Diese Tweets (im Video von @hhumorlos) gehören offenbar zu einem Netzwerk, das spätestens seit Juli 2022 prorussische Propaganda verbreitet.
Es gibt Anzeichen dafür, dass es sich um ausländische Einflussnahme handelt – denn es wurden Fehler gemacht.
Das Netzwerk verpackt seine Botschaften in vermeintliche Nachrichtenartikel:
Die Ukraine und Sanktionen sind böse, Putin ist toll, der Westen steht am Abgrund. Dazwischen Transfeindlichkeit.
Eine kleine Spurensuche: 🧵
Gefälscht wurden u. a. der Spiegel, die FAZ, die SZ, der Tagesspiegel und die Washington Post.
Die seltsamen Links auf Twitter (projetoveraofit[.]online usw.) sollen es vermutlich schwieriger machen, die Verbreitung einzudämmen.
Wer sie anklickt, wird über Server bei einer russischen Firma („Aeza“) weitergeleitet und landet auf den nachgebauten Websites großer Medien.
Die Domains dieser Medien enden dann jeweils auf „.ltd“ statt beispielsweise auf „.de“.
Wo die Server dieser Fakes stehen, kann ich nicht sagen, weil der Standort mithilfe des Dienstes Cloudflare verschleiert wird. Man kann aber sehen, dass dieselbe Cloudflare-Nameserver-Kombination verwendet wird bzw. wurde:
- früher „jocelyn“ & „plato“,
- heute weitgehend „gabriella“ & „yew“.
Das ist Tech-Babble für: Die Hinterleute nutzen für diese Websites womöglich dasselbe, kostenlose Nutzerkonto.
Wer die Homepages der Fakes direkt aufruft, wird zur echten Nachrichtenwebsite weitergeleitet, als wäre alles in Ordnung.
Die Propaganda soll nur sehen, wer die URL kennt, wie sie hier auf Twitter gestreut wurden.
In diesem Fake, das ein „Sanktionsregime“ beklagt, habe ich etwas gefunden, was dafür spricht, dass die Hinterleute keine deutsche Tastatur hatten.
Sie haben einen Fehler 13-mal gemacht – so sieht er aus: β.
Das ist kein scharfes S, sondern der griechische Buchstabe Beta!
Ein weiterer Fund (der nichts heißen muss): Beim Spiegel- sowie beim FAZ-Fake ist JavaScript-Code verbaut, der das russische Wort „Тест“ enthält – „Test“.
Das passende Skript bei der echten FAZ ohne Kyrillisch:
https://faz.net/dist/scripts/main.f76d4a442b1c93bc7e00.js
@renereh1 Danke, überzeugend. Ich hatte den Verdacht, dass es dafür so eine Erklärung gibt – daher der Zusatz, dass es nichts heißen muss. Bei JavaScript bin ich einigermaßen clueless, könntest du vielleicht ein bisschen genauer erklären, was da passiert und warum? Aus Interesse.
Ich bin so weit, dass „xn--e1aybc“ Punycode für „Тест“ ist, aber was hier passiert und warum dieses Wort überhaupt auftaucht, ist mir bislang ein Rätsel.
@daniellaufer Das Webarchiv setzt einen Header "x-archive-guessed-charset: utf-8" und encodiert das File korrekt in UTF-8. Du kannst das selber reproduzieren, indem du dir das .js file von faz.net herunterlädst und in einem Editor öffnest, wo du das Encoding selber bestimmen kannst (z.B.) VS Code. Wähle UTF-8.
Btw. ich nehme an, dass bei faz.net bei irgendeiner Aktion (dateierstellung, upload, bereitstellung, Dependency Manager etc.) einfach das encoding verkackt wurde.
@daniellaufer Die Funktion scheint also eine Art umfassenden Test für die Funktionalität von `URL` und `URLSearchParams` durchzuführen und sicherzustellen, dass sie in verschiedenen Szenarien erwartungsgemäß funktionieren.
Es ist daher nachvollziehbar, dass eine URL auch mit derartigen Zeichen in solchen Tests vorkommt. Die Lib stammt nebenbei bemerkt von dem russischen Entwickler Denis Pushkarev (zloirock.ru).
Daniel Laufer
👾 Rene Rehme #39C3
Martin Rocket