Wie funktioniert ein Bot-Angriff? Der Experte Ben Nimmo erklärt, wie die automatisierten Accounts arbeiten. Und vor allem fragt er: für wen?

Am 24. August 2017 veröffentlichte ein angeblich russischer Twitter-Account mit nur 74 Followern namens „Lizynia Zikur“ (Handle @kirstenkellog_) einen wütenden Tweet, der die US-Nachrichtenseite „ProPublica“ als „Alt-left #HateGroup- und #FakeNews-Website“ verunglimpft. Dieser Post wurde innerhalb weniger Stunden über 23.000 Mal verbreitet. Ein weiterer Account folgte diesem Muster mit einem ähnlichen Angriff auf „ProPublica“ am darauffolgenden Tag.

Hassgruppe1.png

Die Analyse zeigt, dass beide Tweets massiv retweeted wurden. Dahinter liegt ein großes, vermutlich gemietetes Netzwerk an mutmaßlichen Bot-Accounts, die den Tweet verstärkten. Der Ursprung der Bots ist unbekannt.

Dem Profil, das den ursprünglichen Tweet veröffentlichte, folgten Konten, die in russischer Sprache aufgesetzt waren; es liegt nahe, dass diese Accounts tatsächlich russischsprachigen Ursprungs gewesen sind. Das Konto, das sich im zweiten Tweet als Russisch sprechend darstellte, scheint jedoch Google Translate benutzt zu haben.

Die große Verbreitung wurde durch Botnetze durchgeführt, deren Hauptzweck offenbar kommerziell zu sein scheint. Ihr Ursprung kann und sollte allerdings nicht Gruppen zugeordnet werden, ohne dafür entsprechende Beweise zu haben.

Englischer Tweet, russisches Profil

Der Artikel, der wahrscheinlich den Angriff ausgelöst hat, war einer, in dem ProPublica das russische und „Alt-right“-Engagement im Netz nach den Unruhen in Charlottesville unter die Lupe nahm. Nach der Recherche des DFR Labs zog die Schlagzeile „Pro-russische Bots nehmen den Rechtspopulismus nach Charlottesville auf“ teilweise die Aufmerksamkeit auf die Nachrichtenseite. „ProPublica“ teilte daraufhin einen Tweet des Angriffs mit dem DFR Lab.

Hassgruppe2.png

Die erste Frage ist die nach der Identität des „Lizynia“-Kontos, auch, ob es wahrscheinlich ist, dass es aus der russisch- oder englischsprachigen Welt stammt. Da das Profil auf einen Artikel reagiert hat, der sowohl die „Alt-Right“-Bewegung als auch Russland kritisiert, ist theoretisch beides möglich.

Der Ton des von „Lizynia“ auf Englisch abgesetzten Tweets ist charakteristisch für die „Alt-Right“-Bewegung. Die Sprache des Kontos an sich ist Russisch, zudem weist es als Ortsangabe die Stadt Bagrationovsk aus, die in Russland in der Region Kaliningrad liegt, nahe Polen und Litauen.

Hassgruppe3.png

Es gibt keinen Mechanismus, der es uns ermöglicht, den Standort oder die Identität zu überprüfen. Eine umgekehrte Suche des Profilbildes hat keine weiteren Ergebnisse ergeben. Die Google-Suche nach dem Account-Namen ergab nur Ergebnisse auf den abgesetzten Tweet.

Ein kleiner Hinweis auf einen fremdsprachigen Ursprung ist die Formulierung „ProPublica ist „alt-left“ #Hassgruppe“. Ein Muttersprachler oder eine Muttersprachlerin hätte dem Satz den Artikel „ein“ hinzugefügt. Das Weglassen von Artikeln ist charakteristisch für Russischsprechende, allerdings auch für andere Sprachgruppen. Doch grammatisch inkorrekte Formulierungen lassen sich leicht fälschen, zur gezielten Verwirrung.

Eine Sache, die gesagt werden kann, ist, dass das Konto „Lizynia“ zurückhaltend agiert. Bis zum 24. August 2017 veröffentlichte das Konto seit seiner Eröffnung vor drei Jahren lediglich zwölf Tweets. Davon wurde nur einer in der Chronik angezeigt, was darauf hindeutet, dass die elf anderen Tweets gelöscht wurden. An sich ist dieser Umstand bemerkenswert, denn er erschwert eine Beweisführung.

Lernen Sie die „B“-Team-Bots kennen

Von „Lizynias“ Anhängerschaft kann hingegen mehr abgeleitet werden. Die meisten scheinen automatisierte „Bots“ eines kleinen Netzwerks zu sein. Diese sind darauf programmiert, Online-Nachrichten zu verstärken; zudem scheint gerade dieses Netzwerk aus der russischsprachigen Welt zu stammen.

