محققان در مقاله‌ای که اخیرا منتشر کرده‌اند توضیح می‌دهند که کلیه بات‌ها از توییتر ویژه ویندوزفون برای ارسال توییت‌ها بهره برده‌اند. تمرکز عمده مقاله بر روی نحوه کشف بات‌نت‌های توییتری قرار دارد و سایر خصوصیات این بات‌ها نیز افشا شده است: همگی آنها از مکان‌های جعلی در محدوده خاصی از مختصات جغرافیایی (اروپا و آمریکای شمالی) استفاده می‌کردند، توییت‌های ارسالی هیچ یک از آنها بیشتر از یازده تا نبود، تعداد فالوئرهای آنها بیشتر از ده نفر نبود، تعداد دوستان آنها بیشتر از سی و یک نفر نبود، هیچ یک از آنها توییت‌های کاربر دیگری را بازتوییت یا اشاره (mention) نمی‌کرد و تمام نام‌های کاربری آنها در یک طیف محدود قرار داشت.

 

محققان همچنین کشف کردند که توییت‌های بات‌ها فقط شامل نقل‌قول‌هایی از استاروارز بود که هش‌تگ‌هایی آنها را همراهی می‌کرد که معمولا با هدف جذب فالوئر درج شده بود یا نماد هش #، جلوی کلماتی تصادفی وارد شده بود. محققان، پس از شناسایی دستی 3.244 بات، از روش فراگیری ماشین استفاده کردند تا کلیه بات‌هایی که ویژگی‌های فوق را داشتند (و در نتیجه بخشی از بات‌نت استار وارز محسوب می‌شدند) شناسایی شوند.

 

روش فراگیری ماشینی نشان داد که در مجموع، 356.957 بات در بازه زمانی بیستم ژوئن و چهاردهم جولای 2013 ایجاد شده که بلافاصله پس از ایجاد، شروع به ارسال توییت کرده و شمار توییت‌های روزانه آنها به 150.000 می‌رسید. در هر حال، به گفته محققان، همه بات‌های مذکور در تاریخ چهاردهم جولای 2013 غیرفعال شدند و ایجاد بات‌های جدید نیز در همان روز متوقف شد که نشان می‌داد این بات‌ها تحت کنترل یک بات‌مستر قرار دارند.

 

مقاله درباره نحوه غیرفعال ماندن بات‌نت ظرف این مدت طولانی می‌گوید: «بات‌های استار وارز عامدانه طوری طراحی شده بودند که جلب توجه نکنند.» بات‌ها فقط چند بار توییت ارسال کردند، کار خاصی از آنها سر نزد، فقط نقل‌قول‌هایی تصادفی از رمان‌ها توییت کردند تا از زبان واقعی بشری استفاده کرده باشند، از پروفایل‌های عادی استفاده کردند (حتی برخی از پروفایل‌ها تصویر هم داشتند) و هیچ لینکی هم در توییت‌های خود درج نمی‌کردند (به‌علاوه هرگز به کاربران پاسخ نمی‌دادند، به آنها اشاره نمی‌کردند و فقط تعداد اندکی از دوستان را دنبال می‌کردند).

 

مقاله اشاره می‌کند که بات‌نت به این دلیل کشف شد که توییت‌ها برچسب جغرافیایی داشتند و مکان‌های مورد استفاده، یک شکل خلاف قاعده تشکیل می‌داد که فقط با چشم انسان قابل رویت بود. محققان کشف بات‌نت استار وارز را «یک شانس واقعی» دانسته و اذعان می‌کنند که این کشف باعث شد به فکر جستجوی بات‌نت‌های مشابه بیفتند و در این جستجو، یک بات‌نت بزرگ‌تر با بیش از پانصد هزار بات شناسایی شده است.

 

در مقاله آمده است: «در هر حال، فرآیند کشف این بات‌نت‌ها منحصربه‌فرد است. شاید دوباره شانس سراغمان نیاید، زیرا بات‌نت‌های آینده احتمالا طوری برنامه‌ریزی می‌شوند که اشتباهات استار وارز را تکرار نکنند. برای مثال نیازی نیست بات‌ها مکان خود را برچسب‌گذاری کنند زیرا اکثر کاربران چنین کاری نمی‌کنند؛ و بات‌ها می‌توانند از هر منبعی، از جمله سایر کتاب‌ها، مجله‌ها، صفحات وب یا حتی مطالب شبکه‌های اجتماعی، نقل قول ارسال کنند.»

 

 

به گفته محققان، اگرچه بات‌های استار وارز بیش از سه سال بدون فعالیت بوده‌اند اما نباید آنها را بدون ضرر پنداشت چراکه احتمالا هنوز بات مستر کنترل آنها را در اختیار دارد. بنابراین، این بات‌ها را می‌توان به سادگی برای ارسال اسپم، حمایت از موضوعات جعلی، دست‌کاری نظرات، حملات تشکیلاتی، فالوئرهای تقلبی و آلودگی نمونه به کار گرفت.

 

به‌علاوه، به دلیل قدمت این بات‌ها و برنامه‌ریزی صورت گرفته برای لو نرفتن آنها، گمان می‌رود که ارزش بیشتری برای مجرمان سایبری داشته باشند. محققان می‌گویند که بات‌ها پیش از بازنشستگی ممکن است در بازار سیاه به قیمت‌های گزاف به فروش برسند و استار وارز را از این گونه بات‌ها می‌دانند که کاملا قابلیت فروش را داشته است. در واقع، از آنجا که 15.000 بات استار وارز تعداد کمی از کاربران خارج از بات نت توییتر را دنبال کرده‌اند، این احتمال می‌رود که به عنوان فالوئرهای جعلی به فروش رسیده باشند.

 

محققان امنیتی با اشاره به این که «یکی از چالش‌های اصلی تحقیقات درباره بات‌های توییتر، کمبود داده‌های موقعیتی است»، کشف سایر بات‌های مخفی و آن دسته از بات‌های آینده که بیشتر و بیشتر شبیه کاربران معمولی رفتار خواهند کرد را مستلزم استفاده از روش‌های شناسایی جدید می‌دانند. آنها می‌گویند: «درک کامل خطرات امنیتی احتمالی ناشی از فعالیت یک بات نت بزرگ و مخفی برای محیط توییتر و تحقیقات به طور عام، به تحقیقات بیشتری نیاز دارد.»