Desinformatie op bestelling: het Israëlische ‘Team Jorge’ helpt uw vijanden te beschadigen
Het Israëlisch agentschap ‘Team Jorge’ verspreidt wereldwijd al jarenlang desinformatie met een geavanceerd systeem van nepaccounts om sociale media te manipuleren. Het spookbedrijf opereert volledig onder de radar maar kon ontmaskerd worden dankzij een undercover-operatie van journalisten.
Vanaf 14/02 publiceren we gedurende een hele week onthullingen over de desinformatie-industrie op Knack.be/storykillers
Over het gevaar van online desinformatie en fake news is al heel wat inkt gevloeid. Maar een wereldwijd onderzoek naar de cyberindustrie verantwoordelijk voor lastercampagnes, trollenlegers en de manipulatie van verkiezingen was nog nooit gebeurd. Daarom bundelde de Parijse non-profit Forbidden Stories, die het werk van bedreigde of vermoorde journalisten voortzet, de krachten met 30 media –waaronder Knack en Le Soir. Met hetzelfde journalistenteam hadden we in 2021 al blootgelegd hoe Pegasus-spyware van NSO Group werd misbruikt om journalisten te bespioneren.
Ter nagedachtenis van de vermoorde Indiase journaliste Gauri Lankesh lanceerden we het project #StoryKillers, een onderzoek naar desinformatie-huurlingen. Het ging van start met een bijeenkomst van mediapartners in Parijs in juni 2022. Tijdens een brainstorm over hoe de schimmige, mysterieuze desinformatie-industrie in kaart te brengen, ontstond het idee voor een undercoveroperatie. Wat als we ons zouden voordoen als potentiële klanten om op die manier bedrijven te benaderen die desinformatie-diensten verkopen?
‘Inmenging in 33 presidentsverkiezingen’
‘We zijn vertegenwoordigers van een potentiële klant uit een Afrikaans land. Kan u ons helpen de verkiezingen uit te stellen?’ Onder dat coververhaal slaagden onze collega’s van TheMarker, Radio France en Haaretz er via-via in contact op te nemen met een geheimzinnige speler uit de desinformatie-industrie. En de vis hapte toe. Het undercover team had het voorbije halfjaar verschillende ontmoetingen – online en face to face – met een agentschap dat enkel naar buiten treedt (en in beperkte kring dan nog) onder de naam “Team Jorge”. De ontmoetingen werden stiekem gefilmd.
De man die zich voorstelde als Jorge bleek een eersteklas verkoper. In verbijsterende presentaties onthulde hij instrumenten die zijn team ter beschikking had: cyberaanvallen, internationale desinformatiecampagnes, vervalste documenten, zwartmaken van politieke tegenstanders, de verspreiding van valse rapporten, diefstal van bankdocumenten… Jorge beweerde zelfs dat hij en zijn medewerkers zich hadden gemengd in 33 presidentsverkiezingen wereldwijd ‘waarvan 27 met succes’.
Verder claimde Jorge schuil te gaan achter een beruchte cyberaanval die bedoeld was om het referendum over de Catalaanse onafhankelijkheid in 2014 te saboteren. Hij vertelde ook hoe een klant hem betaalde om te helpen bij de arrestatie van de Canadese modetycoon Peter Nygård wegens vermeende seksuele misdrijven. En hij pochte over een aanval in 2015 op de telefoons van de oppositiepartij in Nigeria, in het kader van een verkiezingscampagne waarbij hij samenwerkte met het beruchte Britse bedrijf Cambridge Analytica.
De urenlange verkooppraatjes van Jorge en zijn medestanders vormden slechts het startpunt van ons onderzoek, want natuurlijk moesten we alle claims uit Jorge’s presentaties dubbelchecken. En vooral: achterhalen wie die mysterieuze Jorge écht is.
Telegram gehackt
Tijdens de eerste online ontmoetingen met de undercover-reporters van TheMarker, Radio France en Haaretz legde Team Jorge uit dat elke beïnvloedingsoperatie uit drie fasen bestaat: inlichtingen verzamelen, een verhaal opbouwen en dat vervolgens wijd verspreiden om maximale impact te bereiken.
Om inlichtingen in te zamelen – handig als je iemand zwart wil maken – doet het team onder meer een beroep op hacking. In een live demonstratie toonde het bijvoorbeeld toegang te hebben tot het Telegram-account van een Keniaanse minister, door een bericht in zijn naam te versturen. Forbidden Stories kon verifiëren dat het bericht inderdaad was aangekomen. Team Jorge had eveneens toegang tot verschillende e-mailaccounts van prominente personen, waaronder het gmail-account van een Indonesische zakenman en een Mozambikaanse minister.
