Ταλ Ντίλιαν: Πώς ο άνδρας του Predator επιχείρησε να σώσει την εικόνα του
Με το όνομά του να συνδέεται με σκάνδαλα υποκλοπών σε Κύπρο και Ελλάδα, ο πρώην «κατάσκοπος» του Ισραήλ αποτελεί έναν από τους πιο αμφιλεγόμενους ανθρώπους στην Ευρώπη σήμερα. Μια OSINT έρευνα του Solomon αποκαλύπτει πώς μια πολύμηνη καμπάνια επιχείρησε να μεθοδεύσει το θετικό αφήγημα γύρω από το πρόσωπο και την επιχειρηματική δραστηριότητα του Ταλ Ντίλιαν.
«Από τη δημιουργία ίσων ευκαιριών για τους μειονεκτούντες νέους μέχρι την παροχή καινοτόμων λύσεων στον τομέα των πληροφοριών, η αναζήτηση του Ταλ Ντίλιαν για μια νέα πρόκληση δεν σταματά ποτέ».
Με αυτό τον τρόπο συστήνεται, μέσα από την επίσημη ιστοσελίδα του, ο πρώην διοικητής του επίλεκτου τμήματος κυβερνοασφάλειας των στρατιωτικών μυστικών υπηρεσιών Unit 81 του Ισραήλ και νυν επιχειρηματίας Ταλ Ντίλιαν. Με μια πρόχειρη αναζήτηση του ονόματός του στο διαδίκτυο, η ιστοσελίδα taldilian.com βρίσκεται στην κορυφή των αποτελεσμάτων που επιστρέφει η μηχανή αναζήτησης.
Ωστόσο, τα τελευταία χρόνια το όνομα του Ισραηλινού επιχειρηματία βρέθηκε να απασχολεί τη δημοσιότητα με τρόπους λιγότερο κολακευτικούς.
Συνδεδεμένος με σκάνδαλα παρακολούθησης σε Κύπρο και Ελλάδα, ο Ταλ Ντίλιαν είναι ένας από τους πιο αμφιλεγόμενους ανθρώπους στην Ευρώπη σήμερα: το όνομά του αναφέρεται δεκάδες φορές σε πόρισμα της Επιτροπής PEGA του Ευρωκοινοβουλίου για τη χρήση λογισμικών κατασκοπείας (spyware) στην Ευρώπη.
Αξιοποιώντας εργαλεία OSINT (Open-Source Intelligence), το Solomon αποκαλύπτει πώς ο ιθύνων νους πίσω από το κακόβουλο λογισμικό Predator, και νόμιμος εκπρόσωπος τoυ ομίλου εταιρειών Intellexa που το εμπορεύεται, επιχείρησε να ανασυστήσει την εικόνα του στο διαδίκτυο, χειραγωγώντας με μηχανικό τρόπο τα αποτελέσματα των μηχανών αναζήτησης (όπως η Google), προκειμένου να θάψει αρνητικές αναφορές και να ενδυναμώσει το θετικό αφήγημα γύρω από το όνομα και τη δραστηριότητά του.
Στα πλαίσια μιας πολύμηνης ηλεκτρονικής καμπάνιας, φαίνεται να έχουν αξιοποιηθεί εκατοντάδες αυτοματοποιημένοι σύνδεσμοι, οι οποίοι δημοσιεύθηκαν σε διαφορετικές διευθύνσεις, που φιλοξενούνται σε τουλάχιστον 18 πλατφόρμες.
Η έρευνα και ανάλυση από το Solomon των δεδομένων γύρω από την εν λόγω καμπάνια, και τις προσπάθειες του «Ισραηλινού τσάρου του κυβερνοχώρου», όπως πρόσφατα χαρακτηρίστηκε από την Intelligence online, να μεθοδεύσει περιεχόμενο που τον αφορά, έδειξαν τα εξής:
Εκατοντάδες άρθρα που παράχθηκαν με αυτοματοποιημένο τρόπο παραπέμπουν σε συγκεκριμένες ιστοσελίδες, οι οποίες παρουσιάζουν τον Ταλ Ντίλιαν ως μια επιχειρηματική διάνοια και σκιαγραφούν ένα θετικό προφίλ της Intellexa.
Οι μηχανές αναζήτησης, διαπιστώνοντας πως πολλά άρθρα παραπέμπουν στις εν λόγω ιστοσελίδες (και θεωρώντας τες γι’ αυτό το λόγο «αξιόπιστες»), τις «ανεβάζουν» ψηλότερα στις προτιμήσεις.
