【实战】有效的OSINT在俄罗斯军事活动地理监测中的应用

      毫无疑问，随着俄罗斯向乌克兰边境地区增派军事人员，东欧的紧张局势急剧升级。在领英的一篇帖子中，一位受人尊敬的情报专业人士询问，如何部署OSINT的工具和程序，以监测正在进行的军事局势。

      这个OS2INT的OSINT工作流程展示了OSINT可以用来监控正在发生的情况的多种方法中的一种;具体来说，我们如何能够在索洛提军事部署区内定位和监测疑似俄罗斯军事行动。然而，我们进一步转移了我们对俄罗斯军事演习的了解，以确定俄罗斯军队可能使用的关键路线，以及各种被认为是“关键地形”的地区。

     为了实现我们的目标，我们需要利用以下工具和资源:

1. NodeJS，开源跨平台，后端JavaScript运行时环境，可以从https://nodejs.org/en/download/下载

2. Sublime Text，一个商业源代码编辑器，可以从https://www.sublimetext.com/3下载

3. Telegram     Nearby Map，一个基于nodejs的工具，使用OpenStreetMap和官方Telegram库来查找附近用户的位置(使用Telegram API)。可以从https://github.com/tejado/telegram-nearby-map克隆该实用程序

4. 谷歌Earth，桌面应用程序，它将允许我们绘制感兴趣的数据点，并对使用Telegram Nearby Map识别的Telegram用户进行三边分析。该应用程序可以从https://www.google.com/earth/versions/下载。

选择我们的目标区域

       显然，俄罗斯军队部署的整个地区太大了，我们不可能一次分析。相反，我们选择集中在一个军事部署区域——或“集散地”——从那里俄罗斯军队可以在进入乌克兰的一个可能的主要轴线上进行演示——即沿着14K-34单行道。所涉及的军事部署地区是Soloti军事部署地区，位于瓦卢基西北约3公里处。此外，我们从基本的开源研究中得知，在瓦卢基北部存在一个二级军事部署区域，这表明这个军事部署区域可能被用来在其自己的主轴- 14K-33双车道上机动的可能性。

安装和配置nodejs

       工作流的这个步骤非常简单，只需浏览https://nodejs.org/en/download/下载NodeJS可执行文件，然后像安装其他程序一样将其安装到系统上。

电报附近的地图

       因此，我们将使用的主要OSINT工具是TelegramNearby Map，这是一个非常有效的基于nodejs的工具，它使用OpenStreetMap和官方Telegram库来查找附近用户的位置(使用TelegramAPI)。我们需要做的第一件事是创建一个Telegramsock puppet，并从my.telegram.org获取API凭证。然后，我们将记录API凭据，以便使用它们。

接下来，我们从Github克隆TelegramNearby Map，并将存储库文件保存在我们的本地驱动器中。在相同的位置，我们将使用Sublime Text打开config.example.js文件，并在其中输入我们的Telegram API凭证——然后我们将文件保存为config.js。

       现在，我们通过在命令行界面(CLI)中运行NodeJS来安装TelegramNearby Map。和往常一样，我们将目录更改为Telegram Nearby Map工具文件的存储位置，然后通过调用npm install命令继续。

        安装完成后，我们现在可以通过调用npm start来运行这个实用程序。在此阶段，该工具将要求我们的Telegram详细信息，如与Telegram帐户相连的电话号码、您的密码之外的验证码(如果您的帐户配置了双因素身份验证)。随着TelegramNearby Map的运行，我们可以通过在浏览器窗口中打开http://localhost:3000打开web应用程序。

        随着TelegramNearby地图网络应用程序现在在我们的浏览器中打开，我们将导航工具到俄罗斯-乌克兰边境，并将目标标记在Soloti军事部署区域。接下来，我们需要配置我们打算搜索的距离——在我们的例子中，我们选择了5万米的搜索范围，然后开始搜索。

