Инфраструктура вирусной индустрии


Продолжим использование нашей аналогии с компьютерными вирусами. Как работает индустрия по созданию и распространению компьютерных вирусов? Крайне упрощённо можно представить это дело так:

Есть детальное разделение труда вирусной индустрии (но бывают и интегрированные производственные цепочки). Распространители, аналитики, создатели, погонщики ботнетов, монетизаторы. 


Жизненный цикл вируса проходит по этой цепочке разделения труда:


Анализ и выбор аудитории. Выбор тех, на кого направлен вирус. Подбор приёмов, драматургии, сценарных ходов. Например, письмо с вирусом в архиве, с темой и текстом:

«Исковое заявление (копия).

В приложении копия искового заявления в суд, где ответчиком по которому является ваша организация»… направлено на генеральных исполнительных директоров, юристов компании, на крайний случай пиарщиков, а программиста или дизайнера, например, оно скорее всего не «зацепит». Шум про замораживание пенсионных отчислений тоже зацепит далеко не всех, как и ярость борьбы с цензурой в Интернете со стороны Роскомнадзора.


Генерация и проверка. У создателей обычных компьютерных вирусов есть специальное ПО (SDK), генерирующее вирусы (да-да, большинство вирусов сейчас никто не пишет — они генерируются автоматически, а секретными суперхакерами пишутся технологические новинки и сами генераторы). Создатели вирусов выбирают (чуть ли не мышкой) нужные свойства будущего вируса, нажатием кнопки автоматически генерируют вирус, проверяют его на сервере, на который установлены 20-30 самых популярных антивирусов (со свежими апдейтами), если его задетектировали, то генерируют следующий. Если вирус защиту пробивает — обращаются с ним к распространителям для доставки и вброса.


Вброс (посев) производится с помощью рассылок (почтовый спам, инсталляция с другими приложениями, прочее) и встроенной в вирус социотехники (крючков, «цепляющих» пользователя и позволяющих захватить его машину). Через полдня (условно говоря) ведущие антивирусы уже обнаружили, раздали апдейты баз, детектируют и убивают запущенный вирус, но он уже успел захватить и превратить в зомби десяток тысяч компьютеров, на которых антивирусов нет и не будет.


Эксплуатация. Дальше можно управлять и монетизировать — полученный ботнет с инфраструктурой управления передаётся тем, кто умеет его монетизировать (красть пароли, ПИН-коды, номера кредиток, выполнять DDoS-атаки или распространять спам и вирусы).

Таким образом сейчас генерируется и вбрасывается 20-30 тысяч вирусов в день, три-четыре миллиона в год, всего известно уже свыше 100 миллионов вирусов и троянов. А работающие, свежие антивирусы стоят максимум на 20-30% машин в мире. Лохов, питательной среды, планктона для жизни вирусов — достаточно.

Но такие вирусы — это индустрия коммерческая, бизнес.


Особняком стоят спецслужбы, разрабатывающие очень сложные и дорогие вирусы наподобие «Стухнет», Flame, Duqu (по оценке Лаборатории Касперского, разработка может стоить до 100 миллионов долларов, то есть таких денег, которых нет ни у одной частной хакерской группы), трояны, закладки для своих тайных дел (красть информацию, ломать инфраструктуру, следить за фрау Меркель, сжигать иранские центрифуги).

В индустрии ментальных вирусов тоже есть свой частный сектор (мода, рекламщики, табачники, сектанты, мошенники, пиарщики, бизнес-тренеры и продавцы средств от похудения) и боевой, государственный сектор. Частные вирусы обычно служат для втюхивания, они заметны, часто примитивны, часто раздражают. У них есть классические места размещения: реклама, спам. Мы к ним уже привыкли, хоть ничего хорошего в этом нет. Это что-то вроде обычной бактериальной флоры — частью привычной, а частью даже полезной.

Есть, конечно, и генераторы ментальных вирусов для частного применения — всем известные форматы демотиваторов, комиксы с подставляемыми репликами, ролик про истерику Гитлера в ставке, сайты анекдотов и приколов, и т.п. Но наиболее изощрён, опасен и наименее заметен государственный слой боевых вирусов, слой информационной войны. Там есть мощная инфраструктура, полная производственная цепочка: аналитики, креативщики, психологи, генераторы вирусов, средства распространения, поддержки, средства вывода в офлайн.

Мы с вами много раз читали про государственные генераторы вирусов, просто не отдавали себе отчёта, что это именно генераторы: например, это полный американский «набор революционера», применённый в Сербии, Грузии, на Украине-2004, в Арабской весне, Сирии. Это набор листовок, текстов, инструкций, логотипов (помните криво нарисованный поднятый сжатый кулак, который не меняется десятки лет?), инструкции по изготовлению коктейлей Молотова, 198 добрых советов Джина Шарпа, одинаковые ролики про солдат «спасибо, что вернулись» для США, Грузии и Украины и т.п.

Только переводи инструкции на сербский, грузинский, арабский, украинский, меняй цвет революции с синего на оранжевый, заменяй выкрик «Так!» на приемлемый в данной стране, шарфики на ленты и повязки, а логотипы, пункты инструкций и картинки можно оставить те же самые — потому что ху кеарс.

