В промежутке между обнаружением и сообщением о проблеме ее эксплуатируют связанные с правительством APT-группы.
Утечки эксплоитов ЦРУ и АНБ США являются свидетельством того, что американские власти не сообщают производителям об уязвимостях в их продуктах с целью в дальнейшем использовать их в атаках. Без сомнения, правительства других государств поступают точно так же, однако информация об этом широкой общественности не раскрывается.
В четверг, 16 ноября, компания Recorded Future опубликовала исследование, согласно которому Китай, если и не занимается сбором, то, по крайней мере, оттягивает раскрытие критических уязвимостей. В промежутке между обнаружением и сообщением о проблеме ее эксплуатируют APT-группы, предположительно связанные с китайским правительством.
Вышеупомянутое исследование является продолжением более раннего исследования, демонстрирующего, что национальная база уязвимостей КНР (находится в ведении Министерства госбезопасности Китая) пополняется гораздо быстрее, чем ее американский эквивалент. Тем не менее, в некоторых случаях уязвимости попадают в нее позже. Как раз эти случаи и заинтересовали специалистов Recorded Future, и в ходе своего исследования они пришли к неожиданным выводам.
В частности эксперты обратили внимание на три уязвимости, попавшие в китайскую базу позже, чем в американскую. Первая из них – CVE-2017-0199, использовавшаяся в атаках WannaCry и NotPetya. В американской базе она появилась 12 апреля 2017 года, а в китайской – на 50 дней позже (7 июня). По данным компании Proofpoint, в этот промежуток времени проблема эксплуатировалась китайской хакерской группой TA459 для атак на предприятия аэрокосмической промышленности России и Республики Беларусь. Министерство госбезопасности КНР могло намеренно отложить внесение уязвимости в национальную базу, чтобы использовать ее в своих операциях или дать возможность другим организациям эксплуатировать ее в интересах китайского правительства, считают в Recorded Future.
Еще две уязвимости – CVE-2016-10136 и CVE-2016-10138, затрагивающие ПО для Android-устройств, разработанное китайской компанией Shanghai Adups Technology. Как сообщили в ноябре прошлого года исследователи Kryptowire, уязвимости были равнозначны бэкдору, похищающему и передающему на сервер в Китае текстовые сообщения, списки контактов, журналы звонков, и другие данные с некоторых моделей Android-устройств. В американскую базу они были добавлены спустя два месяца после публичного раскрытия, а в китайскую – еще через восемь.
В общей сложности исследователи проанализировали 300 случаев несвоевременного добавления уязвимостей в китайскую национальную базу. По их словам, они зафиксировали целый ряд примеров, когда уязвимости добавлялись вразрез со стандартной статистикой, и в некоторых случаях к оттягиванию добавления уязвимостей имело отношение Министерство госбезопасности КНР.
Гравитация научных фактов сильнее, чем вы думаете