‍

‍

       现在是棘手的部分了! 我们必须注意TelegramNearby Map是如何工作的。该工具只会显示那些在Telegram应用中激活了“查找附近的人”功能的用户。默认情况下，该功能是关闭的。因此，我们不能完全看到Soloti军事部署区域内的每一个Telegram用户，只能看到那些广播自己位置的人。该实用程序还内置了trilateration功能，可以为每个Telegram用户提供更精确的位置。这个trilateration特性是基于Github用户jkctech详细介绍的方法【https://github.com/jkctech】-关于这个过程的全面详细信息可以通过这个链接:https://github.com/jkctech/Telegram-Trilateration/tree/master/Trilateration。简单地说，TelegramNearby Map会每25秒从我们设定的目标位置的不同点(通常相距350米)进行搜索。搜索将围绕目标位置逆时针方向进行。

       为了使trilateration过程正确工作，我们需要从三个独立的搜索点识别一个Telegram用户，并计算从Telegram用户到每个搜索点的距离——TelegramNearby Map自动为我们完成这一工作。因此，当我们第一次运行上述示例所示的实用程序时，我们只有在实现第三次搜索之后才开始看到Telegram用户的位置。这个过程将继续重复，直到我们看到地图中包含标有数字的标记。每个被识别的Telegram用户都被分配了一个号码，每个被识别的用户都可以在TelegramNearby地图工具左侧的侧边栏中查看。很快就会清楚的是，星系团将开始出现在我们的地图上;例如，我们将看到一个标记28的标记在三个独立的位置上，这些位置彼此靠近。在这一点上,我们必须使用我们的分析能力来评估是否可以显示一个移动用户电报,还是这是指示性的损伤通常与GPS相关接待

         详细研究论文的HenrikBlunck,麦克尔- BaunKjærgaard,和托马斯•动ødeberg Toftegaard从奥尔胡斯大学、丹麦、该论文可以通过以下链接阅读: https://pure.au.dk/ws/files/93802633/Sensing_and_Classifying_Impairments_of_GPS_Reception_on_Mobile_Devices_.pdf。本文作者所指出的是，GPS定位的精度可能受到几个因素的影响，包括物理环境。从本质上说，在城市环境中，我们可以预期Telegram用户的三边识别可以更准确地定位于农村地区。考虑到Soloti军事部署区域位于农村和偏远地区，我们必须考虑到三测结果会有误差——尽管我们可以使用我们自己的技术来近似每个Telegram用户的位置。

        回到TelegramNearby Map，当工具运行时，我们应该注意命令行界面中搜索点的纬度和经度，这已经计算出每个Telegram用户的位置，然后，我们可以使用这些数据来识别哪些集群可以与GPS定位相关的误差范围相关联，或者这些集群是否可以指示移动的Telegram用户。为了在这方面有更深刻的理解，我们将实现我们所说的“浸泡期”——在此期间，我们将让实用程序在目标区域内搜索一段较长的时间。在我们的例子中，我们在6个小时的时间内运行了该实用程序。然后，我们将在谷歌地球上手动绘制我们的结果，以便我们能够绘制一幅更侧重于分析的图像。

绘制谷歌地球上的数据

        不幸的是，TelegramNearby Map不提供以结构化文件格式(如CSV或GeoJSON)导出收集数据的功能——因此，我们必须手动将识别出的Telegram用户绘制到谷歌Earth上。当然，这不是一个准确的程序，但我们可以做到最好!

        一旦我们把Telegram用户划分到谷歌地球，我们就可以更彻底地观察结果，并应用我们自己的分析，以确定静止和移动目标。

        我们将看到的第一个集群是用于Telegram用户编号“30”的集群。总的来说，我们已经为这个用户确定了三个位置数据点，所有这些点都在一条被评估为可能被军用车辆用于进出军事部署区域的主干道上，彼此靠近。当我们仔细观察时，我们可以看到位置数据点的位置相对较近，表明这可能是一个静止的Telegram用户，而不是一个正在移动的用户。Telegram用户的位置很有趣，因为他们似乎位于主干道的一侧，可能靠近沿着道路延伸的树木线的切口。由此，该Telegram用户可能是部署在车辆检查站的哨兵，或部署在该地点协助俄罗斯军用车辆的移动。我们对谷歌地球的检测结果如下:

