Работих за така наречената Машина от сайтове гъби, макар и само за един ден. Не изкарах никакви пари, но разбрах как работи системата и кой може да стои зад нея.
Става дума за мрежа от стотици, а вероятно и хиляди сайтове. Големи групи от тези сайтове се управляват от едно място. Те копират съдържание от други сайтове. Най-често става дума за заглавия, които повтарят опорните точки на Кремъл за войната:
- че Западът е виновен;
- че в Украйна управляват нацисти;
- че руската армия постига огромни победи.
Нито едно от тези твърдения не е вярно, но това не пречи на стотици или хиляди потребители да споделят в социалните мрежи такива статии.
Защо го правят ли? За пари. По-точно, с надеждата да изкарат някой лев. Изобщо не е задължително споделящите да вярват в заглавията, които разпространяват. Те са примамени от обещанието да получат част от приходите от реклама. Затова в схемата участват платформи за предлагане на реклама. Колкото повече хора споделят колкото се може повече публикации, толкова повече се увеличават шансовете да има приходи от реклама. Така Машината вероятно е намерила начин да се самофинансира.
Схемата разпространява масово руска дезинформация след началото на войната на Русия срещу Украйна през 2022 г. По-късно този тип дезинформация затихва, но Машината продължава да работи - този път най-често със заглавия за председателя на ДПС Делян Пеевски, санкциониран от САЩ и Великобритания за корупция.
Накратко, от 2022 г. до днес Машината е сменяла политическите си послания в същата посока и в същите моменти, в които Делян Пеевски е променял своите. Но за това - по-късно.
Вижте също Как корупцията и влиянието на Русия продължават да дърпат България назадВсичко това разкрива една впечатляваща инфраструктура за разпространение на публикации. Понякога схемата изглежда като помощник на някого извън България, друг път помага на местни политически играчи.
В тази история има много детайли. Открихме връзките между повечето от тях и стигнахме до конкретни имена.
Чували ли сте за Машината?
За мен всичко започна на 9 февруари 2024 г. Прочетох бюлетина "Руската пропаганда в българските медии онлайн през 2023 г." на изследователите от Фондацията за хуманитарни и социални изследвания – София (ФХСИ). В него пише, че от юли дo септември 2023 г. автоматизираната система за медиен мониторинг SENSIKA е засякла 93 792 публикации, възпроизвеждащи ключови фрази на руската пропаганда.
Когато Путин каже, че НАТО и САЩ са виновни за войната в Украйна, това е дезинформация, защото войната беше започната от Русия по заповед на самия Путин на 24 февруари 2022 г. Това обаче е спестено в много публикации и така те разпространяват пропагандата на Кремъл.
Всеки 4 от 5 подобни публикации идват от Машината от сайтове гъби, пише в изследването. Става дума за група от много сайтове, формирана около share4pay.com. Това е платформа, която набира потребители с обещанието да изкарват пари като споделят публикации предимно във фейсбук. Идеята е, че колкото повече хора видят една страница, толкова повече приходи от реклама може да има. На участниците се обещава да получат някаква част от тази евентуална бъдеща печалба. Точно това е въдичката за много хора, за да се включат в Машината.
Реших и аз да се регистрирам в share4pay.com и да видя от първо лице как работи тази мрежа. Докладът на ФХСИ говори за поне 370 сайта гъби, които разпространяват идентично подвеждащо съдържание. Най-голямата изненада беше, че вероятно тези сайтове са много повече, дори в пъти повече. Това разследване показва, че тези сайтове може да са хиляди.
Разбрах също, че мотивацията на участниците в Машината е финансова, а не толкова идеологическа. За да стигнат публикациите до повече читатели, линковете към сайтовете трябва да се появят на колкото се може повече места - предимно в групи във фейсбук. Точно това правят хората, които се надяват да изкарат лесни пари - постват тези линкове. Приходите обаче отиват при организаторите. Но за това по-надолу.
Какво е Машината
Машината от сайтове гъби - както я наричат от ФХСИ, е мрежа от идентични сайтове, които имитират новинарски медии. Зад тях не стоят журналисти, нямат редакции. Те копират съдържание, което вече е било публикувано на друго място. Тази Машина е засечена за първи път през май 2022 г. Това е веднага след началото на пълномащабната война на Русия срещу Украйна.