Αυτό έχει ως αποτέλεσμα, όταν κάποιος χρήστης στο διαδίκτυο κάνει αναζητήσεις για λέξεις-κλειδιά, όπως “Tal Dilian” και “Intellexa”, τα πρώτα αποτελέσματα που εμφανίζονται να είναι εκείνα που προωθεί η καμπάνια.
Παράλληλα, όμως, η καμπάνια επιτελεί και έναν πιθανώς πιο κρίσιμο σκοπό: «σπρώχνει» χαμηλά στη λίστα των αποτελεσμάτων τα άρθρα που αφορούν τις ίδιες λέξεις-κλειδιά, αλλά παρουσιάζουν επιβαρυντικά στοιχεία ή δημιουργούν αρνητική δημοσιότητα.
Μια ιστοσελίδα που γεννά ερωτηματικά
Ας πάρουμε όμως τα πράγματα από την αρχή.
Κατά την περιήγησή μας στο διαδίκτυο, συναντήσαμε μια ιστοσελίδα που μας κίνησε αρχικώς το ενδιαφέρον.
Η διεύθυνσή της: taldilianintellexajbkx529.weebly.com. Ο τίτλος της ιστοσελίδας: Tal Dilian Intellexa best blog 1073.
Αυθόρμητα προκύπτει το ερώτημα: Ποιος χρησιμοποιεί τον όρο best blog ή έναν αριθμό σαν το 1073 στον τίτλο ενός ιστολογίου;
Το εν λόγω ιστολόγιο έχει δημιουργηθεί στην weebly.com, μια πλατφόρμα που συστήνεται ως «ο ευκολότερος τρόπος» για τη – δωρεάν – «δημιουργία μιας ιστοσελίδας, ενός μπλογκ, ή ενός διαδικτυακού καταστήματος».
Περιηγούμενοι στην ιστοσελίδα, σύντομα διαπιστώσαμε πως το περιεχόμενο των κειμένων που έχουν αναρτηθεί σε αυτή, όπως και ο τίτλος, δείχνουν να μην έχουν γραφτεί από ανθρώπινο χέρι. Αλλά αυτοματοποιημένα.
Μια απλή αναζήτηση για παρεμφερείς ιστοσελίδες, που φέρουν το όνομα του Ταλ Ντίλιαν και φιλοξενούνται επίσης στην weebly.com, εμφανίζει δεκάδες αντίστοιχα αποτελέσματα.
Παρατηρώντας τα αποτελέσματα, βλέπουμε ότι όλες οι ιστοσελίδες φέρουν τα ίδια χαρακτηριστικά: παρεμφερείς τίτλους και διευθύνσεις, και κοινά λέξη προς λέξη κείμενα που εμφανίζονται να έχουν παραχθεί μηχανικά.
Αυτό αποτελεί ένδειξη πως πιθανώς δεν πρόκειται για πολλές συμπτώσεις, αλλά για μια καμπάνια. Ποιος ο λόγος, όμως, μια καμπάνια τέτοιου είδους να περιοριστεί σε μια πλατφόρμα;
Οπότε, αρχίσαμε να αναζητούμε διευθύνσεις με συναφείς τίτλους ή περιεχόμενο και σε άλλες πλατφόρμες.
Τουλάχιστον 463 σύνδεσμοι σε 18 πλατφόρμες
Εντοπίσαμε τουλάχιστον 463 συνδέσμους. Εκτός από την weebly.com, οι σύνδεσμοι αυτοί φιλοξενούνται σε τουλάχιστον 17 παρεμφερείς πλατφόρμες, στις οποίες μπορεί επίσης να δημοσιεύσει κανείς εύκολα δωρεάν περιεχόμενο.
Οι τίτλοι των ιστοσελίδων που εντοπίσαμε στις υπόλοιπες πλατφόρμες ακολουθούν επίσης το ίδιο μοτίβο: στην αρχή αναφέρονται οι λέξεις “Tal Dilian” και “Intellexa”, στη συνέχεια μια φράση όπως “nice” ή “excellent blog”, κι έπειτα ακολουθεί ένας αριθμός.
Ορισμένα ενδεικτικά παραδείγματα παρουσιάζονται στον πίνακα που ακολουθεί.
Οι τυχαίες σειρές από γράμματα και αριθμούς στον τίτλο των ιστολογίων και στην αρχή κάθε διεύθυνσης (subdomain), καθώς και το περιεχόμενο των κειμένων που επαναλαμβάνεται αυτολεξεί, υποδηλώνουν πως οι ιστοσελίδες έχουν δημιουργηθεί αυτοματοποιημένα, και άρα αποτελούν κομμάτι μιας καμπάνιας.
