Десятки и сотни тысяч, а также миллионы долларов стоят некоторые уязвимости, которые относятся к категории 0-day (уязвимости нулевого дня). Специалисты «Лаборатории Касперского» совместно с «Газетой.Ru» составили топ самых дорогих брешей в безопасности ПО, которые когда-либо обнаруживали. Эксперты по информационной безопасности рассказали, что в них особенного, из-за чего за 0-day охотятся не только хакеры, но спецслужбы разных стран.
На вес золота.
Уязвимость 0-day (или Zero Day) на русский язык можно перевести как «уязвимость нулевого дня». Так называют те проблемы в программном обеспечении, о которых уже знают хакеры, но еще не знают разработчики этого самого ПО.
Цифра ноль в названии означает количество дней, которое есть у разработчиков на исправление уязвимости до того, как она может быть использована.
Есть два рынка сбыта таких уязвимостей — даркнет и платформы баг-баунти — это онлайн-площадки, на которых крупные компании размещают заказы на поиск в своих программных продуктах и инфраструктуре критических уязвимостей. В даркнете такой товар передается одними преступниками в руки преимущественно других преступников. «Преимущественно», потому что иногда для шпионажа их покупают и спецслужбы. На платформах же баг-баунти «белым хакерам» (честным пен-тестерами «из народа») выплачивается вознаграждение компаниями, которые не хотят, чтобы брешь в ПО использовалась против них. В обоих случаях 0-day стоят огромных денег.
Ведущий эксперт Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») Борис Ларин в качестве примера самых больших выплат за 0-day привел случай от 2022 года, когда создатели криптовалюты Wormhole заплатили $10 млн исследователю под ником satya0x за обнаружение критической уязвимости в коде самого криптоактива.
«Эксплуатация этой уязвимости потенциально могла привести к блокировке средств пользователей», — объяснил Ларин.
На втором месте располагается аналогичная уязвимость в другой блокчейн-системе, на которой была создана криптовалюта Aurora. За ее обнаружение, отметил Ларин, «белому» хакеру pwning.eth заплатили $6 млн.
Тройку лидеров замкнула выплата компании Google в размере $605 тыс. исследователю gzobqq. В 2023 году он обнаружил группу из пяти уязвимостей в операционной системе Android. Ни до, ни после Google не платила кибербезопасникам за подобные находки. Компания не раскрыла подробности о данных проблемах, однако известно, что они из-за ошибки работы памяти позволяли злоумышленникам повышать свои привилегии в Android и получать почти неограниченный контроль над системой.
По словам Ларина, если бы хакеры добрались до упомянутых уязвимостей нулевого дня раньше gzobqq, могли бы пострадать многие пользователи Android.
На четвертом месте — уязвимость HamsterWheel, которую специалисты по информационной безопасности из компании CertiK нашла в блокчейне криптовалюты Sui. За ее обнаружение криптобиржа Coinbase выплатила $500 тыс. Случилось это несколько дней назад. Данная выплата стала самой большой в истории HackerOne (самая известная платформа баг-баунти). HamsterWheel (эквивалентом данной идиомы в русском языке является фраза «как белка в колесе») получила свое название за то, что позволяла вызывать в работе блокчейна Sui зацикленные процессы, что делало криптовалюту полностью неликвидной.
«Более того, данная уязвимость, скорее всего, позволила бы злоумышленникам украсть деньги напрямую у этого криптопроекта», — добавил Ларин.
Рекордной же ценой за 0-day уязвимость является $15 млн. Столько, как сказал технический директор компании «Гарда» Лука Сафонов, за уязвимость в популярнейшем в IT-отрасли сервисе управления проектами Jira на одном из даркнет-форумов в 2024 году запросил хакер Intel Broker. Она не вошла в основной топ, поскольку нет никакой информации о том, была ли она продана и за сколько — данная сумма является лишь предложением продавца.
На безрыбье и рак — щука.
Гонорары в миллионы или сотни тысяч долларов за продажу или обнаружение 0-day — это, по словам руководителя отдела обнаружения атак экспертного центра безопасности Positive Technologies Алексея Леднева, — все же исключения. Зачастую такие бреши в программных продуктах стоят дешевле.
«Согласно предложениям на площадках в даркнете, за последние полтора года самая высокая цена в объявлении — $100 тыс. Несколько дней назад появилось объявление о покупке 0-day в IoT-устройствах с ценой в $50 тыс.», — сказал он «Газете.Ru».
На стоимость уязвимости влияют несколько факторов: размер аудитории продукта с 0-day, сфера применения продукта, а главное — опции, которые перед злоумышленником открывает уязвимость. В последнем случае ценится возможность удаленного выполнения произвольного кода. Такого типа опция открывает для злоумышленников практически неограниченные перспективы в плане перемещения в инфраструктуре взломанной компании, а также манипуляций, которые может провести с ней хакер.
Эксперт отдела разработки и тестирования компании «Код безопасности» Александр Самсонов назвал уязвимости 0-day самыми опасными и разрушительными, поскольку они часто используются, долго устраняются и плохо детектируются средствами защиты. Именно эти критерии и делают 0-day баснословно дорогими и очень желанными.
"Это наиболее опасный вид уязвимостей, поскольку разработчики и пользователи могут просто не знать об их существовании, чем хакеры могут пользоваться на протяжении длительного времени.
За этот период они успеют нанести большой ущерб, учитывая, что 0-day уязвимости очень плохо детектируются при помощи стандартных сигнатурных методов антивирусной защиты", — сказал он.
В «Лаборатории Касперского» добавили, что занимаются поиском 0-day уже более 10 лет. За это время специалистами компании были обнаружены десятки подобных уязвимостей.
От теории к практике.
Хотя крупные компании старательно вылавливают 0-day и, как показывают гонорары «белых» хакеров, тратят солидные суммы на эту деятельность, уязвимости, конечно же, все равно время от времени становятся оружием в руках хакеров.
«Самый яркий пример 0-day уязвимости, которая дошла до применения на практике, — это EternalBlue. Она была украдена (и позже опубликована) в марте 2017 года хакерской группировкой Shadow Brokers у другой группировки Equation Group, деятельность которой приписывают Агентству национальной безопасности США. Эта уязвимость впоследствии использовалась для распространения вредоносного ПО WannaCry (один из первых вирусов-шифровальщиков, который блокировал компьютеры и требовал выкуп за их разблокирование), в результате работы которого пострадали информационные системы в более чем 200 странах мира», — сказал Алексей Леднев из Positive Technologies.
В свою очередь Александр Самсонов из компании «Код безопасности» привел в пример уязвимость Log4Shell в библиотеке Apache Log4j, которая используется для логирования в большинстве программ на языке программирования Java. Проще говоря, Apache Log4j — это реестр процессов в программах, который используется разработчиками для, например, выявления ошибок.
«В силу того, что Apache Log4j используется повсеместно, под угрозой оказались миллионы устройств по всему миру. Уязвимость позволяла хакерам проводить удаленное выполнение произвольного кода и была доступна на протяжении почти десяти лет», — сказал Самсонов.
Как и EternalBlue, Log4Shell использовалась не только хакерами, но и спецслужбами различных стран.
В российских продуктах 0-day также обнаруживаются и даже используются. Так Лука Сафонов из «Гарды» заявил, что в популярной российской системе управления контентом и сайтами до сих пор содержится ряд ошибок, обнаруженных злоумышленниками, которые все еще не исправлены разработчиком. Называть этот продукт специалист не стал.
