Leveraging OSINT During the Recent Drone Attacks on Moscow
- Dieter Stroobants
- Aug 4, 2023
- 23 min read
The last few days have been rather challenging for Russian air defense in and around Moscow. On early July 30th, multiple drones entered the city's airspace, some of them being shot down, and others striking a building in one of Moscow's trending business districts. Within the following days, the exact same building, which was still in the process of having its facade repaired, was struck by a second drone strike (source).
This raised multiple questions as to why Ukrainian drone strikes were so relentlessly persistent on hitting this specific target given the wide array of other possible targets throughout the city. Is it pure luck? Is this building just an easy target due to its wide attack surface on the bank of the Moskva? Are they targeting a general area? This building in particular? Why this building and not the adjacent one?
This article provides insights into such questions by leveraging OSINT tools and techniques. Starting off from multiple hypotheses, it will demonstrate how OSINT can contribute to the creation of timely and actionable intelligence.
The Lay of the Land
A first step in any investigation is to analyze the elements at hand and establish some pivot points from which we can develop a series of hypotheses. A first of such steps includes the gathering and verification of the information at hand, in this case geolocating the strikes, identifying the stories hit inside the building and drawing our first conclusions.
A first tool which always comes in handy when having to search an approximate location which you have video footage of is the dualmaps tool, which allows you to navigate three instances of Google products at once: Google Maps, Google Street View and Google Earth/Satellite Images.
Using this tool, we are able to geolocate the building at the IQ Quarter at Presnenskaya Naberezhnaya, 10, building 2, Moscow, Russia, 125039, with its Southern and Western flank being targeted by the drone strikes, at the tenth and approx. 20th floor (there may be some variation due to the anomaly at floors 19/20). Other tools which were relevant in this geolocation include F4map for a cleaner overview of the building layout in the area and InstantStreetView for very fast streetview content.
The first conclusions which we can draw from this verification is that the building is rather exposed and would allow for a relatively easy target form across the banks of the Moskva. A first analysis may thus lead to think that these strikes were nothing more than a intimidation operation on behalf of the perpetrators. The buildings are out in the open, they probably do not host any civilians throughout the night (especially on Sundays), so striking them within that time-frame will not lead to civilian casualties, while still contributing to the psychological terror it generates.
But what about the two consecutive strikes in such a short time range? Isn't that odd? It definitely tingled my OSINT senses, which got me thinking about alternative explanations.
Business is Business
On social media, the first moments following these strikes were mostly marked by people supporting and condemning the strikes, engaging in many debates about the strategic, political and ethical aspects of the events. At the same time, a parallel debate started forming within investigative communities, and several news reports started picking up on the fact that these strikes were indeed oddly timed and that there may be more to these strikes than initially thought. Some started picking up on similar strikes on buildings near the Russian Ministry of Defense earlier this year (source), and multiple rumors started spreading about hidden ministries inside the struck building. Starting from such leads, I started thinking about the different ways to identify potential targets inside the building, and establish links between the actions and their intent.
Russia oddly happens to be very, sometimes even too transparent when it comes to making available detailed business information, so an initial lead was established by searching for the identification of businesses registered at the building's address, and single out outlying or odd business and organizations registered there. Some of the tools I would recommend for business info in Russia include the different tools of the Russian Federal Tax Service, or the Rusprofile website, although a very broad array of equally interesting alternatives exist (whatever works best for you, these have just always been useful to me during my investigations). A first search of businesses registered at this address quickly showed that this investigative route was going to be way too tedious given the gargantuan amount of data to check (and no export options or online filters which would have made the job way easier); hence it was time to change the angle of approach.
Who's Who?
Isolating the searches at the different levels at which the drones stuck while prioritizing the search for all government instances inside the building appeared as a logical next step. One great resource for finding out details about businesses inside specific locations in Russia is 2gis.ru (always compare and contrast its results with Yandex Maps, this made the difference for some results of this investigation) which lists all different ministries and businesses in the building with the levels at which they are located (for the most part). Cross-checking this with the information gathered from the Russian Ministries, it appears that the following organizations occupy office spaces in the building:
Federal Agency for Technical Regulation and Metrology, a.k.a. Rosstandart (29th floor, needs further confirmation)
Federal Agency for Ethnic Affairs (7th floor)
Certain sources contradict this, stating that it is located on the 13th floor.
Federal Accreditation Service, a.k.a. Rosakkreditatsiya (8th and 9th floor)
Federal State's 'Support Center' (9th and 10th floor)
Ministry of Digital Development, Telecommunications and Mass Media (Floors 10-12 and 14-15)
Ministry of Economic Development (Floors 17-28)
Including the Department of Strategic Development and Innovation, as well as the Department of Investment Policy of Small and Medium Enterprises.