"Установихме, че те работят поне от февруари 2022 г., от началото на горещата фаза на войната [на Русия в Украйна], и че гравитират около [сайта] "Блиц", каза пред Свободна Европа професор Димитър Вацов от ФХСИ, един от авторите на доклада.
Изследователите са използвали инструмента SENSIKA, който търси онлайн публикации "със стандартни ключови думи" за руската дезинформация от типа на:
- "анти-Русия";
- "руски свят";
- "бандеровци".
Тези изрази често се използват от говорителите на Кремъл, които твърдят, че Западът иска да унищожи Русия. Руски лидери наричат бандеровци управляващите в Украйна, което идва от името на украинския националист от първата половина на XX век - Степан Бандера.
370 сайта въртят едно и също съдържание. Но към момента може да се предполага, че са около 700.Димитър Вацов, ФХСИ
"Към края на ноември 2023 г. SENSIKA вече идентифицира 370 сайта, които въртят едно и също съдържание. (...) Но към момента може да се предполага, че са около 700", каза Вацов.
Съдържанието на публикациите е разнообразно - от обикновени сензационно звучащи материали до откровена проруска пропаганда. Това разнообразно съдържание се генерира автоматично, според данните на ФХСИ, и в голямата си част е копирано от публикации на "Блиц".
Това е един от най-популярните новинарски сайтове в България, който публикува кратки и бързи новини, най-често с криминално или "жълто" съдържание.
Сайтът беше предпочитано място за изявления на санкционирания за корупция от САЩ и Великобритания председател на ДПС Делян Пеевски, когато той все още не ходеше в Народното събрание и не говореше всеки ден пред камерите. Заглавията в "Блиц" също следват политическата линия на Пеевски - атакуват неговите опоненти и подкрепят неговите съюзници. Официално собственик на сайта е един от журналистите.
Свободна Европа потърси редакцията на "Блиц" за реакция и коментар по темата, но не успя да се свърже с представител на сайта на официалните телефони, публикувани за връзка. Изпратихме въпроси и на обявения адрес за електронна кореспонденция, но също не получихме отговор.
Как влязох в Машината
Време е за работа. Регистрирах се в share4pay.com и малко по-късно получих и “моя сайт" - patriot.allbg.eu. Така разбрах, че всеки сътрудник има отделен сайт. Затова бройката им расте всекидневно.
Но всъщност става дума за едно и също съдържание. Моят сайт се оказа пълно копие на allbg.eu - един от основните сайтове на Машината, под чийто домейн никнат сайтове гъби. След публикуването на този материал, програмисти забелязаха, че "моят" сайт дори не е копие на оригинала, а поддомейнът е сложен за по-лесно проследяване на сайтовете.
Използвах профили на приятели във фейсбук и X (бившият Туитър). На 9 февруари разпространих в социалните мрежи три заглавия. Последвах съветите в платформата, чрез която регистрирах сайта си - да използвам големи групи във фейсбук, които така или иначе разпространяват дезинформация.
Нарочно избрах заглавия, които не са точно пропаганда или дезинформация - "Екшън с бежанци в Монтана, ченгетата се видяха в чудо", “Ще ме обеси на червата ми“: Актрисата Гергана Стоянова се страхува за живота си" и "Ръководството на БСП сваля доверие от общинските съветници в София".
Вижте също "Почти рухна европейската икономика". Кои са основните пропагандни теми преди евроизборитеДокарах по-малко от 10 четения и не ми бяха предложени пари в замяна на "работата". А и публикациите ми в повечето групи във фейсбук не бяха допуснати от модераторите. С две думи - не положих усилия, защото не исках да разпространявам дезинформация.
Това обаче не значи, че Машината няма успехи. Хората, които работят за схемата и споделят заглавия, са над 10 000, според статистиката на share4pay.com.
Вероятно всички те се надяват да изкарат някой лев, но в социални мрежи и форуми може да прочетете оплаквания на десетки потребители, че също не са получили никакви пари.
Успях да се свържа с жена, която e била част от схемата. Използвах инструмента CrowdTangle, за да проследя кой точно е споделял линкове към shаre4pay.com и статии от сайтове от групата. Писах на няколко души.