Het is niet duidelijk hoe het team Telegram kon verschalken. Mogelijk gebeurde dat door zogenoemde SS7-aanvallen uit te voeren. Die spelen in op een kwetsbaarheid in het Signaling System #7, dat wereldwijd door telecommunicatie-aanbieders wordt gebruikt om onder meer oproepen van de ene mobiele telefoon naar de andere mogelijk te maken. Telegram reageert dat de gebruikers in kwestie géén tweestaps-verificatie hadden geactiveerd om hun account te beschermen.
Een leger van 39.000 valse profielen
Voor online desinformatiecampagnes heeft Team Jorge dan weer een eigen geavanceerd instrument ontwikkeld: Advanced Impact Media Solutions (AIMS). Met dit software-platform (dat nooit eerder werd onthuld) kan het massaal nepprofielen opzetten op sociale media – zogenoemde avatars – maar ook fake persartikels en blogs creëren en vooral op een gecoördineerde manier inhoud verspreiden.
AIMS laat toe om met één druk op de knop, en op een heel geloofwaardige manier, valse accounts voor niet-bestaande mensen aan te maken op tal van sociale media: Twitter, Facebook, Instagram, Amazon, Discord, Reddit… Elk verzonnen personage krijgt een voor- en achternaam, taal, woonplaats, geslacht en geboortedatum. Gestolen foto’s van andere internetgebruikers worden als afbeelding gebruikt. De nepprofielen kunnen zelfs een cryptocurrency-portefeuille hebben.
Volgens de gebruikersinterface die ons team te zien kreeg, beheerde AIMS in december 2022 meer dan 39.000 avatars en bezat het de mogelijkheid om gemakkelijk en snel nieuwe aan te maken. ‘We hebben Arabieren, Russen, Aziaten, alles. Afrikanen, natuurlijk’, zei Jorge tijdens een presentatie, terwijl hij door zijn inventaris van fictieve accounts scrolde.
Detectie omzeilen
Google, Apple, Facebook, Amazon en Microsoft hebben natuurlijk detectiesystemen in huis om valse accounts te spotten. Maar ook die weet AIMS te omzeilen.
Om te vermijden dat massaal nieuwe registraties vanuit één en hetzelfde IP-adres worden opgezet, vertrouwt Team Jorge op een reeks zogenoemde residential proxies (eenvoudig uitgelegd: servers van derden). Daardoor lijkt het alsof de avatars echt in andere landen wonen. En om het proces van identiteitsbevestiging van de verschillende sites te omzeilen, worden tekstberichten gestuurd naar virtuele nummers die voor de avatars zijn aangemaakt. Dat maakt het veel moeilijker om de profielen te ontmaskeren als vals.
Het leger aan nepaccounts kan gecoördineerd worden ingezet om gerichte misleidingscampagnes op sociale media te voeren. En straffer nog: ook de creatie van de inhoud die die nepprofielen verspreiden, gebeurt automatisch, aangestuurd door kunstmatige intelligentie (AI). Je kiest een toon (negatief, positief of neutraal) en het systeem genereert tweets en berichten die moeilijk – zo niet onmogelijk – te detecteren zijn als machinaal gegenereerd.
We legden beelden uit de AIMS-presentatie van Team Jorge voor aan professor Anat Ben-David, een onderzoeker op het gebied van digitale media aan de afdeling Sociologie, Politicologie en Communicatie van de Israëlische Open Universiteit. Ze was onder de indruk: ‘Dit zijn technologieën en vaardigheden die nog nooit van binnenuit zijn gezien.’
RIP Emmanuel
De AIMS-presentatie zag er overtuigend uit, maar daarom werkt het systeem nog niet in de echte wereld. En dus vroegen we Team Jorge om een demonstratie.
In de zomer van 2022 ging “Emmanuel de emoe” viraal op sociale media, huisdier van de bekende influencer Taylor Blake. We daagden Team Jorge uit met een missie: verspreid het Twitter-gerucht dat de emoe is overleden. Resultaat? Met behulp van de nepaccounts van AIMS ging de hashtag #RIP_Emmanuel in geen tijd op Twitter rond. De campagne, zo konden we zelf vaststellen, omvatte duizenden tweets, shares en likes.
Jorge stuurde ons een screenshot waaruit bleek dat #RIP_Emmanuel een van de trending items op Twitter was in Slowakije, met 1347 tweets alleen al in dat land. In Afrika, Europa en ook in de Verenigde Staten werd de dood van ‘de legende’ betreurd en schreven mensen over hoezeer ‘Emmanuel gemist zal worden’.
