעה.
ניתוח של כתובות הרשת (כתובות ה-IP) שאליהם מפנים הדומיינים הללו, מראה שימוש ברשימה קצרה מאוד של שרתים אליהן מפנים רובן. כל שרת מארח מאות דומיינים כאלה. המיקום הפיזי של השרתים הוא במדינות כמו הולנד ופינלנד, אך בדיקה מעמיקה יותר מראה כי כתובות הדיווח על שימוש לרעה (Abuse) שלהן מפנות לחברות רוסיות הרשומות במוסקבה ובקרסנודר.
החברות אשר מספקות את שירותי אירוח האתרים הללו מאפשרות מה שנקרא "אירוח חסין-כדורים" (Bulletproof hosting), אשר אמור להוות חוצץ בין רשויות החוק לבין הגופים המפעילים עליהן את מערכותיהן. הן יושבות בדרך כלל במדינות שאין להן יחסים חמים עם המערב, או שהתשתיות החוקיות בהן רעועות מספיק. הן גם מעדיפות לא לדעת, פעמים רבות, את זהות לקוחותיהן.
כך, למשל, התשלום אפשרי רק במטבעות קריפטוגרפים, התקשורת איתן מתבצעת באמצעות בוט טלגרם בלבד והן מתחייבות להתעלם מתלונות על שימוש לרעה עד כמה שיוכלו. מצאנו גם עדויות שלפחות אחת מהחברות הללו (zerohost) אירחה על תשתיותיה גוף שהפיץ רושעות שנועדו לגנוב מידע ממחשבים ברחבי העולם (ספציפית: Aurora stealer).
על ידי שימוש בחברות הללו, מפעילי הרשת מקווים להתחבא מבקשות של גופי חקירה במערב, אם יהיו כאלה.
שכבה שלישית: סינון והסתרה
אם בשכבה השניה היו מעורבים מאות דומיינים, השכבה השלישית רזה הרבה יותר ומכילה דומיינים ספורים שבניגוד לשכבה הקודמת, מכילים לוגיקה שנועדה להקשות על מי שבא לצוד את הרשת הזאת מלהתחקות אחרי מפעיליה. העמוד המוגש לגולשים המגיעים אליה נראה תמים למראית עין. טקסט אקראי בתבנית קבועה המחליפה בין שמות עצם לפעלים ("עם זאת, הסמורים החלו להשכיר סנאים" בטעינה אחת, וברענון העמוד הטקסט מתחלף ל:"עם זאת, תותי העץ החלו ללמוד אוגרים"). טכניקה זו נועדה למנוע "התעלמות" מהעמוד והתחזות לעמוד בעל תוכן. רוב (אם לא כל) מערכות הרשת האוטומטיות לא עוצרות לבדוק אם הטקסט המופיע בעמוד הגיוני או לא, אלא מספיק שיש טקסט שנראה ככזה על מנת "להעביר" את העמוד.
בתחתית העמוד, הופיע קוד ג'אווה-סקריפט מקודד בבסיס 64, עוד אמצעי שנועד להתחמק מגילוי של כלים אוטומטים פחות יעילים (אך נפוצים מאוד, למרבה הצער). פענוח של הקוד מבסיס 64 מוציא קוד ג'אווהסקריפט מעורפל (Obfuscated) באופן שהופך אותו לקשה מאוד לקריאה והבנה של בני אדם.
למרבה המזל, שימוש במערכת הבינה המלאכותית "צ'אט ג'יפיטי" לפענח את הכתוב ולשכתב אותו לקוד קריא יותר, עזר מאוד בתהליך וחסך שעות של עבודה ידנית מתסכלת. אחרי הפענוח הזה יכולנו לראות שהקוד נועד לבדוק אם הגולש הוא אדם אמיתי ולא מנגנון סינון אוטומטי, ואם כן, שליחתו לשכבה הרביעית, היא שכבת היעד.
עד לפני כמה ימים מפעילי הקמפיין ניצלו, בין השאר, מערכת של חברה אמריקאית בשם "וובליום" (Weblium) והשתמשו בפלטפורמת בניית האתרים שהיא מציעה (המוצר שהם מציעים דומה למוצר של וויקס, למשל) על מנת לנתב גולשים כחלק מהשכבה הזאת. באתר החברה מופיעה הודעת תמיכה חד משמעית באוקראינה, ונכתב שם "וובליום היא חברה אמריקאית, אך רוב הצוות שלנו הוא אוקראיני".