Отговори ми Радка Георгиева, която е "работила" през април 2022 г.:
"Нищо не получих, измама беше".
Друг потребител обаче се хвали във форум, че изкарва по 100-200 лева на месец. Не успях да се свържа с него и не знам дали става дума за реална печалба или просто е реклама за схемата.
Кой е в центъра на Машината
Сайтовете с копирано съдържание са стотици, а по-вероятно е дори да са хиляди. Следите на голяма част от тях водят към едно място. Успях да говоря дори с човека, чието име излиза най-често в края на веригата.
Ето как стана това:
Избрах няколко сайта от изследването на ФХСИ, които са засечени да разпространяват идентично съдържание, което често е дезинформация. Сред тях се открояват BGVest.eu, BG7.eu и zbox7.eu.
Вероятно без да искате сте отваряли този код - натискате десния бутон на мишката и след това избирате Inspect.
На тях няма публикувана информация за собствеността. Затова реших да проверя каква е дигиталната следа, която са оставили анонимните собственици на споменатите сайтове.
Във всеки браузър за интернет има инструмент, с който може да видите програмния код на сайта. Дори и да не сте наясно с тази материя, вероятно без да искате сте отваряли този код - натискате десния бутон на мишката и след това избирате Inspect. В дясната част на екрана се появява кодът.
В кода на трите сайта открих елементи, които говорят за общо управление. Това означава, че един и същи човек има достъп до администрацията на тези три различни сайта. Това не е доказателство за обща собственост, но със сигурност говори за общо управление.
Отворих кода на сайта BGVest.eu и потърсих регистрационните номера на инструментите на Гугъл за реклама и анализ на трафика. Повечето сайтове използват тези инструменти. За целта те трябва да добавят няколко реда в кода си - т.е. да копират кратък код, който инструментите на Гугъл генерират за тях и след това да го поставят на определено място в основния код на сайта си. В допълнената част на кода се съдържа и уникален номер на този потребител на Гугъл.
Вижте също "Почти рухна европейската икономика". Кои са основните пропагандни теми преди евроизборитеТочно този уникален номер съвпадна. Това означава, че един и същи човек се е регистрирал да използва инструментите на Гугъл и после е допълнил кода на всичките си сайтове, копирайки едно и също допълнение към кода.
Ето за какво става дума:
Инструментът за анализ на посещения Universal Analytics (UA-) на Гугъл дава на всеки потребител уникален идентификационен номер със структура "UA-XXXXX-Y, където X и Y са цифри. Този инструмент показва на потребителите данни за посещенията в техния сайт - колко хора четат във всеки един момент, за определен период, колко време остават на сайта и т.н.
AdSense пък е рекламен сървър на Гугъл, който позволява на собствениците на сайтове да печелят от насочени реклами. Това означава, че предоставяте на Гугъл определено място на вашия сайт и системата започва да показва реклами, подбрани според интересите на потребителите. Собствениците на сайтове получават от Гугъл част от приходите от такава реклама.
Но и тук първо трябва да копирате и поставите в кода на сайта си няколко допълнителни реда, които съдържат и уникалния номер на всеки акаунт в AdSense - той започва с Pub-XXXXX, където Х отново са различни цифри.
Първо намерих UA-номера в сайта BGVest.eu. След това проверих къде другаде се появява същият номер и го открих също в сайтовете zbpx7.eu, bgvest.eu, myasto.eu, dnes24.eu, bg-sega.eu и news78.eu. За целта използвах търсачката dnslytics.com, която събира данни за домейн, IP адрес, хостинг и други.
Фактът, че изредените 6 сайта имат един и същ UA- номер, означава, че те се управляват от едно и също място. Става дума или за един и същи човек, или за организация от хора, която обаче споделя общи акаунти в Гугъл. Няма възможност тези номера да съвпадат случайно - просто е технически невъзможно.
А за кого работих аз?
Помните ли "моя" сайт? Онзи, който ми беше изпратен след като се регистрирах в Машината. Той все още е активен и съдържа идентична информация с хиляди други сайтове - patriot.allbg.eu.
