Десятки и сотни тысяч, а также миллионы долларов стоят некоторые уязвимости, которые относятся к категории 0-day (уязвимости нулевого дня). Специалисты «Лаборатории Касперского» составили топ самых дорогих брешей в безопасности ПО, которые когда-либо обнаруживали. Эксперты по информационной безопасности рассказали, что в них такого особенного, из-за чего за 0-day охотятся не только хакеры, но и спецслужбы разных стран.
Уязвимость 0-day (или Zero Day) на русский язык можно перевести как «уязвимость нулевого дня». Так зловеще называют проблемы в программном обеспечении, о которых уже знают хакеры, но еще не знают разработчики этого самого ПО.
Цифра «ноль» в названии означает количество дней, которое есть у разработчиков на исправление уязвимости до того, как она может быть использована.
Существуют два огромных рынка таких уязвимостей — даркнет и платформы баг-баунти. Так называют онлайн-площадки, на которых крупные компании размещают заказы на поиск в своих программных продуктах и инфраструктуре критических уязвимостей. В даркнете такой товар продаётся одними преступниками другим жуликам, аферистам или, что тоже может быть, террористам. Правда, в роли покупателей иногда выступают спецслужбы, которых такой товар интересует для шпионажа. На платформах же баг-баунти «белым хакерам» (честным пен-тестерами «из народа») выплачивается вознаграждение компаниями, которые не хотят, чтобы брешь в ПО использовалась против них. В обоих случаях 0-day стоят огромных денег.
Один из экспертов «Kaspersky GReAT» (Глобального центра исследований и анализа угроз «Лаборатории Касперского») Борис Ларин в качестве примера самых больших выплат за 0-day привел случай от 2022 года, когда создатели криптовалюты «Wormhole» заплатили 10 миллионов долларов исследователю под ником «satya0x» за обнаружение критической уязвимости в коде самого криптоактива.
Как прокомментировал Ларин, эксплуатация этой уязвимости потенциально могла привести к блокировке средств пользователей.
Второе место — за обнаружение похожей уязвимости в другой блокчейн-системе, на которой была создана криптовалюта «Aurora», «белому» хакеру pwning.eth заплатили шесть миллионов долларов.
Третье место гонораров у компании Google, которая перечислила 605 тысяч долларов исследователю gzobqq. Этот человек в 2023 году обнаружил группу сразу из пяти уязвимостей в операционной системе Android. Никогда Google не платила такие суммы экспертам по кибербезопасности за подобные находки. Компания не раскрыла подробности о сути проблем, но позднее стало известно, что они из-за ошибки работы памяти позволяли злоумышленникам повышать свои привилегии в Android и получать почти неограниченный контроль над системой.
По словам Ларина, если бы хакеры добрались до упомянутых уязвимостей нулевого дня раньше gzobqq, могли бы пострадать многие пользователи Android.
На четвертом месте — уязвимость «HamsterWheel», которую специалисты по информационной безопасности из компании «GertiK» нашла в блокчейне криптовалюты «Sui». За ее обнаружение криптобиржа Coinbase выплатила $500 тыс. Произошло это летом 2024 года. Этот гонорар стал самым крупным в истории «HackerOne» (самая известная платформа баг-баунти). «HamsterWheel» (синонимом данной идиомы в русском языке является фраза «как белка в колесе») получила свое название за то, что позволяла вызывать в работе блокчейна «Sui» зацикленные процессы, что делало криптовалюту полностью неликвидной.
«Более того, данная уязвимость, скорее всего, позволила бы злоумышленникам украсть деньги напрямую у этого криптопроекта», — рассказал Ларин.
Самой рекордной суммой за 0-day уязвимость считаются 15 миллионов долларов, которые были озвучены за обнаружение уязвимости в популярнейшем в IT-отрасли сервисе управления проектами «Jira». На одном из даркнет-форумов в 2024 году эту сумму запросил хакер Intel Broker. Сумма не вошла в основной топ–лист гонораров, поскольку нет никакой информации о том, была ли она продана и за сколько — этот гонорар является лишь предложением продавца.