       将同样的方法应用到其他数据点上，我们可以开始制定我们自己的战术评估，评估发生在Soloti军事部署区内的静止活动，如下图所示:

检测运动

       然而，我们很快注意到一些Telegram用户被安置在一个彼此相距相当远的区域内——这可能表明军事设施内发生了移动。

       因此，我们可以采用这个假设，并将其应用到谷歌地球，通过绘制Telegram用户可能采取的路线。接下来，我们需要确定这个Telegram用户是步行还是乘汽车旅行。为此，我们必须记住，TelegramNearby Map发起的每次搜索间隔为25秒。因此，我们可以利用这些信息来估计Telegram用户的大概速度。因此，使用谷歌Earth，我们计算Telegram用户从用于三角测量用户位置的三个搜索位置点所取得的距离，并从头到尾重复这个过程。

        最终的结果(如上图所示),我们可以看到它的目标用户电报共有1分钟15秒从可能的车辆暂存区域的大门Soloti军事部署区域,占地大约1.5公里的距离。现在，我们应用一些基本的数学，用距离除以时间，得到72千米/小时的速度。由此，我们可以有把握地假设目标Telegram用户是乘汽车旅行的。

发现重大军事活动

       所以，在这个阶段，我们已经对索洛蒂军事部署地区的活动有了很好的了解。现在，我们想看看在Soloti军事部署地区的军事力量从他们的补给站向乌克兰边境前进的情况下，OSINT的公用设施，如TelegramNearby Map如何被使用。要作出有根据的评估，我们必须依靠以俄罗斯/苏联战术演习为基础的理论出版物。对于我们中的英国退伍军人来说，英国陆军出版的《GENFORCE》，也被称为《陆地部件手册》。但是，我们应该指出的是，大多数的教义论文往往是非常过时的，许多核心原则是不变的。

       正如我们在这篇工作流文章的前面所指出的，我们确定了直接位于Soloti军事部署区域附近的14K-34高速公路是一条可能的关键路线。我们从仔细观察这条路线可以看出，这是一条单行道(两车道)。考虑到这一点，我们可以转向几个前苏联/俄罗斯军事学说出版物推断出Regiment-level之间形成需要一到两个主要航线为了推进轴——这将证实开源报告表明第752摩托化步枪团在Soloti定位的形成。

       利用原理，我们可以进一步指出14K-34高速公路上的关键位置，并可能使用TelegramNearby地图从这些地区收集数据——当然，前提是俄罗斯军事人员拥有他们的个人设备(安装了Telegram)。关键地点包括十字路口，从那里工程师和宪兵分队将设法确保军事行动不受阻碍，此外还在路线附近进行清理，以便用于部署前沿部署的电子战和后勤分队以及其他战斗服务支助分队。为了我们的利益，我们在谷歌地球上标记了这些区域。

       因此，我们认为我们应该看看是否能识别出任何可能的前沿部署的军事力量——可能提供路线安全——沿着14K-34高速公路。我们将TelegramNearby Map定位在Tulyanka镇附近。

        马上，我们找到了几个Telegram用户，他们就在我们在谷歌地球上标记的关键位置附近。虽然我们不能肯定这些人是否真的是俄罗斯军事人员，但我们可以肯定地说，如果俄罗斯军队发动入侵乌克兰，Telegram NearbyMap无疑是一个非常好的工具。

结论

        但我们必须指出，这种情况下的主要工具——TelegramNearby Map——可能不是100%准确，因为GPS定位背后的科学。也就是说，它确实提供了一个对特定地区潜在军事活动的很好的概述。更重要的是，如果第752机动步枪团从Soloti军事部署区部署到与乌克兰的国际边界，它可以作为一种监测战术军事行动的工具。最后，我要特别感谢TelegramNearby Map的Tejado开发者，因为他创造了一个非常棒的工具，我们相信它拥有广泛的用例。

-END-

长按识别下方二维码加入最专业的情报社群