Στον χώρο της τεχνολογίας και του SEO (Search Engine Optimization), δηλαδή των τεχνικών με τις οποίες μια διεύθυνση μπορεί να βρεθεί ψηλότερα στις μηχανές αναζήτησης, τέτοιου είδους καμπάνιες είναι γνωστές ως “Black Hat SEO campaigns” (αντίστοιχα με το Black Hat Hacking).
Αφορούν σε μεθοδεύσεις για τη δημιουργία «μη-οργανικού» περιεχομένου (που δεν παράγεται από ανθρώπους), μέσα από αυτοματοποιημένες δημοσιεύσεις, με τις οποίες επιχειρείται η προτεραιοποίηση συγκεκριμένων αποτελεσμάτων στις μηχανές αναζήτησης που χρησιμοποιούμε.
Τουλάχιστον 7 μήνες η διάρκεια της καμπάνιας
Προκειμένου να βρούμε την περίοδο κατά την οποία έτρεξε η καμπάνια, επιλέξαμε μία λίστα από ιστολόγια. Με ένα μικρό πρόγραμμα κώδικα (script), συγκεντρώσαμε σε μια λίστα τις ημερομηνίες των άρθρων (posts) που αναρτήθηκαν σε αυτά στα πλαίσια της καμπάνιας.
Από τη λίστα αυτή, το πρώτο άρθρο εμφανίζεται να έχει δημοσιευθεί στις 16 Νοεμβρίου 2021. Το τελευταίο στις 12 Ιουνίου 2022.
Αυτό σημαίνει πως, παρότι πιθανότατα υπάρχουν και άλλες ιστοσελίδες που φιλοξενούνται σε περισσότερες πλατφόρμες, με ασφάλεια μπορούμε να συμπεράνουμε ότι η καμπάνια διήρκεσε για τουλάχιστον επτά μήνες.
Το διάστημα εκείνο, είχε ήδη αποκαλυφθεί το σκάνδαλο παρακολουθήσεων στην Κύπρο, την οποία ο Ταλ Ντίλιαν είχε κάνει βάση της επιχειρηματικής του δραστηριότητας από το 2013.
Όπως γράφει το inside story, υπερεκτιμώντας «τη δυνατότητα του κυπριακού προσωπικού να αντέξει στην πίεση μιας μεγάλης δημοσιότητας είδησης», το 2019 ο Ντίλιαν έκανε σε βίντεο του Forbes επίδειξη των δυνατοτήτων του περίφημου μαύρου βαν, που – όπως υποστήριζε – μπορούσε να «χακάρει» κάθε κινητό που βρισκόταν στην εμβέλειά του.
Μετά τον σάλο που ξέσπασε, η εταιρεία του Ντίλιαν στην Κύπρο κρίθηκε ένοχη για 42 κατηγορίες και πλήρωσε πρόστιμο. Ο Ντίλιαν μετέφερε τις δραστηριότητές του στην Ελλάδα, από την οποία πλέον εξάγεται το spyware Predator, μεταξύ άλλων σε χώρες με αυταρχικά καθεστώτα.
Έως την ολοκλήρωση της καμπάνιας, είχαν αναδειχθεί τα πρώτα στάδια του σκανδάλου των υποκλοπών και στην Ελλάδα, ενώ είχε αποκαλυφθεί και η μόλυνση με Predator του κινητού του δημοσιογράφου Θανάση Κουκάκη — του πρώτου θύματος, από τα πολλά που θα ακολουθούσαν στη συνέχεια.
Πού στόχευε η καμπάνια
Μια καμπάνια τέτοιου είδους έχει σκοπό να χειραγωγήσει τα αποτελέσματα που επιστρέφουν οι μηχανές αναζήτησης, φέρνοντας ψηλά στα αποτελέσματα θετικές αναφορές και «θάβοντας», κατ’ επέκταση, χαμηλά το ανεπιθύμητο περιεχόμενο.
Συγκεκριμένα, οι Black Hat SEO καμπάνιες έχουν κοινό χαρακτηριστικό την επανάληψη λέξεων-κλειδιά (keywords) και συνδέσμων (backlinks), που οδηγούν στις ιστοσελίδες που θέλουν να προωθήσουν.
Οπότε, εφόσον γνωρίζαμε – όπως είδαμε παραπάνω – τις λέξεις-κλειδιά (Tal Dilian, Intellexa) που περιέχονται στους τίτλους και τις διευθύνσεις, έμενε να βρούμε ποιους συνδέσμους προμοτάρει η καμπάνια.