DFR Lab sah sich die Follower des Kontos an, bevor es suspendiert wurde und bemerkte dabei ein merkwürdiges Muster: Mit nur einer Ausnahme (ein Konto, das „Lizynia“ nach der Veröffentlichung des letzten Tweets folgte) hatte jeder einzelne der 76 Follower im Profil einen Nachnamen angegeben, der mit den Buchstaben A, B oder C begann. Die meisten Angaben begonnen mit B.

Hassgruppe4.png

Die Seite mit „Lizynias“ Followern wurde archiviert, dadurch konnten einige der Namen bewahrt werden, darunter: Marly Brideaux, Demi Bangs, Ona Buesnel, Jos Blofeld, Cilla Backshill, Juhana Blowin, Justinas Blunsom, Julijana Bloy, Hyacinth Bigby, Manel Breeton, Katlyn Boich, Eleanore Batch, Cedar Augie, Silas Cafe, Kelleigh Bollum, Jacinda Blackley und Kelebek Bollon.

Diese Accounts haben eine Reihe von Merkmalen gemeinsam. Sie wurden im Jahr 2014 eröffnet. Sie behaupten, aus dem Vereinigten Königreich zu stammen. Sie verfügen nur über ein paar Dutzend Tweets in der Chronik, folgen allerdings hunderten von Konten. Außerdem stimmen ihre Namensangaben im Profil nicht mit dem Twitter-Handle überein.

Hassgruppe5.png

Das Bild von „Marly Brideaux“ entspricht dem eines russischen Posts, der 2014 auf „Pikabu.ru“ geteilt wurde, dem russischen Equivalent des US-amerikanischen „Reddit“. Die Verwendung eines Bilds an anderer Stelle ist oftmals ein Zeichen für einen Fake-Account:

Hassgruppe6.png

Ein anderes Profil aus der Bot-Gruppe namens „Kelebek Bollon“ schrieb innerhalb von vier Stunden sagenhafte 1610 Tweets:

Hassgruppe7.png

Ungleich wichtiger ist, dass diese Accounts viel ähnlichen Inhalt veröffentlichen, unter der häufigen Verwendung von Emojis. Viele jener Tweets teilen sich Botschaften einer Reihe von Twitter-Accounts, die mit den Handle-Buchstaben „@Con“ beginnen. Die meisten davon sind mittlerweile deaktiviert worden.

Ihre Beiträge teilen sich oftmals eine identische Formulierung, aber unter Verwendung verschiedener Emojis.

Hassgruppe8.png

Zusammengenommen zeigen diese Faktoren, dass die Konten - die wohlgemerkt alle „Lizynia“ folgten - Teil eines kleinen und relativ inaktiven Botnetzes sind.  Sie automatisieren Beiträge, um andere, englischsprachige Konten zu verstärken.

Verstärker

Allerdings hatte die größte Verstärkung von „Lizynias“ Tweet einen anderen Ursprung. Diese Verstärkung war erstaunlich hoch: „Lizynia“ hatte zum Zeitpunkt des Tweets lediglich 74 Follower und folgte selbst keinem Account. Das Erreichen von über 23.000 Retweets innerhalb weniger Stunden unter diesen Voraussetzungen ist ein phänomenal unwahrscheinliches Vorkommen.

DFR Lab hat darum die Konten unter die Lupe genommen, die den „Lizynia“-Tweet retweeteten.

In diesem Fall reichte ein kurzer Blick aus, um Gewissheit zu haben, dass der Tweet durch Bots verstärkt wurde. Drei der Konten, die ihn kürzlich retweeteten, waren scheinbar attraktive Blondinen mit den Namen „Shelly Wilson", „Bernadette White" und „Julia James".

Hassgruppe9.png

„Shellys“ Twitter-Handle ähnelte zumindest dem Profilnamen (@ShellyW38433328), allerdings ergänzt um einer zufälligen Anreihung von Zahlen. Hingegen hatten sowohl „Bernadette“ als auch „Julia“ Handles aus zufälligen alphanumerischen Reihen (@KDpdX3QORYWWt5b und @4yML2iZDKEdpPJ0).

Diese Indizien sind ist ein klassisches Zeichen für ein großformatiges Botnet, bei dem die Benennung von Fake-Konten durch einen zufälligen Generator automatisiert wird.

Der Beweis liegt vor, da es sich bei den drei vermeintlichen Frauen nicht um drei einzelne Konten, die drei schöne Profilbilder hatten, handelt. Die Profilbilder zeigen ein und die selbe Person, wovon eines gespiegelt wurde. Alle Konten wurden zwischen Juni und Juli 2017 erstellt. Alle drei verbreiteten fast ausschließlich Retweets. Passend dazu die regelmäßige Verlinkung mittels URL-Shortener.