Сетями распространения служат, конечно, в первую очередь квазиобъективные, квазисвободные СМИ, а местами первичного вброса, посева — социальные сети, блоги, новостные тизерные сети (те самые ШОК, ФОТО). Первичный вброс отмывается как «новость» в СМИ («в Интернете пишут, что»), и потом, отмытый, он возвращается в соцсети уже как объективная истина — «в газете же написали», потом снова возвращается в СМИ как «в сети пишут, что» и так далее.

Конечно, идеальный вирус со 100% заразностью можно было бы вбросить в одной точке, а дальше уж он сам распространится. Но для большинства вирусов важна первичная плотность посева — она должна быть выше некоторого порога для того, чтобы эпидемия взлетела. Кроме того, одну точку вброса легче потом отследить, вычислить провокатора. Поэтому обычно вбрасывают сразу во много мест, стараются посеять как можно шире и быстрее.

В социальных сетях машины распространения состоят не только из ботов и виртуальных личностей, но и из десятков тысяч людей, объединённых в концентрические круги, мощные социальные усилители сигнала. Например, проанализированная нами во время выборов мэра Москвы в сентябре 2013 «Банда Навального» состояла (на то время) из Ядра (110-120 человек), Стаи (400 человек), Тусовки (3-4 тысячи), Стада (40-50 тысяч). На каждом слое были свой социологический состав, своя плотность связей и скорость «репоста».

Эта распространяющая и усиливающая структура (как видим, на каждом слое — усиление сигнала на порядок), которую строили и пестовали несколько лет, служит одной цели: мгновенному распространению вбросов идеологических вирусов из центра структуры на периферию. Любой вброс очередного мозгового вируса позволяет его одномоментно доставить в Твиттер, ФБ, ВК нескольким сотням тысяч пользователей, состоящих в друзьях у Тусовки и Стада.

Есть и другие структуры посева и усиления: кто-то владеет сетью ботов в Твиттере, кто-то ведёт тысячи виртуальных аккаунтов в блогах и делает вбросы через них, у кого-то ботнеты, рассылающие спам и т.п. А дальше сообщение вируса бесчисленным эхом внезапно начинает наползать со всех сторон на неподготовленного читателя.


Процент конверсии

Понятно, что не все вброшенные ментальные вирусы «взлетают». На самом деле подавляющее большинство из них никогда не получает широкого распространения, не «цепляет». Видимо, это процесс принципиально непредсказуемый, как с кассовыми сборами голливудских фильмов, каждый из которых вроде бы делают высокие профессионалы. Нужна удача, момент, стечение обстоятельств, креатив и т.п.

Не все читатели могли заметить в начале 90-х посев понятия «новый русский» — одного из многочисленных ментальных вирусов перестройки в СССР, но все встречались с его последствиями — анекдотами про НР. Первый вброс, статья о том, что вот есть старые русские — всякие лентяи, иждивенцы, пьяницы, коммунисты, старики, мракобесные бабки, а есть прикольные «новые русские» — энергичные, молодые, богатые и предприимчивые — появилась, насколько я помню, 8 сентября 1992 года в «КоммерсантЪ-Daily». Тут же тему дружно поддержали журнал «Огонёк» и другая либеральная пресса. Было видно, что понятие вводится всерьёз, целенаправленно, профессионально.

Но народ его не принял, отрыгнул этот вирус очень быстро: уже в декабре 1992 года появился первый анекдот про нового русского, а в 1993 они пошли просто косяком. Вирус — не взлетел, несмотря на усилия либеральных журналистов, а точнее, быстро мутировал в другой, полезный «народный вирус», став темой бесконечных анекдотов про Вована и Коляна в малиновых пиджаках на 600-х мерсах.

Именно из-за невысокого процента удачных вирусов мы видим ежедневно мощный поток фейков, вбросов, «новостей», которые опровергаются через пару часов или пару дней — это идёт постоянный посев вирусов-кандидатов. Делаются они, видимо, далеко не всегда супер-профессионалами, много тут и частной активности, непрофессиональной работы с помощью простых генераторов вирусов. Важен процент конверсии, средний уровень заражения.

Конечно, наиболее эффективны не чисто виртуальные, а гибридные вирусы, соединяющие офлайновые и онлайновые элементы: медийная кампания, плюс реальное событие (кампания в соцсетях по сбору на митинг, сбитый Боинг и немедленная массовая поддержка американской версии в западных СМИ, теракт и т.п.). Дело тут в том, что про реальное событие, бьющее по нервам, гарантированно узнают практически все, СМИ об этом позаботятся. А уж медийно обработать его, повернуть, подать — уже проще.

Удачный мозговой вирус часто цепляет миллионы людей. И дальше его можно«монетизировать». А в качестве средств «монетизации», применяемых далее к заражённым индивидам, в индустрии информационной войны используются средства для вывода активности заражённых реципиентов в офлайн и получения политического результата. Митинги, акции, флешмобы, выборы, беспорядки, майданы, война.


1
× Пришло новое сообщение