Ministry of Industry and Trade (Floors 30-36)
Scientific and Technical Library located on level 35 (footage)
Federal Tourism Agency
One of the first reflexes to have in this instance is to check for reviews, complaints and crowd-sourced footage of the area. There were a few close calls, with some pictures inside the 'governmental' section of the building almost leaking the entire building plan. Unfortunately, the footage was compressed and the placard is left unreadable, but the floor structure seems to correspond to the floor plan we managed to establish above. More is, other crowdsourced footage confirmed the Ministry of Development, Telecommunications and Mass Media's location on the 12th floor, which interestingly also manages the Rosskomnadzor (although the RKN's offices are not located in this building).
While scraping my preferred sources on Telegram, I further stumbled upon some interesting footage. First, a post appeared on the popular 112 Channel showing alleged documents from the Ministry of Digital Development which had found themselves on the street after the blast from the drone strikes earlier that day. The first video appears to show some documents found in a puddle near a sidewalk, and when analyzing the surroundings, I managed to find the exact location right behind the IQ building (always make sure to check the different years of streetview), which allows us to increase our confidence in the trustworthiness of this information. Both pictures also have elements which are found in the vicinity of the building (probably where they went to inspect closer after finding the first documents in the puddle nearby). For those who like to nerd out like me, and love details that matter, even the area's most prominent wind direction seems to confirm the direction these papers would have taken after falling out of the office space (see below).
The second strike took place about ten stories higher, on the level where the Ministry of Economic Development has its offices.
So What?
Why would one strike these two ministries in particular? Are these targeted attacks, or simply general strikes at office buildings in a bustling business district in central Moscow? Such answers are most likely never going to be made public, but based on our findings, we have managed to map out the potential causal links and their likeliness, based on elements linked at rather high degrees of certainty. As the old mantra goes, truth often comes disguised in layers, and the more you peel, the more you go down an endless rabbit hole.
A first layer, presenting a rather naive perspective, sees the targeting of this building as a rather fortuitous concurrence of luck and opportunism, mainly motivated by the psychological importance of being able to strike in the enemy's backyard while conveying a political message ("We've hit your capital too!"), especially since some of the ministries and organizations are also under sanctions and are currently contributing to the Russian war effort in Ukraine. This may stand to a certain extent, as this is not the first such strike of the past few months, but given the elements which have come out of this short investigation, one should at least peal a few more layers before drawing out conclusions.
If one considers the accuracy of the drones used during the attack to be just enough to aim for a building, one can assume that the main aim was to scare Russian governmental employees into reconsidering their personal safety, which they will probably take into consideration when drafting their next contract or legislative text. Alleged accounts from the security guard (who constituted the only injury from both attacks) confirm that a 'moped sound' approached the building right before the explosion(s) took place. Such accounts would indicate that the drones were less precise fixed wing rather than the more accurate quad-copter drones, which are more frequently used by Ukrainian fighters and local partisan networks.
Peeling a few more layers, and delving into a more speculative thought process, one can assess the possibility of a more targeted attack on both the Ministry of Digital Development, Telecommunications and Mass Media, with its links to the Russian information war, hacking operations and disinformation campaigns (not to mention the role of the Rosskomnadzor in this effort). A less obvious connection can also be made between the Ministry of Economic Development, including its two departments mentioned above. Over the past few days, the IT Army of Ukraine, a volunteer cyber-warfare organization which engages in offensive operations against pro-Russian targets, has been focusing on the disruption of activities of companies established in occupied Ukraine (see below). Targeting the Ministry which, through the departments mentioned above, manages a majority of the processes enabling the deployment of such businesses in occupied Ukraine, may thus be perceived as a way to contribute to the disruption the Russian occupation efforts.
Thoughts?
Throughout this short investigation, the main aim was to guide you through the OSINT processes of verifying and identifying the different targets and establish the intentions behind the recent drone strikes on a business district in Moscow. By cross-referencing and verifying information sourced from a rich array of outlets, it was possible to identify with high degrees of certainty the identity of the ministries struck by the attacks and, to a certain extent, analyze the intention behind the attacks. Most interestingly, this article showed both how far we can go once a lead seems rather promising (e.g. the footage found on the 112 channel), but also how simple obstacles such as the compressed quality of a Yandex review may halt us in providing crucial cross-reference evidence to an investigation.
Did you enjoy this article? Make sure to have a look at the rest of our Website, share our content and provide us with your feedback!
Tools mentioned in this article
In need of some training? Would you like to access our entire set of OSINT tools? Click the link below!