Με τη βοήθεια ενός script, επισκεφθήκαμε κάθε ιστοσελίδα που είχαμε στη διάθεσή μας, εξάγοντας τους συνδέσμους που περιείχε. Όπως περιμέναμε, οι σύνδεσμοι επαναλαμβάνονται — έτσι, καταγράψαμε πόσες φορές ακριβώς εμφανίζεται κάθε σύνδεσμος.
Διαπιστώσαμε πως οι δύο κύριοι σύνδεσμοι που εμφανίζονται συχνότερα αφορούν την ιστοσελίδα του Ταλ Ντίλιαν (τουλάχιστον 172 φορές) και της Intellexa (τουλάχιστον 149 φορές).
Ακολουθούν κατά βάση άρθρα που εκθειάζουν το έργο του Ντίλιαν και της Intellexa. Ένα τέτοιο άρθρο είναι της κυπριακής εφημερίδας του Φιλελευθέρου, που ενημερώνει πως «Έλυσε τη σιωπή του ο Tal Dilian για το κατασκοπευτικό βαν», παρουσιάζοντας αυτούσια σχετική ανακοίνωσή του.
Από τους παραπάνω συνδέσμους, ιδιαίτερο ενδιαφέρον παρουσιάζει ότι, εκτός από τον Ταλ Ντίλιαν, ορισμένοι σύνδεσμοι παραπέμπουν στον Νιγηριανό πάστορα Chris Oyakhilome — πρόκειται για αμφιλεγόμενη φιγούρα, καθώς το 2019 κατηγορήθηκε για οικονομική απάτη. Άλλοι σύνδεσμοι παραπέμπουν στην Bimbo Success, μια δημοφιλή στα social media Νιγηριανή ηθοποιό.
Σε αυτό το σημείο, μπορεί να μην είμαστε σε θέση να γνωρίζουμε ποιος ακριβώς έτρεξε την καμπάνια. Καταλαβαίνουμε, όμως, ότι όποιος την έτρεξε έχει τρέξει και άλλες καμπάνιες, εκτός από του Ταλ Ντίλιαν, για πελάτες που επίσης επιθυμούν να χειραγωγήσουν την εικόνα τους στο διαδίκτυο.
Η ιστοσελίδα του Ντίλιαν
Για να κατανοήσουμε τον τρόπο με τον οποίο λειτούργησε η καμπάνια, θα πρέπει να ακολουθήσουμε τη χρονική σειρά των διαφόρων σταδίων που έπονται της δημιουργίας της προσωπικής ιστοσελίδας του Ταλ Ντίλιαν.
Η διεύθυνση taldillian.com αγοράστηκε στις 25 Αυγούστου 2021, δηλαδή δυόμιση μήνες πριν την έναρξη της καμπάνιας.
Το διάστημα αμέσως μετά, θετική αρθρογραφία γύρω από το όνομα και την επιχειρηματική δραστηριότητά του εμφανίζεται σε εφημερίδες και περιοδικά στο διαδίκτυο.
Λαμβάνοντας υπόψη τις ημερομηνίες της αρχικής δημοσίευσης των άρθρων και της ανάρτησής τους στην ιστοσελίδα του Ταλ Ντίλιαν, παρατηρούμε ότι αναδημοσιεύονται από την ίδια ημέρα έως και το πολύ έξι ημέρες μετά. Τα άρθρα που αναδημοσιεύονται στην ιστοσελίδα είναι τα ίδια άρθρα που προσπαθεί να προωθήσει η καμπάνια.
Επίσης, στο σύνολό τους, και με μια μόνο εξαίρεση, τα άρθρα εμφανίζονται να έχουν δημοσιευθεί 1-2 μήνες πριν την έναρξη της καμπάνιας. Με την έναρξη της οποίας, τόσο αυτά όσο και η ιστοσελίδα του Ταλ Ντίλιαν διαδίδονται ευρέως και προτεραιοποιούνται για τις μηχανές αναζήτησης, μέσα από τις πολλαπλές παραπομπές σε αυτά.
Πριν τη δημοσίευση, το Solomon απηύθυνε στον Ταλ Ντίλιαν ερωτήματα σχετικά με την καμπάνια. Ζητήσαμε επίσης ένα σχόλιο για την κριτική που έχει δεχθεί ο ίδιος και η Intellexa για την εμπλοκή που τους αποδίδεται στο σκάνδαλο των υποκλοπών, που ο διεθνής Τύπος ονομάζει «ελληνικό Watergate».
Μέχρι και τη στιγμή που δημοσιεύεται αυτή η έρευνα, δεν λάβαμε απάντηση.