3 Февраля, 2013

Первый ход

InfoWatch
Разведывательный ботнет, в отличие от коммерческого (спам, DoS-атаки, хищения в ДБО), должен оставаться необнаруженным долгое время. Должен и может. Ведь антивирусы пользуются в основном сигнатурным методом и очень слабы в эвристических и статистических методах. Поэтому пока нет сигнатуры, компьютерная зараза может безнаказанно резвиться месяцами. А сигнатуры не будет, пока образец не попадёт в руки антивирусным аналитикам. А он не попадёт, пока ботнет не проявит себя.
Вирус всегда ходит первым
Вирус всегда ходит первым.

Коммерческие ботнеты проявляются сразу. Военные (если таковые существуют) – спят до момента "Ч". А разведывательные действуют очень осторожно, не пытаются заразить всех подряд, расходуют захваченный ресурс крайне экономно, могут вообще покинуть зараженный компьютер, если он принадлежит простому пользователю.

У владельца разведывательного ботнета есть время и возможности на подготовку ряда полезных трюков. Например, когда становится известна уязвимость, через которую он распространялся, её выводят из употребления, заменяя новой, подготовленной заранее. Собрав информацию с интересующих нас объектов (скажем, провайдеров России) можно вывести оттуда своих киберагентов и ввести их на объекты, которые нам не интересны (к примеру, органы госуправления США), после чего сдать ботнет. Ведь в должный срок он всё равно выработает свой ресурс, морально устареет, станет обречён на детектирование. К чему задаром пропадать? Отработанный шпионский троян можно с выгодой продатьобщественному мнению как вражеский. А если ненавязчиво вставить в код парочку слов типа "Matryoshka"или "Balalaika", то публике сразу станет ясно, кто тут главный злохакер.

Момент обнаружения разведывательного ботнета выбирает его хозяин.Когда захочет, тогда и подкинет "независимым" антивирусникам наводящие данные. А дальше те уже сами всё что надо раскопают. Код разберут. Текущий ареал распространения проанализируют. И доложат мировой общественности. Вот вам и казус белли. Или бюджетные ассигнования.