Гонорары в миллионы или сотни тысяч долларов за продажу или обнаружение 0-day — это, по словам руководителя отдела обнаружения атак экспертного центра безопасности Positive Technologies Алексея Леднева, всё же исключения. Обычно такие бреши в программных продуктах стоят дешевле.
«Согласно предложениям на площадках в даркнете, за последние полтора года самая высокая цена в объявлении 100 тысяч долларов. Несколько дней назад появилось объявление о покупке 0-day в IoT-устройствах с ценой в 50 тысяч долларов», — рассказал Алексей Леднев.
На стоимость уязвимости влияют несколько факторов: размер аудитории продукта с 0-day, сфера применения продукта, но самое главное — возможности, которые перед преступниками открывает уязвимость. В этом случае ценится возможность удаленного выполнения произвольного кода. Такого типа опция открывает для злоумышленников практически неограниченные перспективы в плане перемещения в инфраструктуре взломанной компании, а также манипуляций, которые может провести с ней хакер.
Многие эксперты сферы кибер-безопасности называют уязвимости 0-day самыми опасными и разрушительными, поскольку они часто используются, долго устраняются и плохо детектируются средствами защиты. Именно эти критерии и делают 0-day баснословно дорогими и очень желанными.
Это наиболее опасный вид уязвимостей, поскольку разработчики и пользователи могут просто не знать об их существовании, чем преступники и пользуются на протяжении длительного времени.
За этот период они успеют нанести большой ущерб, учитывая, что 0-day уязвимости очень плохо детектируются при помощи стандартных сигнатурных методов антивирусной защиты.
Специалисты «Лаборатории Касперского» занимаются поиском 0-day уже более 10 лет. За это время специалистами компании были обнаружены десятки подобных уязвимостей.
Надо отдать должное российским специалистам — за этот период они обнаружили и помогли исправить 31 активно используемую злоумышленниками уязвимость в самом популярном и распространенном софте от Adobe, Microsoft, Google, Apple. Среди всех ИБ-компаний в мире такой результативностью мало кто может похвастаться.
Хотя крупные компании старательно вылавливают 0-day и, как показывают гонорары «белых» хакеров, тратят солидные суммы на эту деятельность, уязвимости всё равно периодически становятся оружием в руках хакеров.
Показательным примером 0-day уязвимости, которая дошла до применения на практике, стала «EternalBlue». Она была похищена, а потом опубликована, в марте 2017 года хакерской группировкой «Shadow Brokers» у другой группировки хакеров «Equation Group», деятельность которой приписывают Агентству национальной безопасности США. Эта уязвимость позднее эффективно использовалась для распространения вредоносного ПО WannaCry (один из первых вирусов-шифровальщиков, который блокировал компьютеры и требовал выкуп за их разблокирование), в результате работы которого пострадали информационные системы в более чем 200 странах мира.
Также отмечают уязвимость «Log4Shell» в библиотеке «Apache Log4j», которая используется для логирования в большинстве программ на языке программирования «Java.» Проще говоря, «Apache Log4j» является реестром процессов в программах, который используется разработчиками для, например, выявления ошибок.
«Apache Log4j» используется широко и под угрозой оказались миллионы устройств по всему миру. Уязвимость позволяла хакерам проводить удаленное выполнение произвольного кода и была доступна на протяжении почти десяти лет», — заметили в «Лаборатории Касперского».
Не является секретом, что и «EternalBlue» и «Log4Shell» использовались не только хакерами, но и спецслужбами различных стран.
В российских продуктах 0-day также обнаруживаются и даже используются. Есть устойчивое предположение, не афишируемое в СМИ, что в популярной российской системе управления контентом и сайтами до сих пор содержится ряд ошибок, обнаруженных злоумышленниками, которые ещё не исправлены разработчиком.
Кипят серьёзные страсти и платятся очень серьёзные суммы. В цифровом мире, который стал одним из двигателей мировой экономики, бреши и просчёты в ПО могут привести к катастрофическим последствиям. Ставки растут, и в перспективе, лет через пять, например, эти суммы будут казаться незначительными. Цифровая инфляция тоже живёт по традиционным законам экономики.