מיד כשזיהינו את מעורבות מערכות החברה בקמפיין פנינו למנהל בכיר בחברה, וזה סגר מיד את כל האתרים המעורבים בקמפיין האנטי-אוקראיני הזה, מה שהביא לתועפות של סטטוסים שכבר הופצו כחלק מהשכבה הראשונה – להישבר. בחירה משונה של מפעילי הקמפיין, ובסיכון גבוה ומיותר.
יתרה מכך, בתבניות האתרים שבחרו מפעילי הקמפיין להשתמש, מצאנו טקסטים ברוסית. זה לא אומר שמי שבנה את האתרים הללו היה רוסי, אלא שהוא או היא בחרו להשתמש בשפת ממשק רוסית בממשק של וובליום, דבר שבדרך כלל לא יעשה מישהו שאינו דובר את השפה ומרגיש בה בנוח יותר מאשר באנגלית.
על הנייר, השימוש באמצעי עירפול והסתרה כמו שאנחנו רואים כאן זו דרך מתוחכמת להסתרת מטרת השכבה הזאת, אך בפועל זו דרך נאיבית שנראה שמי שהחליט על שימוש בה היה נלהב להתהדר ב"אמצעי הסתרה" ולא באמת הסתכל על התמונה המלאה כיצד מתנהלות חקירות של רשתות כמו זו שבנה.
בהשאלה, אפשר להמשיל את האמצעים האלה להשלכת מסמרים על הכביש: הם אכן מהווים מכשול בפני מי שמנסה לרדוף אחריך, אך אפשר פשוט לטאטא אותם הצידה ואז הדרך פתוחה להמשך.
שכבה רביעית: שליטה ובקרה
השכבה הרביעית צרה הרבה יותר ומכילה שרתים ספורים, המהווים מעין "צוואר בקבוק" אשר מנטר את האופרציה כולה ומסנן גם הוא את הגורמים שהוא לא מעוניין שיגיעו לתכני הקמפיין עצמם. למשל: גולשים ממדינות שאינן מדינות היעד של הקמפיין לא יופנו הלאה, דבר שעזר לנו, על ידי בדיקת הגישה דרך מדינות שונות, לצמצם את המדינות המשתתפות בקמפיינים הללו.
בקמפיין הישראלי, למשל, גולשים שהגיעו ממדינות שאינן ישראל קיבלו עמוד ריק או שהופנו לאתרים חיצוניים שאינם קשורים לקמפיין; הקמפיין הגרמני היה פתוח רק לגרמנים וצרפתים, וכן הלאה. המדינה היחידה שהיתה משותפת לכל הקמפיינים, וכאן מגיע האקדחון המעשן הראשון, היא רוסיה. כלומר הקמפיין הישראלי היה פתוח אך ורק לגולשים מישראל ומרוסיה, זה הגרמני לגולשים מגרמניה ורוסיה, וכן הלאה.
האתרים בשכבה זו נמצאים מאחורי שכבת ההגנה של חברה אמריקאית ענקית בשם "קלאודפלייר" (CloudFlare), אשר מספקת שירותי הגשת תכנים לחלקים נרחבים ברשת. אתר המשתמש בשירותיה בעצם מנתב את כל התנועה שלו דרכה, וכך הוא מסתתר בהמון ואי אפשר למצוא את מיקומו או את זהות מפעילו בלי לבקש יפה מבעלי קלאודפלייר.
החברה הזאת ספגה וסופגת ביקורת קשה על הפרקטיקות שלה, שבפועל מאפשרות לפושעי רשת רבים להסתתר, והיא גם חשופה לתועפות של מידע שאמור להיות פרטי, בין הגולשים לבין האתרים אליהם הם מבקשים לגשת.
נאמר כי את כל הקמפיין הזה אפשר לעצור בלחיצת כפתור עם קצת רצון טוב מקברניטי חברת "קלאודפלייר", מכיוון שכל השכבה מוגנת על ידי שירותי הענק האמריקאי הזה, וסגירה שלה תביא לסופם את כל המאמצים שהושקעו בקמפיין עד כה.
השכבה החמישית: אתרי תוכן מזויפים
זהו יעדם הסופי של הגולשים שלחצו על הקישורים בסטטוסים של השכבה הראשונה. כאן הם יקבלו את התכנים המזוייפים שנכתבו עבורם. בישראל אלה האתרים "theliberal.net" (שירד מאז) ו-"mako.news" (במקום mako.co.il המקורי) שעדיין באוויר, וישנן גם כתבות המתחזות לאתרים יהודים מרחבי העולם. הקישורים מובילים לעמודים פנימיים, ש"גורדו" (Scraped) על ידי מפעילי הקמפיין ותכניהם הוחלפו בתכנים שהם מבקשים לקדם. אפשר ממש לראות את העמודים המקוריים מהם גורדו התכנים, מכיוון שהכלים שבהם השתמשו המפעילים השאירו את חותמם.