Всички сайтове, които съдържат някаква дума, а след това - allbg.eu, се управляват от едно място. Само собственикът на основния домейн - allbg.eu, може да разрешава създаването на поддомейни, какъвто е моят случай.
Но връзката отива и по-високо. Проверката на allbg.eu показа, че той е управляван от едно място с други няколко сайта и всичките отново са свързани с платформата shаre4pay.com. Освен allbg.eu, това са и bg7.eu, novden.eu, prihod.eu, bg-utro.eu, mybg.eu, komentaru.com и 4eti.eu.
Става дума за друга група от 8 сайта, които се управляват очевидно от едно място. Така, за кратко време, успях да намеря общо 14 свързани основни сайта, под които обаче никнат безброй поддомейни. Нали помните - всеки, който се регистрира в shаre4pay.com, получава веднага "свой" сайт, който е поддомейн на някой от основните. Ако всеки от тях има по 10 поддомейна - говорим за 140 сайта "гъби". Ако всеки има по 100 - вече говорим за 1400 и т.н.
Вероятно са хиляди сайтовете, които тиражират копирана информация, която често е дезинформация. Това, че отвън изглеждат еднакво, не доказва все още, че всички се управляват от едно място. Но ще стигнем и до този факт.
Кой регистрира "гъбите" в Машината?
За да регистрирате нов домейн, обикновено трябва да ползвате услугите на фирма за хостинг и да оставите свой имейл адрес. Тази информация в повечето случаи е публична.
През март беше публикувано изследване на влиятелната американска неправителствена организация The Atlantic Council, изготвен от тяхната изследователска лаборатория за дигитално разузнаване по публични източници. Докладът на DFRLab (Digital Forensic Research Lab) проследява най-активните групи във фейсбук за споделяне на про-кремълско съдържание в България.
Една от изследваните публикации е за проведеното в Полша военно учение "Dragon 24". Заглавието прокарва кремълския неверен разказ, че НАТО ще нападне Русия. Най-малко 25 български сайта публикуват идентично съдържание:
"Dragon 24: НАТО се готви за война с Русия, войници пресичат полската река Висла и...".
На същите места редовно са споделяни позиции в подкрепа на Кремъл.
Проверката установява, че това заглавие е споделено в 102 страници, групи и профили във фейсбук. На същите места редовно са споделяни позиции в подкрепа на Кремъл и определени политически партии в България.
Изследването на DFRLab установява още, че една пета от тези страници са споделяли публикации от сайт от Машината, като повечето са поддомейни - т.е. създадени са от човек, който се е регистрирал през share4pay.com за участие в схемата. Голяма част от тези групи вече не са активни.
Засечени са и фейсбук групи, които са платили за реклама на съдържание от сайтове в Машината.
Това означава, че усилването на ефекта от дезинформацията е двойно. Първо, схемата разчита на многобройни сътрудници, които споделят статиите, подмамени от желанието за печалба. Това са участниците в share4pay.com. Допълнително обаче, схемата разчита на спонсориране на конкретни постове във фейсбук, за да бъдат показани на повече потребители на социалната мрежа.
Изследването свързва нови сайтове с Машината, като използва факта, че са регистрирани с един и същи имейл. Така излиза адресът ralitsa.d******va81@gmail.com, с който са купени част от домейните на Машината. Възможно е това да е имейл на търговец на домейни, а не на собственика им. Един от регистрираните по този начин домейни е kabina.eu и той се оказа свързан с още няколко "гъби".
Проверих kabina.eu с помощта на инструментите на Гугъл. Резултатите показаха още една група с общо 8 сайта: kabina.eu, news7.eu, top-novini.eu, berbim.top, pro4eti.eu, w365.eu, vi6.eu, vi3w.eu.
Така основните сайтове от Машината, под които могат да растат поддомейни, станаха 22. Под всеки от тях могат да "поникнат" десетки, дори стотици нови сайтове.
В доклада на DFRLab има още един имейл адрес, който е създал много сайтове от Машината. Това е katsarov.mir*****@gmail.com. В следващите редове ще срещате често името Мирослав Кацаров. Запомнете го.
