Дезінформація, фейки, скоординовані кампанії у Telegram — все це давно стало частиною нашої реальності. Але як довести, що за черговим «вірусним» скандалом стоїть саме держава-агресор, а не просто анонімний блогер? Саме цьому присвячена спільна доповідь НАТО StratCom COE та українського Центру стратегічних комунікацій, опублікована у січні 2026 року.
Що таке «атрибуція» і чому вона важлива
Атрибуція — це встановлення того, хто саме стоїть за певним контентом або кампанією. У мистецтві так визначають автора картини. У кібербезпеці — автора атаки. В інформаційних операціях — організатора дезінформаційної кампанії.
Чому це важливо? Тому що без доведеної причетності неможливо:
вводити санкції проти конкретних медіа чи структур;
захищати рішення про блокування у судах (а росіяни дедалі частіше оскаржують такі рішення юридичним шляхом);
формувати скоординовану відповідь держав, платформ та громадянського суспільства.
Із запровадженням в ЄС Закону про цифрові послуги (DSA) та рамки FIMI стандарти доказової бази значно зросли. Тепер атрибуція має витримувати не лише медійну, а й правову перевірку.
Три кити атрибуції: технічні, поведінкові та контекстуальні докази
Автори доповіді пропонують Рамкову модель атрибуції інформаційних операцій (IIAF), яка спирається на три категорії доказів.
Технічні докази: «цифровий слід»
Це найбільш об’єктивна категорія. Технічний аналіз вивчає:
Доменну інфраструктуру. Через сервіс WHOIS можна дізнатися, хто і коли реєстрував домен, який хостинг-провайдер використовується, які IP-адреси. Наприклад, домен fondfbr.ru (пов’язаний з «Фондом боротьби з репресіями» Пригожина) зареєстрований через REG.RU — реєстратор, який популярний серед проросійських акторів саме тому, що уникає західних механізмів блокування. Важлива деталь: власник домену позначений як «приватна особа», що нетипово для нібито некомерційної організації.
Платформену активність. Інструмент TGStat дозволяє аналізувати Telegram-канали: кількість підписників, частоту публікацій, показник залученості (ERR). Канал @yurasumy («Світ сьогодні з Юрієм Подолякою») має понад 3 мільйони підписників і ERR 55% — це аномально високий показник. Для каналів такого розміру подібна залученість майже неможлива органічно: вона вказує або на штучне накручування переглядів, або на скоординовану мережу підсилення.
Мережеве картографування. Аналіз графів пересилань і згадок показує, які канали регулярно поширюють контент одне одного. @yurasumy має тісні зв’язки з Резидент, Олег Царьов, Осташко! Важливе — всі проросійські. Якщо кілька каналів публікують однаковий пост із різницею в 1–3 хвилини, це майже напевно свідчить про автоматизоване або заздалегідь скоординоване розповсюдження.
Фінансові сигнали. Найпереконливіші докази — але і найважчодоступніші. Аналіз блокчейн-транзакцій, рекламних ідентифікаторів Google та Meta, записів платіжних систем може виявити спільних операторів за різними ресурсами. Але така інформація здебільшого недоступна у відкритих джерелах.
Поведінкові докази: як вони діють
Поведінковий аналіз — це вивчення тактик, технік і процедур (ТТП): не що публікується, а як організована кампанія.
Крос-постинг і «відмивання джерел». Класичний приклад: 25 квітня 2023 року Telegram-канали, пов’язані з Кремлем, почали поширювати фейк про бійку між грузинськими та українськими солдатами. Матеріал з’явився щонайменше на 17 ресурсах, включно з ТАСС, РІА Новости, Lenta.ru. Але ключова деталь: ТАСС опублікував новину раніше, ніж її поставив у своєму Telegram первинний «першоджерело» — пропагандист Андрій Марочко. Це пряме свідчення центрального управління: «першоджерело» було штучним. Коли кілька каналів публікують матеріал з різницею в хвилини — це ознака Скоординованої неавтентичної поведінки (Coordinated Inauthentic Behaviour, CIB), тобто організованих дій із прихованим координаційним центром.
Клонування брендів. Окрема поширена тактика — створення сайтів і каналів, що імітують відомі медіа: українські регіональні видання, BBC, Укрінформ. Мета — підвищити довіру до фейку за рахунок чужої репутації. У розглянутих кейсах кілька каналів навмисно копіювали стилістику та назви реальних українських медіаресурсів.
Фреймворк DISARM. Це систематизований інструмент з близько 391 конкретним поведінковим показником для класифікації ТТП. У доповіді він застосовується до кампанії з «анексією Польщею Західної України». Використані методи:
Підроблені зображення (фейкові рекламні борди у Варшавському метро з польським генералом і закликом «захистити споконвічні польські землі»)
Маніпулятивне монтування відео (заява президента Дуди про «відкриті кордони» вирвана з контексту і подана як претензії на українські землі)
Імітація авторитетних джерел (відео з логотипом BBC, яке насправді поширювало фейк)
Локалізований контент на кількох мовах: російська, французька, італійська, турецька, чеська
Контекстуальні докази: «навіщо» і «коли»
Контекстуальний аналіз вивчає наративи, їх зміст, аудиторію та час появи.
Відмивання наративів. Радянська техніка, модернізована цифровими технологіями. Три стадії:
Розміщення — фейк сіється у нібито приватному акаунті (наприклад, у Instagram колишнього стажера Cartier, яка «бачила», як Олена Зеленська витратила $1,1 млн на прикраси).
Нашарування — публікацію підхоплюють «схожі на реальні» українські та російські канали.
Інтеграція — матеріал потрапляє в проросійські ЗМІ як «доказ корупції».