התמונות במאמרים החדשים לא מופיעות במקור, מן הסתם, כך שמפעילי הקמפיין נאלצו לארח אותם מקומית בשרתי השכבה החמישית, ובכך איפשרו לנו לראות אילו אתרים נמצאים על אותו שרת. מפעילי הקמפיין נתנו לתמונות שמות במספרים עוקבים, כך שלמשל תמונה "120.jpg" מופיעה במאמר באתר המתחזה להיות ישראלי, ואילו תמונה "119.jpg" מופיעה במאמר באתר המתחזה להיות צרפתי. אנחנו מאמינים שישנם מספר שרתים שונים, מכיוון שלא כל התמונות נגישות מכל האתרים בשכבה הזאת.
גם השכבה הזאת מסתתרת מאחורי שכבת ההגנה של "קלאודפלייר", וכאמור, לו מישהו בענק הרשת האמריקאי היה רוצה לעצור את הקמפיין הזה, גם השכבה הסופית שלו נמצאת תחת שליטתו. עם זאת, באמצעות מספר טכניקות יצירתיות הצלחנו לצמצם את מיקום השרתים שעליהם נמצאים התכנים עצמם – לדרום מזרח אסיה.
הקשר הרוסי
לפני כמה שבועות פרסמה ממשלת צרפת דו"ח, המציג קמפיין דומה שהחל לפני כשנה וטוען שמי שעומד מאחוריו אלה גורמים רוסיים. הצרפתים הביאו שלל סממנים טכניים ואחרים שחלקם משכנעים מאוד, אך מטבע הדברים התמקדו אך ורק בצרפת. גם הקמפיינים שנערכו בגרמניה ובישראל חולקים מאפיינים דומים, אם כי הטעויות שמציינים הצרפתים גסות בהרבה מאלה הקיימות בקמפיינים הישראליים והגרמניים.
עם זאת, רבות מהתשתיות שנמצאו בשימוש בקמפיין ההוא, לרמת קוד המקור של האתרים, נמצאות בשימוש גם בקמפיין הזה, כך שאפשר לומר במידה רבה של ודאות שאותו מפעיל עומד מאחורי שני גלי הקמפיין, וכי הם הפיקו לקחים רבים מאז עליית הקמפיין הראשון.
הקמפיין הנוכחי גדול משמעותית מבחינת מספר הדומיינים המעורבים בו, מספר הפרופילים המזוייפים המפיצים את המסרים שלו, וכמובן מספר המדינות המותקפות, כמו גם יציאה מגבולות הרשת במקרה אחד לפחות.
כאמור, מצאנו טקסט בשפה הרוסית כ"שומר מקום" (Placeholder) בתבנית של חלק מהאתרים, אבל את הקשר המשמעותי הראשון מצאנו דווקא בדומיין הודי: ourteam.co.in, ששכן בשכבה השניה של מערכת הניתוב של הקמפיין, וכל כולו הוקדש למטרה זו.
כזכור, הדומיין הזה היה בשימוש של חברה קטנה שהציעה את שירותי הפיתוח שלה באמצעות Fiverr ו-freelancer.com. בסוף חודש מארס ארכיון האינטרנט עוד מצא שם את האתר של אותה חברה, ובחינה של הבעלות על הדומיין מראה שהוא עדיין בידיים של אותה חברה עם אותם בעלים.
בחינה של היסטוריית הדומיין מראה שב-16 ביוני הוא הופנה לשרת הממוקם במוסקבה, ושוייך ל "ZHANNA KAMBIEVA". באותה כתובת במוסקבה רשומות שתי חברות, K-POP Partners ו-FIDAS DATA.
טווח הכתובות הספציפי הזה שייך למונטנגרו, אך הניהול שלו רשום על שם חברה רוסית החל מחודש מאי 2023, זמן לא רב לפני הופעת המאמרים המזוייפים בישראל. יתכן, כמובן, שמדובר בצירוף מקרים, ושההוסטינג של האתר ההודי שמשתתף בקמפיין ההשפעה כחלק מהשכבה השניה שלה רק במקרה יושב במדינה שהקמפיין משרת את מטרותיה, ויתכן גם שלא. מעבר בלוקים של כתובות אינו דבר יוצא דופן, אך המעבר הספציפי הזה לרוסיה עם התזמון של עליית הקמפיין עשוי להרים כמה גבות.