Следите се събират
Дотук имаме много групи от сайтове, за които знаем това, че всяка група се управлява от едно място. Знаем също, че всички групи публикуват идентично съдържание, което често подкрепя позицията на Кремъл. И също често се споделя организирано в над 100 групи във фейсбук.
Общото между всички сайтове в Машината обаче не е само това. Всичките тези сайтове имат и още един общ скрипт в кода - т.е. няколко реда от кода, които се повтарят. За това съобщи в презентация Тодор Галев от Центъра за изследване на демокрацията. Този идентичен скрипт води до AdRain - българска платформа за разпространение на онлайн реклама, подобна на международната AdSense.
И така стигнахме до името, което трябваше да запомните преди малко. Мирослав Кацаров е съсобственик на платформата AdRain. В същото време кодът на AdRain се намира и на няколко сайта, чиито домейни също са купени от Мирослав Кацаров - регистрацията им е направена с имейл с неговото име, както и през адрес с разширение indexinfo.org. В търговския регистър има компания на име "Индекс Инфо" ООД и неин управител и съсобственик също е Мирослав Кацаров. Другият съсобственик в двете фирми е Божидар Костов.
Това събира на едно място както много сайтове "гъби", така и рекламната платформа, която много от тях използват. Домейните, които са купени с имейли с името на Кацаров и неговата фирма, съвпадат с тези на някои сайтове от Машината - различават се само по разширението на домейна (.eu).
Така вече стана видно, че не само има връзка между много от сайтовете с идентично съдържание, но има и още една връзка - между регистрацията на тези домейни и рекламните платформи, използвани за издържане на схемата. Трябваше да открием Мирослав Кацаров.
"Бизнесът ни е свързан само с реклама"
Когато човек купи домейн от фирма за хостинг, той оставя имейл адрес и телефон. Често тази информация е публична. Такива данни поддържа и Регистър.БГ, която единствена има право да предлага домейни с националния код .BG. Мирослав Кацаров е оставил свой телефонен номер, когато е купувал домейн от Регистър.БГ. Така се свързахме с него.
Първоначално Кацаров каза, че не може да говори, но после изпрати по съобщение имейл адрес, на който започнахме кореспонденция. Той каза, че фирмата му AdRain е платформа за "сервиране на реклама", подобна на AdSense, AdNow и други.
Всеки собственик на сайт може да се регистрира в платформата и да използва нашите кодове.Мирослав Кацаров, AdRain
"Регистрацията в AdRain е свободна и всеки собственик на сайт може да се регистрира в платформата и да използва нашите кодове за сервиране и монетизиране на рекламни карета. AdRain не е собственик, нито има собственост в изброените сайтове. Бизнесът на AdRain се ограничава само до управление на реклама. Въпросните сайтове ползват AdRain за управление на реклама, това е единствената допирна точка", написа Кацаров.
Той поиска да получи списък със сайтове, за които предполагаме, че са свързани с него. Изпратихме му линк към изследването на DFRLab. След това Кацаров отрече да има нещо общо с описаните сайтове.
"Бизнесът ни е свързан само с реклама. Но изброените сайтове и сайтовете от рода bg7... и т.н. са на различни клиенти в AdRain, на които платформата им управлява рекламни карета", написа Кацаров.
Той каза, че е прегледал някои от изброените сайтове и е видял, че "масово статиите са копирани от блиц, пик, петел, за жената и т.н."
"Лично мнение е, че това са сайтове, които копи-пействат инфо от по - големи източници и тези машини и т.н. са фантастика и не отговарят на реалността", написа още Кацаров.
След това спря да отговаря на писмата. А ние продължихме да откриваме сайтове, които са свързани с него.
Още сайтове водят до Кацаров
В изследването на DFRLab името на Кацаров е свързано с домейна themainline.bg. Направихме справка в Регистър.БГ и се оказа, че този домейн е купен с имейл адрес от мрежата на indexinfo.org. Това беше другата компания, на която Кацаров е съсобственик.
Сайтът на "Индекс Инфо" вече не е активен, но успяхме да разгледаме архивирана версия и да открием телефонен номер, който е оставен за връзка. Позвънихме по Viber и установихме, че поне един потребител е записал този номер като Miroslav Katsarov.
