Первый ход
Разведывательный ботнет, в отличие от коммерческого (спам, DoS-атаки, хищения в ДБО), должен оставаться необнаруженным долгое время. Должен и может. Ведь антивирусы пользуются в основном сигнатурным методом и очень слабы в эвристических и статистических методах. Поэтому пока нет сигнатуры, компьютерная зараза может безнаказанно резвиться месяцами. А сигнатуры не будет, пока образец не попадёт в руки антивирусным аналитикам. А он не попадёт, пока ботнет не проявит себя.
Вирус всегда ходит первым.
Коммерческие ботнеты проявляются сразу. Военные (если таковые существуют) - спят до момента "Ч". А разведывательные действуют очень осторожно, не пытаются заразить всех подряд, расходуют захваченный ресурс крайне экономно, могут вообще покинуть зараженный компьютер, если он принадлежит простому пользователю.
У владельца разведывательного ботнета есть время и возможности на подготовку ряда полезных трюков. Например, когда становится известна уязвимость, через которую он распространялся, её выводят из употребления, заменяя новой, подготовленной заранее. Собрав информацию с интересующих нас объектов (скажем, провайдеров России) можно вывести оттуда своих киберагентов и ввести их на объекты, которые нам не интересны (к примеру, органы госуправления США), после чего сдать ботнет. Ведь в должный срок он всё равно выработает свой ресурс, морально устареет, станет обречён на детектирование. К чему задаром пропадать? Отработанный шпионский троян можно с выгодой продать общественному мнению как вражеский. А если ненавязчиво вставить в код парочку слов типа "Matryoshka" или "Balalaika", то публике сразу станет ясно, кто тут главный злохакер.
Момент обнаружения разведывательного ботнета выбирает его хозяин. Когда захочет, тогда и подкинет "независимым" антивирусникам наводящие данные. А дальше те уже сами всё что надо раскопают. Код разберут. Текущий ареал распространения проанализируют. И доложат мировой общественности. Вот вам и казус белли. Или бюджетные ассигнования.
Вирус всегда ходит первым.
Коммерческие ботнеты проявляются сразу. Военные (если таковые существуют) - спят до момента "Ч". А разведывательные действуют очень осторожно, не пытаются заразить всех подряд, расходуют захваченный ресурс крайне экономно, могут вообще покинуть зараженный компьютер, если он принадлежит простому пользователю.
У владельца разведывательного ботнета есть время и возможности на подготовку ряда полезных трюков. Например, когда становится известна уязвимость, через которую он распространялся, её выводят из употребления, заменяя новой, подготовленной заранее. Собрав информацию с интересующих нас объектов (скажем, провайдеров России) можно вывести оттуда своих киберагентов и ввести их на объекты, которые нам не интересны (к примеру, органы госуправления США), после чего сдать ботнет. Ведь в должный срок он всё равно выработает свой ресурс, морально устареет, станет обречён на детектирование. К чему задаром пропадать? Отработанный шпионский троян можно с выгодой продать общественному мнению как вражеский. А если ненавязчиво вставить в код парочку слов типа "Matryoshka" или "Balalaika", то публике сразу станет ясно, кто тут главный злохакер.
Момент обнаружения разведывательного ботнета выбирает его хозяин. Когда захочет, тогда и подкинет "независимым" антивирусникам наводящие данные. А дальше те уже сами всё что надо раскопают. Код разберут. Текущий ареал распространения проанализируют. И доложат мировой общественности. Вот вам и казус белли. Или бюджетные ассигнования.