Mission accomplished. Maar tegelijkertijd had Team Jorge zich blootgegeven. We konden nu immers achterhalen wélke nepprofielen werden ingezet in de desinformatie-campagne rond Emmanuel. Op basis van die informatie trokken we verder op onderzoek uit. Zo konden we meer dan 1700 Twitter-accounts en bijna 250 soortgelijke Facebook-accounts identificeren, evenals enkele YouTube- en Reddit-profielen, die tot het AIMS-platform behoren.
Al die valse accounts bleken bovendien gebuikt in minstens 19 échte desinformatie-campagnes georchestreerd door Team Jorge: van het promoten van kernenergie in Californië, over het steunen van de Senegalese president Macky Sall in zijn herverkiezingsbod in 2019, tot het denigreren van de Zwitserse klokkenluider Xavier Justo die hielp het 1MDB-corruptieschandaal in Maleisië bloot te leggen. Nu wisten we 100% zeker: Team Jorge heeft met zijn AIMS-technologie wereldwijd desinformatie verspreid.
‘Wat is het verschil tussen een complottheorie en de waarheid?’, vroeg Jorge in een van de bijeenkomsten. Hij gaf zelf het antwoord. ‘Achttien maanden.’
Facebook reageert
We legden onze bevindingen over nepprofielen voor aan Meta, het bedrijf boven Facebook. ‘In 2019 hebben we een beïnvloedingsoperatie stopgezet die gekoppeld was aan een Israëlische firma genaamd Archimedes Group’, reageert Meta.
‘Deze nieuwste activiteit die Forbidden Stories ons vorige week heeft gesignaleerd, is een poging van enkele van dezelfde personen om terug te komen en we hebben ze verwijderd wegens het schenden van ons beleid. Uit onze eerste beoordeling bleek dat deze pogingen sinds 2019 ofwel werden geblokkeerd door onze geautomatiseerde systemen, ofwel er niet in slaagden een authentiek publiek op te bouwen.’
‘De laatste activiteit van de groep lijkt zich te hebben gericht op het runnen van valse petities op het internet of het zaaien van verzonnen verhalen in de reguliere media.’
600 links voor één verhaal
Een andere tool uit Team Jorge’s arsenaal is Blogger. Die software zorgt voor de links die de nepprofielen tijdens desinformatie-campagnes kunnen verspreiden. Het materiaal kan variëren van gelekte info tot video’s, en wordt gehost op schijnbaar echte websites.
Volgens Jorge kan Blogger 600 links creëren voor hetzelfde nieuwsverhaal. We zagen geen werkende versie van het Blogger-systeem, maar wel de output ervan: een spreadsheet met honderden links die leiden naar wat leek op dezelfde handvol nieuwsverhalen en video’s van een verkiezing in Azië.
En de sluwe manipulatie gaat nóg verder dan dat. We ontdekten dat Team Jorge er zelfs in slaagt valse berichten te plaatsen in Franse media. Tijdens een ontmoeting toonde Jorge immers een fragment van een bericht dat in december was uitgezonden op de Franse 24 uurs-nieuwszender BFM TV. Jorge beweerde dat hij daar achter zat.
In het item verklaarde de Franse televisiepresentator Rachid M’Barki dat de sancties tegen Russische oligarchen zouden leiden tot de werkloosheid van tienduizenden mensen –want indirect waren ook de scheepswerven hierdoor getroffen. Forbidden Stories contacteerde de directie van BFM TV over dit vreemde verhaal. De zender startte een intern onderzoek en de presentator werd geschorst. M’Barki gaf toe dat hij voor dit verhaal de instructies van een tussenpersoon had opgevolgd, maar zei dat hij daarvoor geen geld had ontvangen.
De televisiepresentator antwoordde niet op onze vragen maar verdedigde zich eerder al in de pers: ‘Misschien ben ik bedrogen. Ik had niet de indruk dat dit het geval was of dat ik deelnam aan een of andere operatie. Anders had ik het niet gedaan.’
Rode draad: discretie
Team Jorge heeft géén adres, géén telefoonnummer, géén website, géén contactgegevens en staat evenmin geregistreerd als bedrijf.
Ook tijdens onze ontmoetingen met Team Jorge was discretie hét ordewoord. Jorge zelf en zijn kompanen gaven nooit hun echte identiteit prijs maar werkten steevast met schuilnamen. Zo was er onder meer nog een zekere “Nick”, die werd voorgesteld als de directeur van Team Jorge. En Jorge zelf sprak alleen met ons vanaf een Indonesisch telefoonnummer. Aanvankelijk onthulde hij zelfs zijn gezicht niet.