Das sind eindeutig Konten eines Botnets - ein Netzwerk von gefälschten Konten, das dazu eingerichtet wurde, unter Anschein des Menschseins Tweets anderer zu verstärken.

Gleiches Netz, anderer Tweet

Die schiere Anzahl an Retweets, die der Post von „Lizynia“ erhalten hat, gibt einen Hinweis auf die Größe des Botnetzes. Ein weiterer Hinweis ergibt sich aus einem separaten Tweet, der vom Twitter-Konto von Julia Davis (@JuliaDavisNews) abgesetzt wurde. Sie, eine Expertin für russische Desinformation und Propaganda, machte DFR Lab auf diesen separaten Tweet aufmerksam.

Julia Davis hat etwas mehr als 20.000 Anhänger auf Twitter. Ihre Posts weisen üblicherweise zwischen einigen Dutzend oder Hundert Retweets auf. Jedoch erhielt einer ihrer Tweets innerhalb weniger Stunden über 7000 Retweets:

Hassgruppe10.png

Die Konten, die den Tweet verstärkten, weisen große Ähnlichkeit mit denen „Lyzinias“ auf.

Hassangriffxxx.png

So wie zuvor wurden die Konten im Raum von ein paar Tagen erstellt, ihre Handles waren ausschließlich alphanumerisch, ebenfalls wiederholten sich Profilbilder, auch kam deren Spiegelung zum Einsatz. Aufgrund dieser Merkmale können diese Accounts nur Produkt einer sogenannten „Bot-Fabrik“ sein. Aller Wahrscheinlichkeit nach zählen dazu Tausende von Konten.

Hassgruppe14.png

Bots zur Miete?

Es scheint sich jedoch nicht primär um ein politisches Botnetz zu handeln.

Der „Lizynia“-Tweet griff einen Artikel an, der die Beteiligung pro-russischer Konten an der Reaktion auf „ProPublicas“ Charlottesville-Artikel vermutete. Der Tweet von Julia Davis legte Angriffe des russischen Militärs auf die Ukraine offen. Ein solcher Bericht ist kaum Grund, von pro-russischen Bots verstärkt zu werden, außer hinter ihnen liegt ein simpler Mechanismus, der auf Hashtags wie #Russland und #Ukraine reagiert.

Es ist wahrscheinlich, dass es sich bei diesem Botnet um ein kommerzielles Netzwerk handelt, sozusagen ein „Netzwerk zur Miete“. Es könnte zur Verstärkung von Werbeinhalten gekauft worden sein oder dazu umprogrammiert worden zu sein, per Zufall mehrsprachige Tweets zu verstärken. Auch beides ist möglich.

Allerdings gibt es keinen Aufschluss auf seinen Ursprung. Die Konten sind kürzlich erstellt worden. Deren sprachliche Mischung ist so breit gefasst, sodass es nicht möglich ist, eine Schlussfolgerung über den Account-Ursprung ziehen zu können. Die account-eigenen Tweets sind gering, jedoch kryptisch und nicht informativ. Ihr Verhalten scheint mit dem eines Retweets-zur-Miete- oder einem Folgen-zur-Miete-Netzwerks übereinzustimmen. Zu dieser Vermutung gehört auch, dass die geographische Herkunft des Netzwerks nicht anhand von verfügbaren Open-Source-Informationen abgeleitet werden kann.

Die nächste Runde

ProPublica meldete den Twitter-Angriff, daraufhin wurde der „Lizynia“-Account suspendiert. Wenige Stunden später erfolgte jedoch ein weiterer Angriff, wieder in vermeintlich russischer Sprache:

Hassgruppe15.png

Dieser Account ist älter als „Lizynia's", denn er wurde im März 2012 aufgesetzt. Er ist jedoch genauso inaktiv gewesen, da er lediglich sechs Tweets veröffentlichte, und zwar alle am 25. August:

Hassgruppe16.png

Er zielte auf „ProPublicas“ Account ab und verwendete aggressive Formulierungen auf vermeintlichem Russisch und Englisch:

Hassgruppe17.png

Als Ort des Profils war Kaliningrad angegeben, ebenfalls der Biografie-Zusatz „Der Süden wird sich wieder erheben“ - eine Referenz auf den US-amerikanischen Bürgerkrieg. Neben der üblichen grammatischen Fehler ist ein Tweet auffallend, der anstößige Sprache enthält. Er lässt vermuten, dass es sich bei diesem Profil nicht um ein russisches handelt, sondern um eines, das so tut als ob.

