Поиски Александера начались с сайта вштабе.рф с политическими демотиваторами, о котором в апреле писали «Радио Свобода» и The Guardian. Используя бесплатный инструмент Maltego, журналист собрал открытые данные о сайте и среди прочего обнаружил используемый на нём счётчик Google Analytics, для которого был указан уникальный идентификатор.
Через сервис sameID.net Александер узнал, что такой же идентификатор используется в счётчиках на ещё семи сайтах. Среди них были whoswho.com.ua, собирающий компромат на украинских чиновников, Zanogu.com с антизападными мемами, yapatriot.ru, дискредитирующий российскую оппозицию, а также поддерживающий режим в Сирии syriainform.com.
Один из сайтов, news-region.ru, был связан ещё и со вторым идентификатором Google Analytics, а тот — с рядом из 19 прокремлёвских сайтов, писал Александер. Дальнейшие исследования выявили ещё три аккаунта Google Analytics, объединяющих другие кластеры, на основе которых журналист создал инфографику.
По словам Александера, другие косвенные признаки свидетельствовали о том, что он наткнулся на сеть сайтов, сделанных российскими пользователями.
Помимо Google Analytics, сайты имели другие общие черты: многие из них использовали «Яндекс.Метрику», верификацию через «Яндекс» и сервера Nginx — всё это инструменты российской разработки.
Стало ясно, что я, скорее всего, имею дело с большой, хорошо организованной информационной кампанией в интернете. Но хоть мне и удалось найти связь между сайтами через сервис Google Analytics, он не мог мне сказать, кто за всем этим стоит.
Лоуренс Александер, журналист Global Voices Online
Просмотрев информацию о регистрации доменов из всего списка сайтов, Александр также обратил внимание, что в некоторых из них использовался адрес terder.n@gmail.com. Он оказался связан не только с уже обнаруженными функционирующими сайтами, но и с теми, которые ещё только находились в разработке: например, antiliberalism.com, dnepropetrovsknews.com и maidanreload.com.
Поиск по электронной почте вывел на фрилансера по имени Никита Подгорный. На его странице в Фейсбуке журналист нашёл связи с некоторыми из обнаруженных ранее сайтов, но при личном общении во «ВКонтакте» Подгорный не подтвердил и не опроверг отношение к созданию сети.
По мнению Александера, другие детали — например, метаданные изображений, размещённых Подгорным на его странице в Pinterest — косвенно подтверждают его причастность к прокремлёвским сайтам. Кроме того, имя фрилансера находится в утекшем списке сотрудников агентства «Интернет-исследований»: указанная в документе дата рождения совпадает с информацией из «ВКонтакте».
Особенный шар
Zanogu.com с антизападными мемами
Такс такс што тут у нас. Ахахах наканец, сайт с антизападными мемесами)))
Организованный теркин30см
fapnews.ru - прокремлевская эротика?
Главный рак
Про Nginx это он, конечно, загнул. Но в целом неплохо, правда ни про один их этих сайтов раньше не слышал, к счастью.