Выступая перед участниками конференции CCD COE по
боевым действиям в
киберпространстве, аналитик Information Warfare Monitor Нарт Вильнёв
отметил, что несмотря на то, что расследование случая со шпионской сетью
GhostNet заняло десять месяцев, на демонтаж этого ботнета его создателям
потребовался всего лишь день.
Скорость, с которой была разобрана сеть цифрового шпионажа, указывает на то,
что ее администраторы были не просто обычными хулиганами. Направленная на
представительство Далай-ламы и независимые организации Тибета, эта сеть заразила
почти 1300 компьютеров в более чем ста странах. Почти треть из них находилась в
посольствах различных государств, офисах Азиатского банка развития и Ассоциация
государств Юго-Восточной Азии (ASEAN).
Вильнёв подчеркнул, что сразу после того, как средства массовой информации
сообщили о проведении расследования, кибершпионы очень быстро отреагировали. По
его словам, прошло около суток, прежде чем сеть начала сворачиваться. Сначала
организаторы ботнета убрали вредоносные программы со своих серверов, а затем с
правительственных серверов начал исчезать код и все файлы, которые эксперты
использовали для связи с командными серверами ботнета, после этого были убраны
ссылки на доменные имена, а IP-адреса изменены на локальные.
Аналитик подчеркивает, что и спустя три месяца многие вопросы остаются без
ответов, однако доказательство того, что такая киберактивность действительно
имеет место, уже налицо.