На архивираната версия на сайта на фирмата му открихме и портфолиото от сайтове на групата "Индекс Инфо": politikata.net; vchas.net; lifebg.net; sportove.net; ludsport.net; themainline.bg; jenata-vchas.net; lekuvai.bg; newsrain.pro.
Тези 9 сайта ни отведоха и до други. Проверихме ги чрез инструментите на Гугъл и така към тези 9 се добавиха още 5 сайта - politikata.top, novinite24.eu, lekuvai.net, vchas.pro, jenata-vchas.top.
Проверка само на един от тези нови сайтове ни отведе до още една група от свързани "гъби". Домейнът novinite24.eu, до който стигнахме току-що, е купен с имейл адрес, на който са регистрирани още една група домейни. Това отново говори за свързаност.
Така сайтовете от Машината станаха 34. Не сте забравили, че става дума само за основните сайтове, без да броим стотиците им разклонения.
Проверихме още един-два сайта за наличие на скрипта, който води към AdRain, и от това излезе още един клъстер с 10 сайта, които също имат почти еднакво съдържание. Появи се и още един сайт, който все още не се е сдобил с акаунт в инструментите на Гугъл, но също има почти идентично съдържание.
Така сайтовете станаха поне 45. Отново става дума за основните, без да броим многобройните поддомейни.
Сайтовете, свързани с Машината, вероятно са много повече и продължават да изникват. Голяма част от подсайтовете вече не са активни. Но ако приемем на доверие статистиката на share4Pay.com за 10 хиляди клиенти, то и Машината може да включва над 10 хиляди сайта гъби.
От Русия до Пеевски - какво разпространява Машината
Машината от сайтове с времето променя съдържанието си. В началото на войната на Русия в Украйна през 2022 г. то е предимно про-руско. По-късно Машината започва да споделя новини за председателя на ДПС Делян Пеевски, показват анализи.
В началото се тиражират измислени новини за руски победи на фронта, казва проф. Вацов.
"Беше много лошо нивото на превода - машинен, с много грешки", казва той.
Наблюденията му сочат, че постепенно Машината започва да се опитва да балансира представянето на войната в Украйна. Смесва преводи от руски източници със западни или украински. Това се случва към средата на 2023 г.
"Към края на същата година има много рязка промяна - повече от два пъти падна разпространението на статии, съдържащи ключовите ни думи", каза още изследователят.
"В същото това време изгрява образът на Делян Пеевски в същите гъби, като първи евроатлантик на родината. Над 200 000 статии в последното тримесечие рециклират името на Пеевски", каза проф. Вацов.
След негови интервюта в медиите, депутатът Делян Пеевски изпрати сигнал до Държавната агенция "Национална сигурност" (ДАНС) да провери твърденията за такава мрежа.
"Мен ме викаха на разпит, чакам да видя дали е форма на тормоз или ще свършат нещо реално", каза проф. Вацов.
Той предполага, че когато някой плаща за съдържание, примерно проруско, собствениците на мрежата го тиражират. Друг анализатор смята, че Машината е мрежа за разпространяване на всякаква дезинформация и работи по поръчка.
Със сигурност Машината от сайтове гъби печели добре и от реклама, тъй като работи с няколко рекламни платформи. Оценките, които получихме от издател и анализатор, са за между 100 000 и над 300 000 лева годишен приход.
Дейността на Машината вероятно излиза извън пределите на България, защото три от имейлите, с които са купувани домейни за мрежата, имат регистрации в аржентинската социална мрежа Taringa. Това се разбра с помощта на инструмента seon.io. Кодът, използван от сайтове от Машината, се намира и в сайтове на руски и румънски език.
Войната на Русия в Украйна продължава вече повече от 2 години. В България на 9 юни ще се проведат шестите поред парламентарни избори за 3 години, и редовни европейски. А влиянието на Русия в България остава огромно. Европарламентът изрази безпокойство за "увеличаване на опитите на Русия за намеса в предстоящите евроизбори" и в документа пише, че има "мрежа от агенти по дезинформация в социалните и традиционните медии, академичните среди, неправителствени организации и партии, както и че има руски контрол върху тази мрежа".
Вижте също От кривите краставици до реален риск за сигурността. Как работи дезинформацията