▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Disinformazione e propaganda di matrice russa attive in occidente

Una ricerca condotta dai SentinelLabs evidenzia l’attività di disinformazione e propaganda operata da un threat actor russo in occidente.

Tecnologie/Scenari

Pubblicazione di notizie incentrate su argomenti socio-economici e geopolitici di attualità, usati per pretesto per criticare la coalizione di governo e influenzare l'opinione pubblica tedesca prima delle prossime elezioni in Germania. Sono queste le attività principali di Doppelgänger, una operazione di sospetta matrice russa scovata e monitorata dai SentinelLabs insieme a ClearSky Cyber Security.

Com’è facile intuire, l’obiettivo è la disinformazione mirata, operata mediante la diffusione di una propaganda contro il sostegno all’Ucraina da parte del Governo in carica. I threat actor si sono serviti di una rete di account X (ex Twitter) con l’obiettivo di partecipare attivamente ad attività coordinate, migliorarne la visibilità e coinvolgere il pubblico.

Il monitoraggio ha avuto inizio alla fine di novembre 2023 e Doppelgänger non è una scoperta recente: si tratta di una rete nota per l’impiego di tattiche persistenti e aggressive, ritenuta collisa con il Cremlino. All’inizio della guerra in Ucraina diffondeva contenuti anti-ucraini rivolgendosi principalmente a un pubblico negli Stati Uniti, in Israele, in Germania e in Francia.

A questo giro l’attività sembra focalizzata unicamente sul pubblico tedesco, probabilmente per cercare di abbassare i voti favorevoli al Governo in carica in vista delle elezioni del Parlamento europeo, municipali e federali previste per il 2025. Nel report gli esperti di cybersecurity evidenziano le affinità fra le attività citate rivolte al pubblico tedesco, a Israele, Stati Uniti e Ucraina e quelle precedentemente riportate da Recorded Future e Meta.


Sovrapposizioni parziali, come l’impiego altamente coordinato di account X per rimbalzare le notizie e ampliarne la portata, mettono in evidenza l’operato di Doppelgänger. Account che nel frattempo sono stati disattivati, ma che quando erano in attività pubblicavano e ripubblicavano a cadenza regolare contenuti mirati.

Un’azione coordinata complessa

A parte la disinformazione degli articoli in questione, erano implementati link a siti web costruiti ad hoc usando WordPress, che impersonavano testate giornalistiche realmente esistenti, replicandone la struttura, il design e gli url. Tali siti pubblicavano regolarmente contenuti costituiti da un mix di notizie provenienti da altri siti web e tradotte nelle lingue del pubblico target. A rivelare che si trattava di siti canaglia erano piccoli dettagli, come per esempio errori nella funzionalità di ricerca o la mancata presenza sui social media. I contenuti di questi siti erano poi accomunati da una narrazione fortemente critica verso il governo, specialmente in relazione al suo supporto al conflitto ucraino.

I ricercatori hanno inoltre evidenziato diverse tecniche di offuscamento e tracciamento che facevano capo a una struttura notoriamente legata a Doppelgänger e strutturata in quattro parti, ciascuna destinata ad altrettante entità coinvolte nella diffusione di contenuti: i siti web di reindirizzamento di prima e seconda fase, hostati da una varietà di provider fra cui Hostinger, Global Internet Solutions e Digital Ocean, i server probabilmente utilizzati per monitorare le prestazioni delle campagne di disinformazione e i siti web di destinazione.


Da notare che i domini dei siti web hanno una natura ciclica: restano accesi per brevi periodi e vengono periodicamente spenti per poi essere riattivati all’occorrenza. È una strategia che, combinata con la frequente rotazione tra i provider di hosting, permette di eludere la detection e il tracciamento della infrastruttura di prima fase, che è esposta sulle piattaforme di social media e quindi ha maggiori probabilità di essere sottoposta a controlli.

I server di monitoraggio, che svolgono un ruolo centrale nelle campagne di Doppelgänger e sono responsabili anche del reindirizzamento, sono ospitati dietro un'infrastruttura proxy inversa basata su cloud: è un altro trucco per offuscare le loro vere posizioni di hosting. A differenza dei domini di prima e seconda fase, i periodi di attività di questi domini in genere si estendono per diversi mesi durante le campagne.

Quanto ai siti web di destinazione, nella maggior parte dei casi i domini sono stati registrati per la prima volta nel primo trimestre del 2023; alcuni erano già registrati a metà del 2022, e sono tuttora attivi. C’è poi un sottoinsieme più piccolo di domini che secondo i ricercatori sono gestiti da Doppelgänger e sono attivi da quasi 10 anni, con periodi intermittenti di inattività della durata massima di alcuni anni.

Alla luce di quanto scoperto, i ricercatori dei SentinelLabs concludono che Doppelgänger rappresenta uno strumento attivo di guerra dell'informazione, caratterizzato dall'uso strategico della propaganda e della disinformazione per influenzare l'opinione pubblica. La campagna che ha preso di mira la Germania è un esempio lampante della natura persistente e in continua evoluzione delle operazioni di disinformazione legate alla Russia, che sfruttano i social media e le notizie di attualità per plasmare l’opinione pubblica.

Non è da escludere che le attività di Doppelgänger siano rivolte o lo saranno presto anche ad altri paesi occidentali, e che nel tempo si evolveranno, soprattutto in concomitanza con le tornate elettorali previste sia in Europa sia negli Stati Uniti. Non solo, gli esperti prevedono future innovazioni nella infrastruttura e nelle tattiche di offuscamento.

Come combattere una minaccia simile? Con un approccio globale e collaborativo, con il rafforzamento della consapevolezza pubblica e con la formazione ai cittadini, che permetta loro di riuscire a identificare e vanificare i tentativi di manipolazione. Ovviamente in affiancamento a questo occorrono azioni tempestive ed efficaci da parte delle piattaforme di social media e degli operatori delle infrastrutture per limitare la diffusione della disinformazione online. I SentinelLabs hanno pubblicato anche una serie di IoC che si trovano nel blog ufficiale.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter