the home of online investigations

How EchoSec Found Evidence of a Russian Fighting in Ukraine

February 19, 2015

By Bellingcat Investigation Team

Originally posted on the EchoSec Blog, reproduced with permission.

Recently, the media has been paying close attention to the Donetsk region in northeast Ukraine. We decided to look for ourselves to see if we could identify military personnel of Russian origin in the area.

In a military, or global security context, the data pouring from this region can play a pivotal role in command, control, communications and coordination of operations.

Quick, informed decisions are the best decisions.

We used a systematic, 3-phase approach to find, filter, and investigate the social media coming out of Ukraine and Russia.

We started by using a systematic grid search to identify clusters and outliers, then reviewed each cluster and outliers for interesting information. Finally, we reviewed each piece of flagged information across multiple social media sources to correlate information and draw conclusions.

This investigation took us less than 6 hours, and the results were astounding.

Here is how we did it:

Initially, our analyst drew a box over the Donetsk region in Northeast Ukraine. The purpose of this large initial search is not to find posts immediately, but to determine where a large number of the posts are clustering. These clusters are going to be prioritized, then analyzed later for anything that stands out.

Upon further inspection of the clusters in the Donetsk region on January 23rd, our analysts found an individual of interest. Due to the nature of the data, no firm conclusions can be draw about the pictured soldier; however, he appears to have crossed the Russian boarder into Ukraine to join the fighting, only recently.

2

This particular soldier identified himself as Amigo Desperado, probably an alias. Our analyst then tracked him to using a different social media source, VK. VK is Facebook-like application popular in Russia. As can be seen in the picture below, we can find his date of birth, current city, and the location of several recent posts.

3

In the following picture, we can see that he was located in Russian territory in early December. He is clearly pictured with the Russian flag, a tank, and a group of men.

4

We then found a photograph of him 8 days later on December 22nd. The location associated with this post was from within the Ukrainian boarder.

5

Finally, we find a photograph that he has posted, where the location tag was directly from the Donetsk region. Using Echosec we tracked this individual from his Russian home to the center of the conflict within Ukraine. Further information about his identity, his motivations, and his associations can be derived from other social media accounts similar to VK.

6

While our analyst was looking at the Donetsk region, he saw a number of graphic social media posts that captured the severity of the conflict in the region. These posts included several graphic images of bodies, ordnance and other evidence of the conflict. We elected not to display these graphic images on our blog, however, a social media search near the Donetsk airport, or near Mariupol may yield similar results.

Ultimately, the Echosec social media search tool was an effective tool for finding interesting information that is publicly available online. An effective user can sort through large amounts of information quickly to find what he needs. This can include tracking a person of interest, finding out new information in a crisis situation or gathering actionable intelligence.

All information contained in this post is open source and implications or inferences made by this publication are solely views of the writer.

Written by: Jason Jubinville @jpjubinville.

 

Bellingcat Investigation Team

The Bellingcat Investigation Team is an award winning group of volunteers and full time investigators who make up the core of the Bellingcat's investigative efforts.

Join the Bellingcat Mailing List:

Enter your email address to receive a weekly digest of Bellingcat posts, links to open source research articles, and more.

49 Comments

  1. Alexander

    Your translation is incorrect. “Привет России с Донбасса!”
    Means “Hello to Russia from Donbass”, not “Hello from Russia Donbass”
    Besides, a photo with russian flag that is, as you say, was made in Russia, has no geolocation, so how can you state “In the following picture, we can see that he was located in Russian territory in early December.”
    I’m sorry, but you are wrong. You have no proof of him crossing the russian border on this tank and with this soldiers.
    Here psb4ukr.org/criminal/sigachyov-sergej/ is his real account in vk.com, his name is Sergey Sigachyov.

    Reply
    • Dmitry

      Oh no, you did it! You ruined the fun for all 🙁
      A one week has passed only 🙁 I did a bet on these poor idiots what not earlier than one month they will begin to guess how they fucked up with two different panzers or with some geolocation shit! Or even much more longer… they never use their brains and never check suspicious facts for a fraud 🙁 Already miss about Jen Psaki 😉

      PS: Let’s drink in honor of the date of “Soviet Army and Navi” and for a hard working russians people! 🙂

      Reply
    • Roman

      Agree, this topis it totally fail. Wrong translation from Russian language, and any prove that he is regular russian soldier. If somebody is from Russia, and fight in Donbass, it doesn’t mean that Russian army is in Ukraine. By your logical progres, we saw in video from Mariupol man speaking in English from btl. AZOV, we can say that US ARMY fight in Ukraina too. 😀

      Reply
  2. AVery

    Worst report I’ve ever seen. This proves absolutely nothing. Not to mention that this man could be Ukranian himself. Unless you did a complete background check, there’s no way to determine his nationality. The border between Ukraine and Russia is pretty fluid, and there have been so many intermarriages over the years, its hard to determine who is actually Russian or Ukranian anymore

    Reply
  3. Анализ Кала

    Хотелось бы привести несколько моментов просто навскидку. Итак, аффтар утверждает, что по геолокационной информации, которую смарт-телефон добавляет в каждую фотку (если фича включена) они выяснили точные местоположения этого солдата.