Exploiter l'OSINT pour Analyser les Récentes Frappes de Drones sur Moscou
Ces derniers jours ont été plutôt difficiles pour la défense aérienne russe à Moscou et dans ses environs. Le 30 juillet, plusieurs drones ont pénétré dans l'espace aérien de la ville, certains ont été abattus et d'autres ont frappé un bâtiment dans l'un des quartiers d'affaires les plus en vogue de Moscou. Dans les jours qui ont suivi, le même bâtiment, dont la façade était encore en cours de réparation, a été touché par une deuxième attaque de drone (source).
Cette situation a soulevé de nombreuses questions quant aux raisons pour lesquelles les frappes de drones Ukrainiens se sont obstinées à atteindre cette cible spécifique, compte tenu du large nombre d'autres cibles intéressantezs dans toute la ville. S'agit-il d'une question de chance ? Ce bâtiment est-il une cible facile en raison de sa large surface d'attaque sur la rive de la Moskova ? Visent-ils une zone générale ? Ce bâtiment en particulier ? Pourquoi ce bâtiment et non le bâtiment voisin ?
Cet article apporte des éléments de réponse à ces questions en s'appuyant sur les outils et techniques OSINT. Partant de multiples hypothèses, il démontrera comment l'OSINT peut contribuer à la création de renseignements opportuns et exploitables.
L'état des lieux
La première étape de toute enquête consiste à analyser les éléments disponibles et à établir des points pivots à partir desquels nous pouvons développer une série d'hypothèses. La première étape consiste à rassembler et à vérifier les informations disponibles, en l'occurrence à géolocaliser les frappes, à identifier les étages touchés à l'intérieur du bâtiment et à tirer les premières conclusions.
Un premier outil qui s'avère toujours utile lorsqu'il s'agit de rechercher un lieu approximatif dont on dispose de séquences vidéo est l'outil dualmaps, qui permet de naviguer dans trois instances de produits Google à la fois : Google Maps, Google Street View et Google Earth/Satellite Images.
Grâce à cet outil, nous sommes en mesure de géolocaliser le bâtiment du quartier IQ à Presnenskaya Naberezhnaya, 10, bâtiment 2, Moscou, Russie, 125039, dont les flancs sud et ouest ont été visés par les frappes de drones, au dixième et environ au vingtième étage (il peut y avoir quelques variations en raison de l'anomalie aux étages 19/20). D'autres outils ont été utiles pour cette géolocalisation, notamment F4map pour une vue d'ensemble plus claire de la disposition des bâtiments dans la zone et InstantStreetView pour un contenu streetview très rapide.
La première conclusion que l'on peut tirer de cette vérification est que le bâtiment est assez exposé et permettrait une forme de cible relativement facile à atteindre de l'autre côté des rives de la Moskva. Une première analyse peut donc conduire à penser que ces frappes n'étaient rien d'autre qu'une opération d'intimidation de la part des auteurs. Les bâtiments sont exposés, et ils n'accueillent probablement pas de civils pendant la nuit (surtout le dimanche), donc les frapper dans ce laps de temps ne fera pas de victimes civiles, tout en contribuant à la terreur psychologique qu'ils génèrent.
Mais qu'en est-il des deux frappes consécutives dans un laps de temps aussi court ? N'est-ce pas étrange ? Cela a certainement éveillé mes sens OSINT, ce qui m'a amené à réfléchir à d'autres explications.
C'est Le Business
Sur les réseaux sociaux, les premiers instants qui ont suivi ces frappes ont été principalement marqués par des personnes soutenant et condamnant les frappes, s'engageant dans de nombreux débats sur les aspects stratégiques, politiques et éthiques de ces événements. Dans le même temps, un débat parallèle a commencé à se former au sein des communautés d'investigation, et plusieurs articles ont commencé à souligner le fait que ces frappes ont en effet eu lieu dans une séquence anormale et qu'il y avait peut-être plus à lire dans ces frappes qu'on ne le pensait initialement. Certains ont commencé à parler de frappes similaires sur des bâtiments proches du ministère russe de la défense au début de cette année (source), et de nombreuses rumeurs ont commencé à se répandre au sujet de ministères cachés à l'intérieur des bâtiments frappés. À partir de ces pistes, j'ai commencé à réfléchir aux différentes façons d'identifier les cibles potentielles à l'intérieur du bâtiment et d'établir des liens entre les actions et leurs intentions.
