Кто, зачем и как занимается распространением инструментов, способных стереть с лица Земли целые государства.
Вы когда-нибудь задумывались, каково это — быть хакером? В различных фильмах и сериалах мы часто видим, как человек в капюшоне бьёт по клавиатуре, в результате чего на экране появляется множество цифр и символов, приводящих ко взлому защищённой сети. Однако в реальном мире всё устроено несколько иначе.
На самом деле, требуется очень много времени и усилий, чтобы обойти различные протоколы безопасности и произвести успешный взлом, особенно если рассматривать крупные организации с серьёзным уровнем защиты.
Однако, и на такие случаи у хакеров в рукаве припрятан секрет, позволяющий им не тратить месяцы на поиск уязвимого места в корпоративных системах. Этот секрет — возможность приобрести готовый эксплойт для использования той или иной уязвимости нулевого дня, а также информацию, в системах каких компаний данный эксплойт можно успешно применить.
В этой статье мы поговорим о так называемом «рынке нулевого дня», где за баснословные суммы хакеры высшей лиги обмениваются между собой такими инструментами и данными, которые способны значительно упростить и ускорить процесс взлома сетей той или иной компании.
Уязвимости нулевого дня — это те уязвимости, которые присутствуют в определённых программных продуктах или системах и ещё не были исправлены поставщиком этих продуктов или систем по причине неосведомлённости или банальной нехватки времени, так как об уязвимости стало известно совсем недавно.
Как бы то ни было, даже промежуток в несколько дней, когда открытая уязвимость используется злоумышленниками, может позволить им успеть осуществить всё то, что они задумали, приведя к катастрофическим последствиям для корпоративного сектора или критической инфраструктуры.
На поиск действительно полезной уязвимости нулевого дня, позволяющей успешно проэксплуатировать её без колоссальных временных затрат, у профессиональных хакеров могут уходить месяцы и даже годы, именно поэтому они так ценятся на тёмном рынке. Недавно мы как раз писали о продаже эксплойта к подобной уязвимости на хакерском форуме Breached за 1,7 миллиона долларов США.
Долгое время различные технические энтузиасты действительно были слабо заинтересованы в том, чтобы искать ошибки из финансовых побуждений. Вначале, когда они находили эксплойты нулевого дня, они обращались к разработчикам ПО, в котором была найдена ошибка, чтобы те просто исправили её. И едва ли за это полагалась какая-то награда — хоть бы ответный иск не выставили за взлом.
Однако со временем отношение к кибербезопасности претерпело значительные метаморфозы, и последняя стала гораздо важнее как для компаний, так и для самих взломщиков. Сейчас, например, за добросовестное раскрытие уязвимостей корпорации отстёгивают белым хакерам значительные суммы.
Понимая всю важность и ценность подобных цифровых ресурсов, злонамеренные хакеры с корыстными побуждениями со временем сформировали тёмный рынок, который быстро разросся до невероятных масштабов.
Затем появились посредники, брокеры нулевого дня и прочие персонажи, которые специализируются на снабжении киберпреступников необходимой информацией и инструментами за щедрую плату, и даже берут на себя ответственность за работоспособность того или иного вида взлома. Они тщательно всё проверяют и ручаются за эффективность тех программных решений, которые продают.
Согласно статистике компании Zerodium, специализирующейся как на самостоятельном поиске, так и на покупке Zero-day уязвимостей у исследователей и хакеров, качественная уязвимость, позволяющая, например, обойти пароль или PIN-код смартфона, в настоящее время стоит в районе 100 000 долларов. В то же время, аналогичная ошибка, позволяющая получить доступ к чат-приложениям, веб-браузеру или электронной почте, оценивается уже суммой до 500 000 долларов.
Zero-day баги, дающие доступ к чьему-либо мобильному гаджету без какого-либо взаимодействия со стороны пользователя, могут стоить от 2 до 2,5 миллионов долларов. Такие астрономические суммы объясняются потенциальными последствиями от успешной эксплуатации уязвимости. Если она может затронуть буквально каждого владельца новенького iPhone, масштаб эксплуатации даже страшно себе вообразить.
