Вирус всегда ходит первым. |
Коммерческие ботнеты проявляются сразу. Военные (если таковые существуют) – спят до момента "Ч". А разведывательные действуют очень осторожно, не пытаются заразить всех подряд, расходуют захваченный ресурс крайне экономно, могут вообще покинуть зараженный компьютер, если он принадлежит простому пользователю.
У владельца разведывательного ботнета есть время и возможности на подготовку ряда полезных трюков. Например, когда становится известна уязвимость, через которую он распространялся, её выводят из употребления, заменяя новой, подготовленной заранее. Собрав информацию с интересующих нас объектов (скажем, провайдеров России) можно вывести оттуда своих киберагентов и ввести их на объекты, которые нам не интересны (к примеру, органы госуправления США), после чего сдать ботнет. Ведь в должный срок он всё равно выработает свой ресурс, морально устареет, станет обречён на детектирование. К чему задаром пропадать? Отработанный шпионский троян можно с выгодой продатьобщественному мнению как вражеский. А если ненавязчиво вставить в код парочку слов типа "Matryoshka"или "Balalaika", то публике сразу станет ясно, кто тут главный злохакер.
Момент обнаружения разведывательного ботнета выбирает его хозяин.Когда захочет, тогда и подкинет "независимым" антивирусникам наводящие данные. А дальше те уже сами всё что надо раскопают. Код разберут. Текущий ареал распространения проанализируют. И доложат мировой общественности. Вот вам и казус белли. Или бюджетные ассигнования.