Die hang naar discretie kwam ook naar voor toen het over de centen ging. De operaties van Team Jorge hebben een stevig prijskaartje: van een paar honderdduizend dollar voor een kleine operatie tot 15 miljoen dollar om te proberen een presidentiële campagne te beïnvloeden. Maar de betaling kon op verschillende manieren – onder de radar – gebeuren: via cryptomunten, donaties aan ngo’s, overschrijvingen naar schermvennootschappen…
Speciale strijdkrachten van het Israëlische leger
Na maandenlang grondig onderzoek konden we achterhalen wié achter het pseudoniem “Jorge” schuilgaat. Zijn echte naam is Tal Hanan, een 51-jarige Israëliër die met zijn gezin in Modi’in woont, een stad tussen Jeruzalem en Tel Aviv. Hanan staat officieel aan het hoofd van twee vennootschappen: energiebedrijf Sol Energy en Demoman, een Israëlisch beveiligingsbedrijf dat in 1999 is opgericht en gespecialiseerd is in zowel antiterrorisme als economische inlichtingen.
Op de website van Demoman staat Hanan beschreven als een explosievenspecialist die heeft gediend bij de speciale strijdkrachten van het Israëlische leger. ‘Hanan leidde talrijke missies op het gebied van inlichtingen, veiligheid, wetshandhaving en corruptiebestrijding, alsmede opdrachten en adviesprojecten voor verschillende NAVO-leden, Zuid-Amerikaanse regeringen en privéondernemingen in de olie- en gassector. Hij gaf leiding aan risicovolle beschermingsoperaties in Mexico, Colombia en Venezuela.’
Hoewel er nauwelijks informatie publiek is over Tal Hanans activiteiten op het gebied van inlichtingenwerk, werd zijn naam in mei 2015 wel al eens genoemd in een e-mail-uitwisseling tussen Alexander Nix en Brittany Kaiser, twee voormalige topmanagers van Cambridge Analytica. Dankzij onze mediapartner The Guardian konden we dat e-mailverkeer inkijken.
Ter herinnering: Cambridge Analytica was het Britse bedrijf dat de persoonlijke gegevens van bijna 87 miljoen Facebook-gebruikers zonder hun medeweten verzamelde, analyseerde en gebruikte voor politieke targeting. Het speelde een rol in de verkiezingsoverwinning van Donald Trump in 2016 in de VS en het Brexit-referendum in Engeland.
Team Jorge’s Directeur “Nick” blijkt dan weer Zohar Hanan, de broer van Tal. Er is haast geen openbare informatie beschikbaar over deze vijftiger, die in 2010 in een Amerikaans tijdschrift wel werd genoemd als expert in polygrafie (een leugendetectie-technologie) en die ook werd voorgesteld als consultant voor Sensority, een voormalige Israëlische start-up die onder meer gespecialiseerd is in stressdetectie-technologieën.
‘We zijn niets’
Tal Hanan reageerde niet op onze vragen in het kader van wederhoor, en liet enkel weten dat hij eender welke overtreding ontkent. ‘Elke openbaarmaking van persoonsgegevens (d.w.z. doxxing) kan onder verschillende nationale veiligheidswetten vallen’, voegde hij er cryptisch aan toe. Zijn broer Zohar reageerde enkel dat hij ‘heel zijn leven binnen de wet heeft gewerkt’.
De laatste ontmoeting tussen Team Jorge en de undercover-reporters van TheMarker, Radio France en Haaretz vond plaats in een onopvallend, halfleeg gebouw in de Israëlische stad Modi’in. Jorge houdt er kantoor op de derde verdieping.
‘Heb je gezien wat er op de deur staat?’, vroeg Tal Hanan. ‘Niets. Er staat niets. Dat is wie we zijn. We zijn niets.’
Dit artikel kwam tot stand op basis van teksten van Forbidden Stories, Le Monde, TheMarker, Radio France en Haaretz. Der Spiegel, Paper Trail Media en Le Monde analyseerden de AIMS-nepaccounts gebruikt in 19 desinformatiecampagnes. The Guardian deelde de Cambridge Analytica-mails.
Het onderzoeksproject #StoryKillers is gecoördineerd door Forbidden Stories. Partnermedia: Knack, Le Soir, The Guardian/The Observer, Le Monde, The Washington Post, Der Spiegel, ZDF, Paper Trail Media, Die Zeit, Radio France, Proceso, OCCRP, Haaretz, The Marker, El País, SverigesTelevision, Radio Télévision Suisse, Folha, Confluence Media, IRPI, IStories, Armando Info, Code for Africa, Bird, Tempo Media Group, El Espectador, Der Standard, Tamedia en Krik.
Fout opgemerkt of meer nieuws? Meld het hier