Curieusement, la Russie est très, voire trop transparente lorsqu'il s'agit de fournir des informations détaillées sur les entreprises. Une première piste a donc été établie en recherchant l'identification des entreprises enregistrées à l'adresse du bâtiment et en isolant les entreprises et organisations excentrées ou bizarres qui y sont enregistrées. Parmi les outils que je recommanderais pour obtenir des informations sur les entreprises en Russie figurent les différents outils du Service Fédéral des Impôts Russe ou le site web Rusprofile, bien qu'il existe un très large éventail d'alternatives tout aussi intéressantes (ce qui vous convient le mieux, ces outils m'ont toujours été utiles au cours de mes recherches). Une première recherche des entreprises enregistrées à cette adresse a rapidement montré que cette voie d'investigation allait être beaucoup trop fastidieuse compte tenu de la quantité gargantuesque de données à vérifier (et de l'absence d'options d'exportation ou de filtres en ligne qui auraient rendu le travail beaucoup plus facile) ; il était donc temps de changer d'angle d'approche.
Qui est-ce?
Isoler les recherches aux différents niveaux auxquels les drones se sont arrêtés tout en donnant la priorité à la recherche de toutes les instances gouvernementales à l'intérieur du bâtiment est apparu comme une étape logique. 2gis.ru est une excellente ressource pour trouver des détails sur les entreprises situées dans des lieux spécifiques en Russie (comparez toujours ses résultats avec ceux de Yandex Maps, cela a fait la différence pour certains résultats de cette enquête), qui répertorie tous les ministères et entreprises présents dans le bâtiment avec les niveaux auxquels ils se trouvent (pour la plupart). En recoupant cette liste avec les informations recueillies auprès des ministères russes, il apparaît que les organisations suivantes occupent des bureaux dans le bâtiment :
Agence Fédérale pour la Réglementation Technique et la Métrologie, alias Rosstandart (29e étage, information à recouper)
Agence Fédérale pour les Affaires Ethniques (7e étage).
Certaines sources contredisent ceci, en identifiant cette agence au 13ème étage
Service Fédéral d'Accréditation, a.k.a. Rossakreditatsiya (étages 8-9)
Centre de Service Client des Institutions Fédérales (étages 9-10)
Ministère du Développement Numérique, des Télécommunications et des Médias (étages 10-12 et 14-15)
Ministère du Développement Economique (étages 17-28)
Y compris le Département du Développement Stratégique et de l'Innovation, ainsi que le Département de la Politique d'Investissement des Petites et Moyennes Entreprises.
Ministère de l'Industrie et du Commerce (étages 30-36)
Bibliothèque Scientifique et Technique située au niveau 35 (images)
Agence Fédérale du Tourisme
L'un des premiers réflexes à avoir dans ce cas est de vérifier les critiques, les plaintes et les images de la zone obtenues par crourcing. Il s'en est fallu de peu, certaines photos prises à l'intérieur de la section "gouvernementale" du bâtiment ayant presque fuité le plan complet du bâtiment. Malheureusement, les images ont été compressées et la pancarte est illisible, mais la structure des étages semble correspondre au plan que nous avons réussi à établir ci-dessus. De plus, d'autres images obtenues par crowdsourcing ont confirmé l'emplacement du Ministère du Développement, des Télécommunications et des Médias au 12ème étage, qui, de manière intéressante, gère également le Rosskomnadzor (bien que les bureaux du RKN ne soient pas situés dans ce bâtiment).
En scrapant mes sources sur Telegram, je suis tombé sur des images plutôt intéressantes. Tout d'abord, un message est apparu sur la populaire chaîne 112, montrant des documents présumés du ministère du Développement Numérique qui se sont retrouvés dans la rue après l'explosion des frappes de drones plus tôt dans la journée. La première vidéo semble montrer des documents trouvés dans une flaque d'eau près d'un trottoir, et en analysant les environs, j'ai réussi à trouver l'emplacement exact juste derrière le bâtiment de l'IQ (assurez-vous toujours de vérifier les différentes années de streetview), ce qui nous permet d'augmenter notre confiance dans la fiabilité de cette information. Les deux photos comportent également des éléments trouvés à proximité du bâtiment (probablement là où ils sont allés inspecter de plus près après avoir trouvé les premiers documents dans la flaque d'eau à proximité). Pour ceux qui, comme moi, aiment les détails qui comptent, même la direction du vent de la région semble confirmer la direction qu'auraient prise ces documents après être tombés de l'espace de bureau (voir ci-dessous).
La seconde frappe a eu lieu une dizaine d'étages plus haut, au niveau des bureaux du Ministère du Développement Economique.
Et donc ?
Pourquoi frapper ces deux ministères en particulier ? S'agit-il d'attaques ciblées ou simplement d'attaques générales contre des immeubles de bureaux dans un quartier d'affaires animé du centre de Moscou ? Ces réponses ne seront probablement jamais rendues publiques, mais sur la base de nos découvertes, nous avons réussi à dresser une vue d'ensemble des liens de causalité potentiels et de leur probabilité, sur la base d'éléments liés à des degrés de certitude assez élevés. Comme le dit le vieux mantra, la vérité est souvent déguisée en couches, et plus on épluche, plus on s'enfonce dans un trou sans fin.
