Twitter: Botnetz „Star Wars“ mit über 350.000 Accounts entdeckt

Maximilian Schlafer 31 Kommentare
Twitter: Botnetz „Star Wars“ mit über 350.000 Accounts entdeckt
Bild: Marisa Allegra Williams

Ein beachtlich großes Twitter-Botnetz ist Forschern des London University College ins Netz gegangen. Der Umstand, dass die zugehörigen Accounts ausschließlich Auszüge und Textbausteine aus dem Star-Wars-Universum posteten, trug zu seiner Entdeckung bei und stiftete zugleich den Namen.

Händische Analyse lieferte erste Hinweise

Die beiden Computerwissenschaftler Juan Echeverria und Shi Zhou haben sich als Ziel ihrer Arbeit (PDF) Botnetze auf Twitter auserkoren und legen darin deutlich dar, welche schädlichen Auswirkungen diese haben können. Diese umfassen etwa das altbekannte Spamming, die Fälschung von „Trending Topics“, das Verschaffen von „Fake-Followern“ und die Manipulation der öffentlichen (Twitter-) Meinung.

Vor diesem Kontext untersuchten sie ungefähr ein Prozent der Accounts der englischsprachigen Twitternutzerschaft in einem uniformen Sample auf Auffälligkeiten. Dabei stachen ihnen Anomalien bei der Ortsverteilung bestimmter Accounts ins Auge. Bei diesen waren Tweets an eher unüblichen Orten abgegeben worden, die merkbar aus dem Muster der Bevölkerungsverteilung in den USA und Europa herausfielen. Darunter fanden sich etwa Tweets aus Gegenden, die entweder aus Wüsten, Permafrostgebieten oder gar hoher See stammten. Bei einem genaueren Blick fiel nicht nur der Umstand auf, dass alle der verdächtigen Accounts „Twitter for Windows Phone“ als Quelle angaben, sondern eben auch von diesen ausschließlich willkürlich gewählte Passagen aus den „Star Wars“-Büchern gepostet wurden. Insgesamt wurden so per Hand 3.244 Bots identifiziert.

356.957 Bots durch maschinelle Analyse entdeckt

Nachdem deren grundlegende Muster bekannt waren, versah man einen Classifier damit und analysierte auf diese Weise die Tweets von 14 Millionen englischsprachigen Accounts. Dies förderte 356.957 Bots ans Tageslicht. Keiner hatte mehr als zehn Follower und 31 Freunde und mehr als elf Tweets abgesetzt. Bei einer übergreifenden Analyse zeigte sich zudem, dass die betroffenen Accounts allesamt im Jahr 2013 angelegt wurden. Nach dem 14. Juli 2013 waren weder neue Accounts hinzugekommen noch wurden damit neue Postings abgesetzt.

Das Botnetz befindet sich seitdem in einem Dornröschenschlaf, darauf harrend von seinem „Botmaster“ wieder wachgeküsst zu werden. Warum es bislang nicht entdeckt worden war, führen die Forscher darauf zurück, dass es sehr klug und vorsichtig darauf zugeschnitten war, den gängigen Heuristiken durch die Finger zu schlüpfen. Durch das Tweeten der „Star-Wars“-Zitate simulierten die Erschaffer menschliche Sprache. Es wurde ebenso auf normal erscheinende Nutzerprofile geachtet und das Posten von URLs wurde strikt gemieden.

Grafik der Entdeckung
Grafik der Entdeckung (Bild: arxiv.org (PDF))
Geographische Verteilung
Geographische Verteilung (Bild: arxiv.org (PDF))
Zeitspanne der Accounterstellungen
Zeitspanne der Accounterstellungen (Bild: arxiv.org (PDF))

Warum dies dennoch alles nichts half, war der auf eine maschinelle Überprüfung zugeschnittene Tarntrick mit zufällig gewählten Orten, von denen getweetet wurde. Einem Suchalgorithmus gegenüber mögen die zufällig gewählten Ortsangaben wie eine ganz normale Verteilung wirken. Ein menschliches Auge, das die Verteilung über eine Landkarte gelegt betrachtet, erkennt jedoch sogleich die ungewöhnlichen Muster. Die Verwendung von ausschließlich einer Textquelle und das kurze Zeitfenster, innerhalb dessen das Netzwerk erstellt worden war, erleichterten zudem die automatisierte Suche nach weiteren Accounts. Auf Basis der grundlegenden Parameter des „Star-Wars“-Netzes konnten die Forscher außerdem ein weiteres, etwa 500.000 Accounts umfassendes Botnetz entdecken, über das sie in absehbarer Zeit berichten wollen.

Zukünftige Botnetzwerke werden schwieriger zu enttarnen sein

Die Wissenschaftler geben zu bedenken, dass ihre bisherigen Entdeckungen vor allem von viel Glück getragen wurden. Zukünftige Botnetze würden weniger bis keine Anfängerfehler mehr aufweisen und noch versierter und ausgefeilter sein, sodass eine Detektion letztlich nur mehr sehr schwer möglich sei. Als letztlich einziger Ansatzpunkt, den Botnetze nicht von alleine bewältigen können, wird die Interaktion mit echten Nutzern genannt. Wie und ob sich dies aber bei der Entdeckung neuer Botnetze als nützliches Werkzeug erweisen könnte, verbleibt derzeit Gegenstand weiterer Forschungen.