Исследователи Хуан Эчеверрия (Juan Echeverria) и Си Чжоу (Shi Zhou) из Университетского колледжа Лондона обнаружили спящий ботнет, который составлен из более чем из 350 тыс. аккаунтов в Twitter, цитирующих «Звездные войны».

Боты в Twitter могут использоваться с различными целями — например, для спама, маркетинга, распространения зловредов, троллинга, манипулирования популярными темами. Многие считают, что боты повлияли на настроения избирателей в США и, таким образом, на исход президентских выборов.

При анализе 1% англоязычных Twitter-аккаунтов (это около 6 млн профилей) Эчеверрия и Чжоу обнаружили любопытный тренд. При анализе геолокационных данных около 20 млн твитов в общей выборке из 843 млн твитов выяснилось, что публикации некоторых аккаунтов происходили в неожиданных местах — например, в морях, пустынях или Арктике.

Проверив тексты этих твитов, эксперты отметили, что большинство из них содержали случайные отрывки из книг по вселенной «Звездных войн» и даже прерывались, не закончив фразу или слово. Также в твитах заключался случайный хештег.  Например, вот один из твитов, приведенный в переводе:

«В ответ Люк ускорился. Теперь их #разделяли только десять метров. Если он смог покрыть это рас»

По словам исследователей, эта цитата взята из книги «Star Wars: Choices of One». Боты в общей сложности цитируют по крайней мере 11 книг по «Звездным войнам».

Проанализировав образец примерно из 5 тыс. аккаунтов вручную, эксперты выявили 3244 бота с общими характеристиками. Кроме любви к «Звездным войнам» боты отличаются использованием случайных хештегов или хештегов, ассоциируемых с новыми фолловерами, а также приверженностью одной платформе — Windows Phone. Кроме того, они никогда не используют упоминания и ретвиты. С момента регистрации боты опубликовали менее 11 твитов и имеют от 10 до 31 фолловера.

Боты успешно избегали автоматического детектирования, и только «человеческие» методы помогли идентифицировать подозрительную активность. Исследователи обратили внимание на аномалию, взглянув на карту и заметив несоответствия, тогда как сам сервис не ставит под сомнение легитимность аккаунта, публикующего твит из пустыни Сахара.

Ботнет находится в спящем состоянии с 2013 года. Исследователи связывают это явление с желанием владельцев ботнета продать его подороже, так как более «старые» боты ценятся выше, считаясь менее подозрительными и, следовательно, менее рисковыми.

В Twitter не знали о проблеме, поэтому от комментариев отказались. Исследователи пока не сообщили ID ботов в Twitter, так как ждут публикации своей статьи в научном журнале. Также дуэт ИБ-экспертов готовит для публикации еще одну статью о другом ботнете, найденном в ходе предыдущего исследования. Он еще больше и состоит из 500 тыс. аккаунтов.

Категории: Аналитика