Une première couche, présentant une perspective plutôt naïve, considère le ciblage de ce bâtiment comme une concomitance plutôt fortuite de chance et d'opportunisme, principalement motivée par l'importance psychologique de pouvoir frapper dans l'arrière-cour de l'ennemi tout en transmettant un message politique ("Nous avons aussi frappé votre capitale !"), d'autant plus que certains des ministères et organisations présents dans le bâtiment sont également soumis à des sanctions, et contribuent actuellement à l'effort de guerre de la Russie en Ukraine. Cela peut se justifier dans une certaine mesure, car ce n'est pas la première fois que l'on assiste à ce genre d'opération au cours des derniers mois, mais compte tenu des éléments qui ressortent de cette brève enquête, il convient au moins d'éplucher quelques couches supplémentaires avant de tirer des conclusions.
Si l'on considère que la précision des drones utilisés lors de l'attaque est juste suffisante pour viser un bâtiment, on peut supposer que l'objectif principal était d'effrayer les fonctionnaires russes afin qu'ils reconsidèrent leur sécurité personnelle, dont ils tiendront probablement compte lors de la rédaction de leur prochain contrat ou texte législatif. Les témoignages présumés de l'agent de sécurité (qui est le seul blessé des deux attaques) confirment qu'un "bruit de mobylette" s'est approché du bâtiment juste avant l'explosion ou les explosions. De tels témoignages indiqueraient que les drones étaient des drones à voilure fixe moins précis que les drones quadricoptères qui sont plus fréquemment utilisés par les combattants Ukrainiens et les réseaux locaux de partisans.
Si l'on examine quelques couches supplémentaires et que l'on s'engage dans un processus de réflexion plus spéculatif, on peut évaluer la possibilité d'une attaque plus ciblée contre le Ministère du Développement Numérique, des Télécommunications et des Médias, avec ses liens avec la guerre de l'information russe, les opérations de piratage et les campagnes de désinformation (sans même mentionner le rôle du Rosskomnadzor dans cet effort). Un lien moins évident peut également être établi entre le ministère du développement économique et ses deux départements mentionnés ci-dessus. Ces derniers jours, l'IT Army of Ukraine, une organisation bénévole de cyberguerre qui mène des opérations offensives contre des cibles pro-russes, s'est concentrée sur la perturbation des activités des entreprises établies en Ukraine occupée (voir ci-dessous). Cibler le ministère qui, par l'intermédiaire des départements mentionnés ci-dessus, gère la majorité des processus permettant le déploiement de ces entreprises dans l'Ukraine occupée, peut donc être perçu comme un moyen de contribuer à la perturbation des efforts d'occupation russes.
Réflexions
L'objectif principal de cette courte enquête était de vous guider dans les processus OSINT de vérification et d'identification des différentes cibles et d'établir les intentions derrière les récentes frappes de drones sur un quartier d'affaires de Moscou. En recoupant et en vérifiant les informations provenant d'une pléthore de sources, il a été possible d'identifier avec un degré élevé de certitude l'identité des ministères touchés par les attaques et, dans une certaine mesure, d'analyser les intentions qui les sous-tendent. Plus intéressant encore, cet article a montré à la fois jusqu'où nous pouvons aller lorsqu'une piste semble prometteuse (par exemple, les images trouvées sur le canal 112), mais aussi comment de simples obstacles tels que la qualité comprimée d'un avis Yandex peuvent nous empêcher de fournir des preuves de recoupement cruciales pour une enquête.
Vous avez apprécié cet article ? N'hésitez pas à consulter le reste de notre site web, à partager notre contenu et à nous faire part de vos commentaires !
Outils mentionnés dans cet article
Vous avez besoin d'une formation OSINT? Vous souhaitez accéder à l'ensemble de nos outils? Cliquez sur le lien ci-dessous!
OSINT Inzetten Tijdens de Recente Droneaanvallen in Moskou
De afgelopen dagen zijn nogal uitdagend geweest voor de Russische luchtverdediging in en rond Moskou. Begin 30 juli drongen meerdere drones het luchtruim van de stad binnen. Sommige werden neergeschoten en andere troffen een gebouw in een van de belangrijkste zakenwijken van Moskou. In de dagen daarna werd precies hetzelfde gebouw, waarvan de gevel nog gerepareerd moest worden, getroffen door een tweede droneaanval (bron).