Der PostУ меня 1 миллион ботов“ ist grammatisch korrektes Russisch für „Ich habe eine Million Bots“. Allerdings schreibt der Post zuvor „удар мой член“ , was im Russischen absolut sinnfrei ist. Er verbindet das russische Wort für Gegenschlag oder Schlag, удар, mit dem Nominativ „mein Mitglied“.

Wenn man diese Formulierung in Google Translate eingibt, kommt im Ergebnis auf Englisch „Lutsch meinen Schwanz“ („Blow my dick“) heraus. Umgekehrt kommt im russischen Ergebnis das Kauderwelsch „удар мой член“ des Tweets heraus. Darum ist es wahrscheinlich, dass die Person hinter dem Profil „Victor Thawnzgauk“ ein Englischsprecher verbirgt, der Google Translate benutzt, um sich als russischsprechend auszugeben. Mittlerweile (Stand 18. September) ist „Viktors“ Account gesperrt.

Sein Angriff auf ProPublica erzielte über 12,000 Retweets. Obwohl die retweetenden Accounts nicht so offensichtlich zum gleichen Botnetzwerk gehören, weisen sie das gleiche Verhalten auf. Sie veröffentlichten Posts in mehreren Sprachen zu einer Vielzahl an Themen. Viele darunter wurden Ende Juni 2017 eröffnet und teilten den angreifenden Post in der fast gleichen Reihenfolge, was ein typisches Symbol für Automatisierung ist:

Hassgruppe18_Retweets.png

Anzahl der Retweets von "Victors" Post. Zu beachten ist die fast identische Anzahl an Likes und und Retweets, sowie die perfekte Übereinstimmung der Accounts beider Gruppen

Hassgruppe18_Likes.png

Alle Hinweise lassen darauf schließen, dass es sich bei diesen Accounts um ein weiteres Botnetz handelt, das darauf angesetzt wurde, „ProPublica“ zu belästigen.

There has been a general alignment of narratives between the alt-right and pro-Kremlin commentators, meaning that a Russian identification cannot be ruled out; however, there is no reliable evidence which would confirm such an identification. Zwischen der „Alt-Right“-Bewegung und Pro-Kreml-Kommentatoren gibt es eine allgemeine Überschneidung. Dies bedeutet, dass eine russische Beteiligung nicht ausgeschlossen werden kann. Allerdings sind die Beweise dafür nicht stichhaltig genug, das zu bestätigen.

Schlussfolgerung

Der Tweet, der ProPublica angegriffen hat, kann durchaus der russischsprachigen Welt entstammen. Der Account, der ihn veröffentlichte, präsentierte sich in russischer Sprache. Ihm folgte ein Netzwerk von Konten, die ihren Ursprung im russischsprachigen Raum hatten. Es ist anzumerken, dass dies nicht das gleiche ist wie „ihren Ursprung in Russland hatten“. Die früheren Tweets jener Konten betrafen Ereignisse in der ehemaligen UdSSR, nicht nur in Russland.

Obgleich solche Zuordnungen gefälscht werden können, ist es durchaus möglich, dass dieser Teil des Twitter-Angriffs von Russisch-Sprechenden ausgeübt wurde.

Jedoch scheint sich das „Victor“-Konto Google Translate zu bedienen, um russisch zu erscheinen. Dies kann natürlich ein gewisses Maß einer Doppelfälschung beinhalten, aber es wäre unklug, dieses Konto dennoch als „russisch“ zu identifizieren, lediglich auf der Grundlage der verfügbaren Indizien. Darum ist es korrekter, es als „pseudo-russisch“ zu bezeichnen.

Sowohl die Tweets von „Lizynia“ als auch „Victor“ wurden durch einen großen Einsatz von Bots verstärkt. Die verwendeten Netzwerke sind jünger, aktiver, weniger unauffällig und vor allem größer. Während ihr Bot-Ursprung klar ist, ist es ihre Herkunft nicht. Vernünftigerweise ist zu vermuten, dass das gesperrte „Lizynia“-Konto aus der russischsprachigen Welt stammte. Die Botnetze, die den Account verstärkten als auch „Victor“ scheinen dagegen nicht politischen, aber kommerziellen Ursprungs zu sein. Auch ihre geographische Herkunft ist fragwürdig.

Ben Nimmo ist Senior Fellow für Nachrichtenabwehr beim digitalen Forschungslabor des Atlantic Councils (@DFRlab). Übersetzt wurde Bens Artikel von Sarina Balkhausen, Fellow bei #Wahlcheck17, einem Pop-Up-Newsrooms zur Bundestagswahl, einer Initiative von CORRECTIV, First Draft, Google News Lab und Facebook. Weder Ben noch Sarina sind Bots.

Wir veröffentlichen den Artikel mit freundlicher Genehmigung von „Medium“.

10 Euro für unabhängigen Journalismus