俄羅斯擁有可操縱社交媒體趨勢的強大僵尸網絡

美國網絡安全公司Nisos發布最新研究報告稱，2020年遭俄羅斯黑客組織“數字革命”曝光的Fronton項目不僅可用來開展大規模分布式拒絕服務（DDoS）攻擊，還能操縱社交媒體平臺上的熱門話題。

報告稱，Fronton是作為2017年與社交媒體和“在信息空間中傳播操縱模型”或“向目標受眾傳播信息的受控方法”相關的研究項目的一部分而開發的；Fronton是社交媒體虛假信息平臺的后端基礎設施，其底層是由遭入侵物聯網設備組成，該通信層被SANA平臺用來協調不真實行為并在全球范圍內傳播虛假信息；SANA前端系統允許用戶通過創建虛構的社交媒體賬戶來“集體制定和部署趨勢社交媒體事件”，并可根據是否用于Facebook和Twitter等社交媒體平臺或博客、媒體網站、論壇和其他網站進行定制；SANA可對機器人賬戶進行精細操控，包括批量管理、網絡互動、模式回應、相冊管理等。

奇安網情局編譯有關情況，供讀者參考。

2020年3月，俄羅斯黑客組織“數字革命”宣布已攻擊俄羅斯聯邦安全局（FSB）承包商，發現了有關入侵物聯網（IoT）設備的Fronton項目的詳細信息，并公開發布12個Fronton項目技術文檔、圖表和代碼片段。當時報道稱，Fronton項目是執行大規模分布式拒絕服務（DDoS）攻擊的工具，利用虛假流量淹沒目標網絡或計算機使其無法被訪問。

美國網絡安全公司Nisos于5月19日發布題為《Fronton：用于創建、指揮和控制協調的不真實行為的僵尸網絡》的報告披露，DDoS實際上只是Fronton數個功能之一，并指出該工具通過名為SANA的在線界面還可實現“大規模協調性不真實行為”。

報告稱，根據對俄羅斯“零日技術”（0day Technologies）公司遭竊取文件、圖像和視頻的分析，該公司創建了一個強大的僵尸網絡，該網絡不僅能夠發起破壞性DDoS攻擊，還能夠操縱社交媒體平臺上的熱門話題。

研究人員指出，Fronton是作為2017年與社交媒體和“在信息空間中傳播操縱模型”或“向目標受眾傳播信息的受控方法”相關的研究項目的一部分而開發的。

報告稱，“Fronton是社交媒體虛假信息平臺的后端基礎設施，由多個組件組成。該僵尸網絡的主要目的不是制造拒絕服務攻擊，而是為大規模可擴展的協調不真實行為奠定基礎。其基本組件是分布式傳輸系統。該系統由一層與前端服務器基礎設施通信的遭入侵物聯網設備組成。然后，這些服務器通過VPN或TOR網絡將其數據傳遞到后端服務器。雖然沒有這個基礎系統就無法存在，但它不是Fronton網絡的焦點。然后，該基礎層被SANA平臺用來協調不真實行為并在全球范圍內傳播虛假信息。”

Fronton傳輸網絡示圖

Nisos表示，SANA系統允許用戶通過創建虛構的社交媒體賬戶來“集體制定和部署趨勢社交媒體事件”。報告稱，“Fronton系統利用僵尸網絡作為地理分布式傳輸，創建了其稱為‘新聞報道’（Инфоповоды）的社交媒體事件。SANA提供社交媒體角色賬戶的創建，包括電子郵件和電話號碼配置。此外，Fronton系統還提供了按計劃或響應式創建這些‘新聞報道’的設施。”

“數字革命”發布了一段視頻，展示了SANA的工作原理。該平臺可根據是否用于Facebook和Twitter等社交媒體平臺或博客、媒體網站、論壇和其他網站進行定制。Nisos研究人員指出，“SANA還允許操作人員配置機器人賬戶應該創建多少喜歡、評論和反應，以及應該每周創建照片和與群組互動的頻率。操作員還可以指定機器人應維護的朋友數量的數字范圍。”文件顯示，該工具在2018年全年都在使用，并且主要圍繞“新聞報道”功能。

Fronton具有多種功能，包括：批量管理機器人賬戶；使用行為模型讓機器人與普通用戶難以被區分；創建和管理詞典以存儲社交媒體響應的引用和評論，如正面、負面或中立；建立機器人賬戶照片集相冊。

SANA匯總界面

SANA“新聞報道”界面

SANA所用VK社交媒體賬戶

研究還表明，廣為人知的俄羅斯黑客帕維爾·西特尼科夫（Pavel SITNIKOV，化名FlatL1ne）可能受雇于“零日技術”公司。西特尼科夫此前曾吹噓其與俄羅斯黑客組織APT28（又名“奇幻熊”）的關系，并于2021年被俄羅斯當局逮捕。Nisos評估稱，西特尼科夫可能對Fronton基礎設施和SANA前端系統的功能有廣泛的了解。

目前尚不清楚該工具是否曾被俄羅斯聯邦安全局或其他方面使用過。Nisos研究人員分析了一個名為“負責松鼠”的文本文件，其中包含批評2018年7月在哈薩克斯坦安裝由公共資金資助的大型木松鼠的負面短語。研究人員指出，關于木制松鼠的負面社交媒體評論出現在英國BBC的一篇文章中，但尚不清楚這些評論是否是俄羅斯的虛假信息。

文章來源：奇安網情局