Dit riep meerdere vragen op over waarom de Oekraïense drone-aanvallen zo hardnekkig dit specifieke doel troffen, gezien het grote aantal andere mogelijke doelen in de stad. Is het puur geluk? Is dit gebouw gewoon een makkelijk doelwit vanwege het brede aanvalsoppervlak aan de oever van de Moskva? Richten ze zich op een algemeen gebied? Dit gebouw in het bijzonder? Waarom dit gebouw en niet het gebouw ernaast?
Dit artikel geeft inzicht in dergelijke vragen door gebruik te maken van OSINT tools en technieken. Vertrekkende van meerdere hypotheses zal het aantonen hoe OSINT kan bijdragen tot de creatie van tijdige en bruikbare inlichtingen.
The Lay of the Land
Een eerste stap in elk onderzoek is het analyseren van de voorhanden elementen en het vaststellen van enkele draaipunten van waaruit we een reeks hypotheses kunnen ontwikkelen. Een eerste stap van dergelijke stappen omvat het verzamelen en verifiëren van de beschikbare informatie, in dit geval het geolokaliseren van de inslagen, het identificeren van de getroffen verdiepingen in het gebouw en het trekken van onze eerste conclusies. Een eerste hulpmiddel dat altijd van pas komt als je een locatie moet zoeken waarvan je videobeelden hebt, is het hulpmiddel dualmaps, waarmee je door drie instanties van Google-producten tegelijk kunt navigeren: Google Maps, Google Street View en Google Earth/Satellite Images.
Met behulp van deze tool kunnen we het gebouw in het IQ Quarter op Presnenskaya Naberezhnaya, 10, gebouw 2, Moskou, Rusland, 125039 geolokaliseren, waarbij de zuidelijke en westelijke flank het doelwit waren van de drone-aanvallen, op het tiende en ongeveer 20e verdieping (er kan wat variatie zijn door de anomalie op verdieping 19/20). Andere tools die relevant waren voor deze geolocatie zijn F4map voor een duidelijker overzicht van de indeling van gebouwen in het gebied en InstantStreetView voor zeer snelle streetview-inhoud.
De eerste conclusie die we kunnen trekken uit deze verificatie is dat het gebouw nogal blootgesteld is en een relatief gemakkelijk doelwit zou vormen aan de overkant van de Moskva. Een eerste analyse kan er dus toe leiden dat deze aanvallen niets meer waren dan een intimidatieoperatie van de daders. De gebouwen staan redelijk blootgesteld, en herbergen waarschijnlijk geen burgers gedurende de nacht (vooral op zondag), dus als ze binnen dat tijdsbestek aangevallen worden zal dat niet tot burgerslachtoffers leiden, terwijl het toch bijdraagt aan de psychologische terreur dat het genereert.
Maar hoe zit het met de twee opeenvolgende aanvallen in zo'n kort tijdsbestek? Is dat niet vreemd? Het prikkelde zeker mijn OSINT-zintuigen, wat me aan het denken zette over alternatieve verklaringen.
Business is Business
Op sociale media werden de eerste momenten na deze aanvallen vooral gekenmerkt door mensen die ze steunden en veroordeelden, en die zich mengden in vele debatten over de strategische, politieke en ethische aspecten van de gebeurtenissen. Tegelijkertijd begon zich een parallel debat te vormen binnen onderzoeksgemeenschappen en verschillende nieuwsberichten begonnen op te pikken dat deze aanvallen inderdaad vreemd getimed waren en dat er misschien meer achter zat dan aanvankelijk werd gedacht. Sommigen begonnen soortgelijke aanvallen op gebouwen in de buurt van het Russische Ministerie van Defensie eerder dit jaar op te pikken (bron), en meerdere geruchten begonnen zich te verspreiden over verborgen ministeries in het getroffen gebouw. Op basis van dergelijke aanwijzingen begon ik na te denken over de verschillende manieren om potentiële doelwitten in het gebouw te identificeren en verbanden te leggen tussen de acties en hun intenties.
Rusland is vreemd genoeg erg transparant, soms zelfs té transparant als het gaat om het beschikbaar stellen van gedetailleerde bedrijfsinformatie, dus een eerste aanknopingspunt werd gevonden door te zoeken naar de identificatie van bedrijven die geregistreerd staan op het adres van het gebouw, en daarbuiten gelegen of vreemde bedrijven en organisaties uit te lichten. Enkele van de tools die ik zou aanraden voor bedrijfsinformatie in Rusland zijn de verschillende tools van de Russische Federale Belastingdienst, of de Rusprofile website, hoewel er een zeer breed scala aan even interessante alternatieven bestaat (wat voor jou het beste werkt, deze zijn gewoon altijd nuttig geweest voor mij tijdens mijn onderzoeken). Een eerste zoektocht naar bedrijven die op dit adres geregistreerd staan, toonde al snel aan dat deze onderzoeksroute veel te omslachtig zou worden gezien de gigantische hoeveelheid gegevens die gecontroleerd moest worden (en geen exportopties of online filters die het werk veel gemakkelijker zouden hebben gemaakt); vandaar dat het tijd was om de invalshoek te veranderen.