Журналісти видання Open згодом встановили, що «стажерка Cartier» — студентка з Санкт-Петербурга без жодного стосунку до компанії.
Часовий аналіз. Не менш важливо коли з’являється контент. Аналіз понад 130 тисяч повідомлень про корупцію в Україні (липень–грудень 2023 року) показав: сплески активності чітко збіглися з візитом Зеленського до США у грудні 2023-го. Антимобілізаційні хештеги #ТЦК, #stopTRC активізувалися саме під час закінчення конституційного терміну повноважень президента.
«Пожежний шланг» пропаганди. росія не намагається бути послідовною — вона перевантажує інформаційний простір суперечливими версіями. Sputnik англійською представляє Україну як корумповану державу, а іспанською — просуває антиамериканський контент і теорії змови щодо вакцин. Мета не переконати, а дезорієнтувати.
Як оцінити рівень відповідальності держави
Автори адаптують модель «спектру державної відповідальності» для інформаційних операцій. Вона включає 8 рівнів:
Рівень | Характеристика |
|---|---|
Держава ігнорує | Знає, але не реагує — бо операція не суперечить її інтересам |
Держава заохочує | Офіційні особи повторюють або схвалюють наративи |
Держава формує | Неформальна координація між чиновниками і акторами операції |
Держава координує | Надає технічну або тактичну підтримку, часто таємно |
Держава наказує | Використовує проксі-структури за прямим дорученням |
Держава виконує | Операція ведеться безпосередньо державними ресурсами |
Кожен рівень вимагає різного обсягу доказів — і тягне різні відповіді: від дипломатичного протесту до санкцій та правових заходів.
Рівні впевненості: чесність в оцінках
Будь-яка атрибуція — це ймовірність, а не абсолютна істина. Доповідь рекомендує використовувати стандартизовані шкали:
Низька впевненість (20–39%): є окремі сигнали, але їх недостатньо
Помірна впевненість (40–59%): кілька незалежних індикаторів збігаються
Висока впевненість (60–79%): сильна конвергенція доказів із різних категорій
Дуже висока впевненість (80–100%): множинні незалежні докази, без альтернативних пояснень
У кейсі з корупційними наративами автори дійшли висновку з високою впевненістю (>80%): кампанія є сформованою та скоординованою з боку російської федерації. При цьому відкрито зазначено, що бракує прямих доказів фінансування чи офіційних наказів — і це підвищує довіру до висновку, а не знижує її.
Практичний кейс: як розкрили обхід санкцій RT і Sputnik
Після заборони ЄС у 2022 році RT і Sputnik не зникли — вони просто перейшли на альтернативні домени. Дослідники Institute for Strategic Dialogue викрили це через:
WHOIS-дані: нові домени (наприклад,
actualidad-rt.com) зареєстровані одразу після введення санкцій через російські реєстраториDNS-записи: ті ж nameserver’и, що й у заблокованих ресурсів (
ns1.rttv.ru)Google Analytics ID: однаковий ідентифікатор на «нових» і старих ресурсах — пряме свідчення єдиного оператора
Трафік: понад 85% відвідувачів обхідних сайтів — з країн ЄС
Щоб зменшити хибні спрацювання, кожен домен мав відповідати щонайменше двом технічним критеріям. Результат — виявлена мережа сайтів, розгорнутих паралельно після санкцій.
Що це означає для звичайного користувача
Дослідження підтверджує кілька важливих речей:
Фейки не з’являються самі по собі. За ними стоять технічна інфраструктура, координація та ресурси. Коли десятки каналів публікують одне й те саме з різницею в хвилини — це не збіг.
«Незалежне джерело» може бути підставним. Перш ніж довіряти матеріалу, зверніть увагу: хто перший опублікував? Чи є у джерела реальна історія публікацій? Чи не з’явилося воно ніби «з нічого»?
Тематика корупції — улюблена мішень. Якщо ви бачите вірусне обвинувачення на адресу українських чиновників, особливо під час важливих подій (голосування в Раді, візити до союзників, мобілізаційні рішення) — перевіряйте особливо ретельно.
TikTok — нове поле бою. Антимобілізаційні кампанії в Україні цілеспрямовано використовували TikTok, бо ця платформа охоплює аудиторію 18–55 років і спирається не на аргументи, а на емоційний вплив. Окрему загрозу становить використання генеративного ШІ: дослідники фіксують дедалі більше кампаній, де відео- та аудіоконтент для TikTok створюється автоматично — включно з діпфейками реальних осіб. Якою б складною не була така операція, вона завжди залишає технічні та поведінкові сліди — і саме їх навчають виявляти описані в доповіді методи.
Що рекомендують автори доповіді
Для дослідників, журналістів і державних органів:
Прозорість і стандартизація: кожне твердження атрибуції має супроводжуватися рівнем впевненості і поясненням доказової бази
Доступ до даних платформ: без відкриття API великих платформ якість розслідувань падає (обмеження Meta і Twitter/X у 2024–2025 роках суттєво ускладнили роботу)
Уніфікована мова: терміни «держава заохочує», «держава координує», «держава виконує» мають стати стандартом для однозначного розуміння між урядами та платформами
Превентивний аналіз: відстежувати чутливі теми в режимі реального часу, щоб фіксувати аномальні сплески до того, як кампанія досягне масштабу
Висновок
Атрибуція інформаційних операцій — це не магія і не суб’єктивна думка. Це системна робота з технічними даними, поведінковими патернами та контекстом. Жоден окремий індикатор не є вирішальним, але сукупність незалежних доказів з різних категорій дозволяє з високою впевненістю встановити: за конкретною кампанією стоїть держава.
Росія не припинила інформаційну агресію — вона адаптується. Але і інструменти виявлення стають точнішими. Знати про них — перший крок до стійкості.
