Fronton, ein Distributed Denial-of-Service (DDoS)-Botnetz, das im März 2020 bekannt wurde, ist nach neuesten Erkenntnissen viel leistungsfähiger als bisher angenommen.
„Fronton ist ein System, das für koordiniertes inauthentisches Verhalten im großen Stil entwickelt wurde“, so der Bedrohungsforschungsdienst Nisos in einem letzte Woche veröffentlichten Bericht.
„Dieses System umfasst ein webbasiertes Dashboard namens SANA, das es dem Benutzer ermöglicht, massenhaft Trending Social Media Events zu formulieren und zu verbreiten. Das System erstellt diese Ereignisse, die es als Инфоповоды, ‚Newsbreaks‘, bezeichnet, und nutzt das Botnetz als geografisch verteilten Transport.“
Die Existenz von Fronton, einem IoT-Botnetz, wurde im März 2020 durch Enthüllungen von BBC Russia und ZDNet bekannt, nachdem eine russische Hackergruppe namens Digital Revolution Dokumente veröffentlicht hatte, die sie nach einem Einbruch in einen Unterauftragnehmer des FSB, des Föderalen Sicherheitsdienstes der Russischen Föderation, erhalten haben will.
Weitere Ermittlungen führten das Analysesystem zu einem in Moskau ansässigen Unternehmen namens Zeroday Technologies (auch bekannt als 0Dt), das mit einem russischen Hacker namens Pavel Sitnikov in Verbindung steht, der im März 2021 wegen der Verbreitung von Schadsoftware über seinen Telegram-Kanal verhaftet wurde.
Fronton fungiert als Backend-Infrastruktur der Social-Media-Desinformationsplattform und bietet eine Armee kompromittierter IoT-Geräte für die Durchführung von DDoS-Angriffen und Informationskampagnen, indem sie über VPNs oder das Tor-Anonymitätsnetzwerk mit einer Front-End-Serverinfrastruktur kommuniziert.
SANA hingegen wurde entwickelt, um gefälschte Social-Media-Persona-Accounts zu erstellen und Newsbreaks zu produzieren, die sich auf Ereignisse beziehen, die ein „Informationsrauschen“ erzeugen, mit dem Ziel, den Online-Diskurs mit Hilfe eines Antwortmodells zu beeinflussen, das es den Bots ermöglicht, auf die Nachrichten „positiv, negativ oder neutral“ zu reagieren.
Darüber hinaus ermöglicht die Plattform den Betreibern, die Anzahl der Likes, Kommentare und Reaktionen zu kontrollieren, die ein Bot-Account erstellen kann, und eine numerische Spanne für die Anzahl der Freunde festzulegen, die solche Accounts behalten sollen. Außerdem gibt es eine Funktion „Alben“, um Bilder für die Bot-Konten zu speichern.
Es ist nicht sofort klar, ob das Tool jemals bei realen Angriffen eingesetzt wurde, sei es durch den FSB oder anderweitig.
Die Erkenntnisse kommen zu einem Zeitpunkt, zu dem Meta Platforms nach eigenen Angaben Schritte gegen verdeckte feindliche Netzwerke aus Aserbaidschan und dem Iran auf seiner Plattform unternommen hat, indem es die Konten stillgelegt und die Freigabe ihrer Domains blockiert hat.
Das Cybersicherheitsunternehmen Mandiant hat in einem unabhängigen Bericht, der letzte Woche veröffentlicht wurde, aufgedeckt, dass Akteure, die mit Nationalstaaten wie Russland, Weißrussland, China und dem Iran verbündet sind, nach dem russischen Einmarsch in der Ukraine „konzertierte Informationsoperationen“ durchgeführt haben.
„Russland zugerechnete Operationen, einschließlich solcher, die russischen, weißrussischen und pro-russischen Akteuren zugeschrieben werden, haben bisher das breiteste Spektrum an Taktiken, Techniken und Verfahren (TTPs) eingesetzt, um taktische und strategische Ziele zu unterstützen, die direkt mit dem Konflikt selbst verbunden sind“, so Mandiant.
„Pro-PRC- und pro-iranische Kampagnen haben die russische Invasion opportunistisch genutzt, um lang gehegte strategische Ziele voranzutreiben.