Покупателями информации о подобных уязвимостях нередко становятся правительства тех или иных стран, которым выгодно иметь возможность беспрепятственно взламывать смартфоны особо опасных преступников и прочих лиц, угрожающих национальной безопасности, не выпрашивая при этом содействие следствию у таких компаний, как Apple и Google. Последние, кстати, даже при всём желании, далеко не всегда смогут помочь полиции, так как тоже могут не иметь необходимого уровня доступа к гаджетам потребителей.
«Некоторые нулевые дни безвредны. Вы обнаруживаете ошибку в коде, но она может быть найдена в той системе, которая используется не очень широко, или же вовсе лишь какой-то узкоспециализированной аудиторией. Такие системы малоинтересны хакерам, поэтому они обычно не тратят на них своё время», — объясняет журналист New York Time Николь Перлорт. «Системы, на которые хакеры и власти сейчас по-настоящему фокусируют своё внимание — это iOS, Android, а также критически важная инфраструктура».
Так, стоимость хакерских кампаний, подобных недавней громкой операции «Триангуляция», проведённой, как полагается, американскими спецслужбами, и эксплуатирующей сразу 4 уязвимости нулевого дня в iPhone, до сих пор неизвестна. Наверняка она обошлась США в астрономическую сумму, если только все эти уязвимости не были обнаружены штатными сотрудники местных ведомств.
В качестве примера баснословного ценника за эксплойт можно выделить брокера под названием Operation Zero, который в сентябре 2023 года предложил 20 миллионов долларов за действительную цепочку атак. Таким образом, та же операция «Триангуляция» могла обойтись иностранным спецслужбам не менее 20 миллионов долларов, если эксплойты для атак покупались у простых хакеров.
Подобные «нулевые дни», купленные по аналогичной цене, могут без труда предоставить заинтересованным лицам доступ к настольным компьютерам, промышленным контроллерам и сетям, поддерживающим инфраструктуру заводов, военных баз или целых городов.
Вредонос Stuxnet был одним из самых продвинутых примеров злонамеренного ПО, который, эксплуатируя сразу череду «нулевых дней», был использован в 2010 году для проникновения на иранский ядерный объект и последующего нарушения его функциональности.
Вирус NotPetya также привёл к одной из самых разрушительных кибератак, когда-либо зарегистрированных в цифровом пространстве, используя одну единственную уязвимость нулевого дня, чтобы за несколько дней парализовать целую страну и нанести ущерб на миллиарды долларов международным компаниям.
Таким образом, критические Zero-daу уязвимости вполне уместно сравнить с оружием массового поражения или же материалом, из которого такое оружие можно создать.
Как правило, именно у мировых правительств достаточно средств, чтобы покупать подобные коллекции «нулевых дней», а также достаточно персонала, чтобы их использовать. При правильном наборе таких уязвимостей любое государство, по сути, может легко развязать кибервойну против конкурирующих правительств и даже своих собственных граждан.
Zero-day рынок — это обширная многоуровневая структура с огромных числом действующих лиц, преследующих свои интересы. Несмотря на то, что крупные компании делают всё возможное, чтобы минимизировать злонамеренное использование подобных уязвимостей, предлагая исследователям щедрые вознаграждения за обнаруженные ошибки, часть из них всё равно попадает на чёрный рынок и выкупается крупными игроками за баснословные суммы.
В этой грязной игре часто замешаны мировые правительства, активно инвестирующие в этот бизнес и скрывающие данные от общественности. Они платят хакерам за молчание и используют уязвимости нулевого дня для шпионажа и ведения кибервойн.
Неконтролируемое распространение и использование таких уязвимостей может привести к катастрофическим последствиям, начиная от утечки конфиденциальных данных и заканчивая нарушением работы критически важной инфраструктуры целых государств.
Для борьбы с этой угрозой необходимо усилить международное сотрудничество в сфере кибербезопасности, ввести более жёсткие наказания для торговцев уязвимостями нулевого дня и, вероятно, ещё больше стимулировать белых хакеров сообщать об обнаруженных уязвимостях напрямую разработчикам ПО.
Лишь комплексный подход, объединяющий усилия государств, крупных компаний и исследователей безопасности, позволит установить прочный заслон, мешающий распространению уязвимостей нулевого дня, а также минимизировать риски, связанные с их злонамеренным использованием.
Ладно, не доказали. Но мы работаем над этим