Wie is Het?
Het isoleren van de zoekopdrachten op de verschillende niveaus waarop de drones vastzaten en tegelijkertijd prioriteit geven aan het zoeken naar alle overheidsinstanties in het gebouw leek een logische volgende stap. Een geweldige bron voor het vinden van details over bedrijven in specifieke locaties in Rusland is 2gis.ru (vergelijk de resultaten altijd met Yandex Maps, dit maakte het verschil voor sommige resultaten van dit onderzoek), die een lijst geeft van alle verschillende ministeries en bedrijven in het gebouw met de verdiepingen waarop ze zich bevinden (voor het grootste deel). Als we dit vergelijken met de informatie van de Russische ministeries, blijkt dat de volgende organisaties kantoorruimtes in het gebouw hebben:
Federaal Agentschap voor Technische Regelgeving en Metrologie, ook bekend als Rosstandart (29e verdieping, moet nog bevestigd worden)
Federaal Agentschap voor Etnische Zaken (7e verdieping)
Sommige bronnen spreken dit tegen, en beweren dat dit zich op de 13e verdieping bevindt.
Federale Dienst Accreditatie, a.k.a. Rosakkreditatsiya (verdiepingen 8-9)
Hulpdienst van de Federale Instituties (verdiepingen 9-10)
Ministerie van digitale ontwikkeling, telecommunicatie en massamedia (verdiepingen 10-12 en 14-15)
Ministerie van Economische Ontwikkeling (verdiepingen 17-28)
Met inbegrip van het Departement van Strategische Ontwikkeling en Innovatie, evenals het Departement van Investeringsbeleid van Kleine en Middelgrote Ondernemingen.
Ministerie van Industrie en Handel (verdiepingen 30-36)
Wetenschappelijke en Technische Bibliotheek op verdieping 35 (beelden)
Federaal Agentschap voor Toerisme
Een van de eerste reflexen die je in dit geval hebt, is om te zoeken naar recensies, klachten en crowd-sourced beelden van het gebied. Het scheelde niet veel of sommige foto's in het 'gouvernementele' gedeelte van het gebouw lieten bijna het hele bouwplan zien. Helaas zijn de beelden gecomprimeerd en is het plakkaat onleesbaar, maar de vloerstructuur lijkt overeen te komen met de plattegrond die we hierboven hebben kunnen schetsen. Meer nog, andere crowdsourced beelden bevestigden de locatie van het Ministerie van Ontwikkeling, Telecommunicatie en Massamedia op de 12e verdieping, dat interessant genoeg ook het Rosskomnadzor beheert (hoewel de kantoren van de RKN niet in dit gebouw zijn gevestigd).
Bij het scrapen van mijn favoriete bronnen op Telegram stuitte ik verder op interessant beeldmateriaal. Ten eerste verscheen er een bericht op het populaire 112 Kanaal met vermeende documenten van het Ministerie van Digitale Ontwikkeling die op straat lagen na de ontploffing van de drone-aanvallen eerder die dag. De eerste video lijkt een aantal documenten te tonen die gevonden zijn in een plas in de buurt van een stoep, en bij het analyseren van de omgeving, slaagde ik erin om de exacte locatie te vinden direct achter het IQ gebouw (zorg er altijd voor om de verschillende jaren van streetview te controleren), waardoor we ons vertrouwen in de betrouwbaarheid van deze informatie kunnen vergroten. Beide foto's hebben ook elementen die in de buurt van het gebouw te vinden zijn (waarschijnlijk waar ze heen gingen om nader te inspecteren nadat ze de eerste documenten in de plas vlakbij hadden gevonden). Voor de liefhebbers van details, lijkt zelfs de meest prominente windrichting van het gebied de richting te bevestigen die deze papieren zouden hebben genomen nadat ze uit de kantoorruimte waren gevallen (zie hieronder).
De tweede inslag vond ongeveer tien verdiepingen hoger plaats, op het niveau waar het Ministerie van Economische Ontwikkeling zijn kantoren heeft.
So what?
