Последнее обновление 08.01.2023 — QGames
Хотя в основном скрытые в частных беседах, подробности о параллельной экономике использования уязвимостей иногда появляются на подпольных форумах, показывая, насколько толстый кошелек у некоторых злоумышленников.
Некоторые злоумышленники заявляют о многомиллионных бюджетах США на приобретение эксплойтов нулевого дня, но у тех, у кого нет таких денег, может быть шанс использовать нулевые дни, если новая идея «эксплойта как услуги» станет реальность.
Большие бюджеты на приобретение эксплойтов
Диалог об уязвимостях, как старых, так и новых, в сообществах киберпреступников иногда включает предложения купить эксплойты за большие деньги.
Один пользователь форума в начале мая предложил 25000 долларов за код эксплойта PoC для CVE-2021-22893, уязвимости критической степени серьезности в Pulse Secure VPN, которая использовалась китайскими хакерами как минимум с апреля.
Другой участник с более глубокими карманами заявил о выделении бюджета в размере до 3 миллионов долларов на устранение ошибок удаленного выполнения кода (RCE) без взаимодействия, так называемых эксплойтов с нулевым щелчком, для Windows 10 и Linux.
Тот же пользователь предложил до 150 000 долларов за оригинальные решения для «неиспользуемых методов запуска в Windows 10», чтобы вредоносное ПО было активным при каждой загрузке системы.
Для сравнения, компания по приобретению эксплойтов Zerodium предлагает до 1 миллиона долларов за RCE с нулевым щелчком в Windows 10. Наивысшая выплата от брокера составляет до 2,5 миллионов долларов за постоянство полной цепочки с нулевым щелчком в Android, а затем 2 миллиона долларов за эквивалент iOS.
Посты были захвачены исследователями компании Digital Shadows, занимающейся защитой от рисков, которые изучили деятельность злоумышленников, чтобы воспользоваться слабыми местами в системе безопасности.
В ходе расследования они наблюдали, как некоторые актеры вели переговоры о ценах нулевого дня до 10 миллионов долларов.
Исследователи отмечают, что такие цены больше не ограничиваются хакерами из национальных государств и что киберпреступники, особенно группы программ-вымогателей, также могут себе их позволить.
Вариант использования как услуги
Однако совершить крупную продажу непросто и может занять много времени. Если это займет слишком много времени, разработчики могут потерять шанс заработать большие деньги, потому что конкуренты могут предложить вариант эксплойта, снижающий цену.
По этой причине киберпреступники сейчас обсуждают решение «эксплойт как услуга», которое позволит разработчикам эксплойтов сдавать в аренду эксплойт нулевого дня нескольким сторонам.
По словам исследователей, эта альтернатива может принести огромную прибыль разработчикам уязвимостей нулевого дня, пока они ждут окончательного покупателя.
«Кроме того, с этой моделью арендаторы могут протестировать предлагаемый нулевой день, а затем решить, покупать ли эксплойт на эксклюзивной или неисключительной основе» — Digital Shadows
Как и в случае «вредоносное ПО как услуга», сдача эксплойтов в аренду позволит менее опытным противникам развертывать более сложные атаки и поражать более ценные цели.
Типы пользователей подпольных форумов
В отчете Digital Shadows подчеркивается, что злоумышленники, финансово мотивированные киберпреступники или хакеры, спонсируемые государством, быстро внедряют новые методы атаки и постоянно ищут новый код эксплойта.
«Эта сцена наполнена множеством широко известных актеров, которые могут похвастаться целым спектром технических знаний и мотивов» — Digital Shadows
Пользователи с разным уровнем навыков обмениваются знаниями и инструментами, чтобы улучшить свои атаки и построить более крепкие отношения, которые могут оказаться прибыльными в долгосрочной перспективе.
Некоторые пользователи выделяются в этих сообществах благодаря диалогу, который они создают на публичной или частной странице форума об эксплуатации уязвимостей.
Исследователи Digital Shadows классифицировали некоторых из них, признав, что между ними «может быть серьезное пересечение»:
- Крупные игроки: злоумышленники, которые продают и покупают эксплойты нулевого дня по ценам от 1000000 долларов США, с кошельками, которые могут спонсироваться национальным государством или успешными предпринимателями.
- Обычные продавцы: продавцы, торгующие менее критическими уязвимостями, наборами эксплойтов и базами данных с информацией (имена и IP-адреса) компаний с незащищенными уязвимостями.
- Обычные покупатели: люди с техническими навыками, которые заинтересованы в покупке эксплойтов, но редко имеют средства для совершения покупки; они обычно ждут, когда цены упадут
- Коммуникаторы кода: акторы, которые публикуют и рекламируют код эксплойта PoC на GitHub
- Показательные выступления: высокотехнологичные участники форума, которые обсуждают ошибки, участвуют в соревнованиях и делятся некоторыми своими знаниями о выполнении эксплойтов.
- Новички: менее технически подготовленные пользователи, которые учатся у более знающих участников форума; они иногда применяют полученные знания и делятся информацией на других форумах, чтобы заработать больше очков, или просто в качестве общественных услуг.
- Newshounds: участники, которые делятся статьями и новостями о недавно обнаруженных уязвимостях.
Сообщества злоумышленников очень активны и тесно связаны с технической литературой по информационной безопасности, стремясь придумывать новые методы атак, которые дадут им доступ к более крупным целям.
Они не обязательно ищут новые уязвимости, хотя они наиболее востребованы, но также исследуют старые ошибки, которым не уделялось должного внимания и которые могут быть использованы.