    С точки зрения здравого смысла то, что они говорят похоже на правду. Однако, если применить стандартные средства проверки доказательств применяемые например в суде для доказательства истинности улик, то вся их теория рассыпается в прах.

    1) Не приведена EXIF информация из фотографий, по которым делаются выводы. Скриншоты, скриншоты. А может это был не смартфон, а китайская мыльныца? Не доказано обратное, значит почему бы и нет.

    2) Информация EXIF может быть легко изменена. Так что даже присутствие оригинальной фотографии еще ничего не значит. Я не занимаюсь крючкотворством, а просто применяю стандартный подход к изучению доказательств (rules of evidence). Почему в суде для решения судьбы часто ОДНОГО человека эти методы применяют, а для вещей потенциально затрагивающих сотни, тысячи и сотни тысяч людей их не применять?

    Так вот. Единственный шанс как бы в судебной системе приняли бы фотографии в качестве доказательства чего бы то ни было это: физическое наличие самого телефона с фотками, заключение эксперта по нему (включая полную исправность геолокационного механизма в телефоне, а значит подтверждения что указанные координаты верны), а также показания под присягой владельца телефона, что это оригинальная, не измененная фотография сделанная им самим.

    На этом можно было бы уже закончить изучение статьи фразой Станиславского, но ляпов еще столько, что не заострить на них внимание было бы глупо.

    3) Потом фотка с сослуживцами в квартире. Ее “отгеолокатили” по Echosec, что это? По положению башни сотовой связи? Ну это надеюсь объяснять не надо. Башня может быть за 5-10 км. Подписи к посту, что они там то и там то — это все опять скриншот, а не ссылка на собственно страницу вКонтакте. На заборах еще и не то пишут. Опять же, где лог башни от провайдера сотовой связи если говорить о неоспоримости улик?

    4) А что доказывает что на последней он внутри того же самого танка, что и на первой фотке. Ничего. И геолокация в телефоне внутри танка что тоже работает? Ну это я так, уже смеясь.

    Ну и так далее. Устал.

    Вот есть такой Amigo Desperado из вКонтакте:
    http://vk.com/id206818983

    А вот видео от видимо другого Amigo Desperado, прямо с первой страницы результатов Гугла по запросу “Amigo Desperado”
    http://vk.com/videos227381288…
    и танк у него действительно есть – допотопный Т-60. Их нет на вооружении армии РФ с девятьсот-забытого года.

    Почему это забыли включить независимые исследователи “миллиардов веб страниц”?

    Короче, мне все ясно. Сплошные скриншоты, мне для изготовления таких даже MSPaint хватит. Слишком много подобных фейков я видел за последний год.

    Этих нескольких несложных умозаключений хватит, чтобы усомниться в том, что нам там приподнесли в качестве “неоспоримых фактов”.

    Меня не убедили. Впрочем читайте сами. Я пошел разбираться с их умозаключениями про воронки от артобстрелов и как по воронкам за 16 км(!) от места выстрела они определили, что выстрелы были с позиции 750 метров (!) внутри границы РФ.

    Я правда пытаюсь разобраться. Не пузыритесь (если кто).

    Reply
    • Amigo Desperado

      Мда уж…читал, читал и читал.Я закончил университет с военной кафедрой и не являюсь военным))..я на войне с 4 августа и ни разу до 6 мая не пересекал границу России и ДНР туда и обратно. Геолакация была включена на двух фотах:
      1) Когда ехали отбивать Аэропорт, я написал Пески..хотя в тот момент мы заходили со стороны Спартака. Пустил дезу, знаяя что СБУ чательно анализирует всю инфу в соц. сетях..
      2) Фота моего взвода в частном доме п. Солнцево Старобешевский район. подконтрольной ДНР. Ничего кременального тут нету.
      P.S. Меня вы пропиарили на “Незалежной” как врага суверенной и независимой Украины – спасибо! Ждите в Киеве на танке ,я Вас научу Родину любить!!!

      Reply
  4. Frank

    This here
    http://lostivan.com/ru/ivan/3923
    seems to be the same guy that in the Amigo Desperado profile you tracked.
    Did it ever occur to you guys that someone could have faked the VK profile you guys “tracked” and you are providing completely false information in this info war?

    Reply

Leave a Reply

  • (will not be published)