בשולי הדברים, על אותה כתובת במוסקבה גם יושב הדומיין whistleblowersblog.com, ששימש חושפי שחיתויות אמריקאים, ושכנראה נזנח מאז ונתפס על ידי גורם שהפנה אותו לשרת הרוסי, ושלל דומיינים שעל פי שמם עשויים היו לשמש בשורה ארוכה של תרמיות רשת (online-credits.com, events.api.mail.auth-0ffice365.live, sentinelsecurity.info, ורבים אחרים).
רמת ביצוע: מביך 2.0
הרעיון העומד מאחורי הקמפיין הוא אותו רעיון שעמד מאחורי הקמפיינים שהריצו הרוסים, על פי האמריקאים, לתמיכה בטראמפ. נראה שמישהו שפך סכומים נאים מאוד של דולרים (או רובלים) על התשתיות, על השרתים, על הפרופילים המזוייפים, על ייצור התכנים ועיצובם על מנת שיראו אורגניים ככל האפשר, על תכנון ופיתוח אמצעי ההסתרה והניתוב. זה לא קמפיין שקם בחופזה ונראה שהושקעה מחשבה רבה בתכנונו.
עם זאת, הביצוע כולו, מתחילתו ועד סופו, מביך במידת החובבנות שבו. ישנן שגיאות שפה וניסוח שבולטות בכל נדבך בו, ומסגירות את העובדה שמי שכתב את הטקסטים אינו דובר עברית יליד ישראל. העדר ההיכרות של המפעילים עם ההוויה הישראלית גרם להם לשים את המאמר שפרסמו במגזין "ליברל" (מזויף), תחת שמה של ג'ואנה לנדאו, שבשעה שאנו בטוחים שהיא מוכשרת מאוד בתחומה, אינה אושייה שהאדם הממוצע ברחוב עשוי להכיר, ויתרה מכך – גם לא כותבת קבועה במגזין, אלא פרסמה כתבה אחת שבועות מספר לפני תחילת קמפיין ההשפעה.
סביר להניח שהתוקפים נכנסו לאתר מגזין "ליברל", לקחו את הכתבה הראשונה שראו, שככל הנראה היתה זו שנכתבה על ידי הגברת לנדאו, והחליטו שזהו – הם פיצחו את השיטה.
גם איכות הפרופילים המזויפים מעלה געגוע לבית החרושת לטרולים של הקרמלין. נראה שמפעילי הקמפיין הזה רכשו את הפרופילים הזולים ביותר שמצאו, כאלה שטרם התגייסותם למאמץ התעמולה הפיצו תרמיות קריפטו לכל המרבה במחיר. לא נרשם ניסיון כלשהו לגרום לפרופילים האלה להראות אפילו מעט אמינים. אלה, יחד עם שלל הטעויות הטכניות של המפעילים (כולל השארת ממשק מנהל-מערכת פתוח לרשת), וויתור מראש על כל רמז לתחכום – מאכזב מאוד מבחינת רמת הביצוע.
אגב, גם בקמפיין הרוסי שתקף את הוועידה הדמוקרטית בארצות הברית בשנים 2015-2016, התגלו טעויות טכניות מביכות מאוד שהסירו את מעט הספק שעוד היה לגבי זהות מפעיליו, שאף זוהו בשמותיהם והוגשו נגדם כתבי אישום בארה"ב. כך שזו לא באמת ירידה משמעותית ברמה, אלא עוד אכזבה מהעדר המקצועיות בתחום.
הפרקטיקות שאנחנו רואים בקמפיין הזה זהות לאלה של כנופיות פישינג שגונבות כרטיסי אשראי וסיסמאות ברשת, ופחות של גוף מדינתי רציני. יתכן שהתער של הנלון שוב צודק, ושאין לייחס לזדון מה שאפשר לייחס לטיפשות. אולי מנגנון התעמולה הרוסי עייף כל כך, עד שהוא נותן למקורבים חסרי יכולת לנהל את הקמפיינים האלה, שנועדו לייצר התנגדות לתמיכה באוקראינה.
ויתכן גם שמדובר במשהו אחר.
רמה כל כך נמוכה של ביצוע מעוררת גם מחשבות קונספירטיביות, שאולי מדובר בניסיון הפללה של רוסיה על ידי צד שלישי, למשל סין ואיראן, שעשויות להרוויח מכך, ושתיהן עסקו ביצירת קמפייני תודעה ברמה נמוכה משמעותית מזו של רוסיה. פרופילים סינים בשכבה הראשונה יחד עם מיקום שרתי היעד של השכבה החמישית באזור הונג-קונג עשוי להיות רמז אחד, אך כאמור – כמעט כל הסמנים התוכניים והטכניים מצביעים דווקא לרוסיה. כך, כאמור, משוכנעת גם קהיליית המודיעין הישראלית, שדרשה מרוסיה להפסיק את הקמפיין.
