Инфраструктура индустрии информационных вирусов

Продолжим использование аналогии с компьютерными вирусами. Как работает индустрия по созданию и распространению компьютерных вирусов? Крайне упрощённо этот процесс можно представить так:

Есть детальное разделение труда вирусной индустрии (но бывают и интегрированные производственные цепочки). Распространители, аналитики, создатели, владельцы ботнетов, монетизаторы. Жизненный цикл вируса проходит по этой цепочке разделения труда:

Анализ и выбор аудитории. Выбор тех, на кого направлен вирус. Подбор приёмов, драматургии, сценарных ходов. Например, электронное письмо с вложенным вирусом в архиве, с темой и текстом «Исковое заявление (копия). В приложении копия искового заявления в суд, где ответчиком по которому является ваша организация» направлено на генеральных исполнительных директоров, юристов компании, на крайний случай пиарщиков, а программиста или дизайнера, например, оно скорее всего не «зацепит». Шум про замораживание пенсионных отчислений тоже зацепит далеко не всех, как и ярость борьбы с цензурой в Интернете со стороны государства.

Генерация и проверка. У создателей обычных компьютерных вирусов есть специальное ПО (SDK), генерирующее вирусы (да-да, большинство вирусов сейчас никто не пишет – они генерируются автоматически, а суперхакерами пишутся технологические новинки и сами генераторы). Создатели вирусов выбирают (чуть ли не мышкой) нужные свойства будущего вируса, нажатием кнопки автоматически генерируют вирус, проверяют его на сервере, на который установлены 20-30 самых популярных антивирусов (со свежими апдейтами), если его задетектировали – то генерируют следующий. Если вирус защиту пробивает – обращаются с ним к распространителям для доставки и вброса.

Вброс (посев) производится с помощью рассылок (почтовый спам, инсталляция с другими приложениями, прочее) и встроенной в вирус социотехники (крючков, «цепляющих» пользователя и позволяющих захватить его машину).

Через полдня (условно говоря) ведущие антивирусы уже обнаружили, раздали апдейты баз, детектируют и убивают запущенный вирус, но он уже успел захватить и превратить в зомби десяток тысяч компьютеров, на которых антивирусов нет и не будет.

Эксплуатация. Дальше можно управлять и монетизировать – полученный ботнет с инфраструктурой управления передаётся тем, кто умеет его монетизировать (красть пароли, ПИН-коды, номера кредиток, выполнять DDoS-атаки или распространять спам и вирусы).

Таким образом сейчас генерируется и вбрасывается 20-30 тысяч вирусов в день, три-четыре миллиона в год, всего известно уже свыше 100 миллионов вирусов и троянов. А работающие, свежие антивирусы стоят максимум на 20-30% машин в мире. Питательной среды для жизни вирусов – достаточно.

Но такие вирусы — это индустрия коммерческая, бизнес. Особняком стоят спецслужбы, разрабатывающие очень сложные и дорогие вирусы наподобие «Стухнет», Flame, Duqu (по оценке Лаборатории Касперского, разработка может стоить до 100 миллионов долларов, то есть таких денег, которых нет ни у одной частной хакерской группы), трояны, закладки для своих тайных дел (красть информацию, ломать инфраструктуру, следить за персонами, перехватывать управление объектами противника).

В индустрии информационных вирусов тоже есть свой частный сектор (мода, рекламщики, табачники, сектанты, мошенники, пиарщики, бизнес-тренеры и продавцы средств от похудения) и боевой, государственный сектор.

Частные вирусы обычно служат для втюхивания, они заметны, часто примитивны, часто раздражают. У них есть классические места размещения: реклама, спам. Это что-то вроде обычной бактериальной флоры – частью привычной, а иногда частью даже полезной.

Существуют также генераторы ментальных вирусов для частного применения – всем известные форматы демотиваторов, комиксы с подставляемыми репликами, ролики (фильмы) с несуществующими историческими фактами, сайты анекдотов и шуток и т.п.

Но наиболее изощрён, опасен и наименее заметен государственный слой боевых вирусов, слой информационной войны. Там есть мощная инфраструктура, полная производственная цепочка: аналитики, креативщики, психологи, генераторы вирусов, средства распространения, поддержки, средства вывода в офлайн.

Сетями распространения служат, конечно, в первую очередь квазиобъективные, квазисвободные СМИ, а местами первичного вброса, посева – социальные сети, блоги, новостные тизерные сети (те самые ШОК, ФОТО). Первичный вброс отмывается как «новость» в СМИ («в Интернете пишут, что»), и потом, отмытый, он возвращается в соцсети уже как объективная истина – «в газете же написали», потом снова возвращается в СМИ как «в сети пишут, что» и так далее.

Конечно, идеальный вирус со 100% заразностью можно было бы вбросить в одной точке, а дальше уж он сам распространится. Но для большинства вирусов важнапервичная плотность посева– она должна быть выше некоторого порога для того, чтобы эпидемия взлетела. Кроме того, одну точку вброса легче потом отследить, вычислить провокатора.

Поэтому обычно вбрасывают сразу во много мест, стараются посеять как можно шире и быстрее.

В социальных сетях машины распространения состоят не только из ботов и виртуальных личностей, но и из десятков тысяч людей, объединённых в концентрические круги, мощные социальные усилители сигнала.

Например, во время выборов группа состоит из Ядра (110-120 человек), Стаи (400 человек), Тусовки (3-4 тысячи), Стада (40-50 тысяч). На каждом слое были свой социологический состав, своя плотность связей и скорость «репоста». Естественно, что число людей в группах может меняться, в зависимости от важности решаемой задачи.

Эта распространяющая и усиливающая структура (как видим, на каждом слое – усиление сигнала на порядок), которую строили и пестовали несколько лет, служит одной цели: мгновенному распространению вбросов идеологических вирусов из центра структуры на периферию. Любой вброс очередного информационного вируса позволяет его одномоментно доставить в Твиттер, ФБ, ВК нескольким сотням тысяч пользователей, состоящих в друзьях у Тусовки и Стада.

Есть и другие структуры посева и усиления: кто-то владеет сетью ботов в Твиттере, кто-то ведёт тысячи виртуальных аккаунтов в блогах и делает вбросы через них, у кого-то ботнеты, рассылающие спам и т.п.

А дальше сообщение вируса бесчисленным эхом внезапно начинает наползать со всех сторон на неподготовленного читателя.