Waarom zou men juist deze twee ministeries aanvallen? Zijn dit gerichte aanvallen, of gewoon algemene aanvallen op kantoorgebouwen in een bruisend zakendistrict in het centrum van Moskou? Dergelijke antwoorden zullen waarschijnlijk nooit openbaar worden gemaakt, maar op basis van onze bevindingen zijn we erin geslaagd om de mogelijke oorzakelijke verbanden en hun waarschijnlijkheid in kaart te brengen, gebaseerd op elementen die met een vrij hoge mate van zekerheid met elkaar in verband worden gebracht. Zoals de oude mantra zegt: de waarheid zit vaak verborgen in lagen en hoe meer je afpelt, hoe meer je in een eindeloos konijnenhol terechtkomt.
Een eerste laag, met een nogal naïef perspectief, ziet het doelwit van dit gebouw als een toevallige samenloop van geluk en opportunisme, vooral ingegeven door het psychologische belang om in de achtertuin van de vijand te kunnen toeslaan en tegelijkertijd een politieke boodschap over te brengen ("We hebben ook jullie hoofdstad geraakt!"), vooral omdat sommige van de ministeries en organisaties in dit gebouw ook onder sancties vallen en momenteel bijdragen aan de Russische oorlogsinspanningen in Oekraïne. Dit kan tot op zekere hoogte kloppen, want dit is niet de eerste dergelaanval van de afgelopen maanden, maar gezien de elementen die uit dit korte onderzoek naar voren zijn gekomen, moet je op zijn minst nog een paar lagen afpellen voordat je conclusies trekt.
Als je bedenkt dat de nauwkeurigheid van de drones die tijdens de aanval werden gebruikt net voldoende was om op een gebouw te mikken, dan kun je ervan uitgaan dat het hoofddoel was om Russische overheidsmedewerkers bang te maken zodat ze hun persoonlijke veiligheid zouden heroverwegen, iets waar ze waarschijnlijk rekening mee zullen houden bij het opstellen van hun volgende contract of wettekst. Beweerde verslagen van de bewaker (die de enige gewonde van beide aanvallen was) bevestigen dat een 'brommergeluid' het gebouw naderde vlak voordat de explosie(s) plaatsvond(en). Dergelijke verslagen zouden erop wijzen dat de drones minder precieze drones met vaste vleugels waren in plaats van de nauwkeurigere quad-copter drones, die vaker worden gebruikt door Oekraïense strijders en lokale partizanennetwerken.
Als we nog een paar lagen afpellen en ons in een meer speculatief denkproces verdiepen, kunnen we de mogelijkheid inschatten van een meer gerichte aanval op zowel het Ministerie van Digitale Ontwikkeling, Telecommunicatie en Massamedia, met zijn banden met de Russische informatieoorlog, hackingoperaties en desinformatiecampagnes (om nog maar te zwijgen van de rol van het Rosskomnadzor in deze inspanning). Een minder voor de hand liggend verband kan ook worden gelegd tussen het Ministerie van Economische Ontwikkeling, inclusief de twee bovengenoemde afdelingen. De afgelopen dagen heeft het IT-Army of Ukraine, een vrijwillige cyberoorlogsorganisatie die zich bezighoudt met offensieve operaties tegen pro-Russische doelen, zich gericht op het verstoren van activiteiten van bedrijven die gevestigd zijn in bezet Oekraïne (zie hieronder). Het ministerie aanvallen, dat via de bovengenoemde afdelingen het merendeel van de processen beheert die de vestiging van dergelijke bedrijven in bezet Oekraïne mogelijk maken, kan dus worden gezien als een manier om bij te dragen aan de verstoring van de Russische bezettingsinspanningen.
Gedachten?
Het belangrijkste doel van dit korte onderzoek was om je door de OSINT-processen van het verifiëren en identificeren van de verschillende doelwitten te leiden en de bedoelingen achter de recente drone-aanvallen op een zakenwijk in Moskou vast te stellen. Door kruisverwijzingen en het verifiëren van informatie afkomstig van een breed scala aan bronnen, was het mogelijk om met een hoge mate van zekerheid de identiteit van de getroffen ministeries vast te stellen en, tot op zekere hoogte, de intentie achter de aanvallen te analyseren. Het meest interessante aan dit artikel is dat het laat zien hoe ver we kunnen gaan als een aanknopingspunt veelbelovend lijkt (bijvoorbeeld de beelden op het 112-kanaal), maar ook hoe eenvoudige obstakels zoals de gecomprimeerde kwaliteit van een Yandex-review ons kunnen tegenhouden bij het leveren van cruciaal kruisverwijzingen voor een onderzoek.
Heb je genoten van dit artikel? Neem dan zeker een kijkje op de rest van onze website, deel onze inhoud en geef ons je feedback!
Tools genoemd in dit Artikel
Toolset of the Russian Federal Tax Service
コメント