Десятки и сотни тысяч, а также миллионы долларов стоят некоторые уязвимости, которые относятся к категории 0-day (уязвимости нулевого дня). Специалисты «Лаборатории Касперского» совместно с «Газетой.Ru» составили топ самых дорогих брешей в безопасности ПО, которые когда-либо обнаруживали. Эксперты по информационной безопасности рассказали, что в них особенного, из-за чего за 0-day охотятся не только хакеры, но спецслужбы разных стран.
На вес золота
Уязвимость 0-day (или Zero Day) на русский язык можно перевести как «уязвимость нулевого дня». Так называют те проблемы в программном обеспечении, о которых уже знают хакеры, но еще не знают разработчики этого самого ПО.
Цифра ноль в названии означает количество дней, которое есть у разработчиков на исправление уязвимости до того, как она может быть использована.
Есть два рынка сбыта таких уязвимостей — даркнет и платформы баг-баунти — это онлайн-площадки, на которых крупные компании размещают заказы на поиск в своих программных продуктах и инфраструктуре критических уязвимостей. В даркнете такой товар передается одними преступниками в руки преимущественно других преступников. «Преимущественно», потому что иногда для шпионажа их покупают и спецслужбы. На платформах же баг-баунти «белым хакерам» (честным пен-тестерами «из народа») выплачивается вознаграждение компаниями, которые не хотят, чтобы брешь в ПО использовалась против них. В обоих случаях 0-day стоят огромных денег.
Ведущий эксперт Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») Борис Ларин в качестве примера самых больших выплат за 0-day привел случай от 2022 года, когда создатели криптовалюты Wormhole заплатили $10 млн исследователю под ником satya0x за обнаружение критической уязвимости в коде самого криптоактива.
«Эксплуатация этой уязвимости потенциально могла привести к блокировке средств пользователей», — объяснил Ларин.
На втором месте располагается аналогичная уязвимость в другой блокчейн-системе, на которой была создана криптовалюта Aurora. За ее обнаружение, отметил Ларин, «белому» хакеру pwning.eth заплатили $6 млн.
Тройку лидеров замкнула выплата компании Google в размере $605 тыс. исследователю gzobqq. В 2023 году он обнаружил группу из пяти уязвимостей в операционной системе Android. Ни до, ни после Google не платила кибербезопасникам за подобные находки. Компания не раскрыла подробности о данных проблемах, однако известно, что они из-за ошибки работы памяти позволяли злоумышленникам повышать свои привилегии в Android и получать почти неограниченный контроль над системой.
По словам Ларина, если бы хакеры добрались до упомянутых уязвимостей нулевого дня раньше gzobqq, могли бы пострадать многие пользователи Android.
На четвертом месте — уязвимость HamsterWheel, которую специалисты по информационной безопасности из компании CertiK нашла в блокчейне криптовалюты Sui. За ее обнаружение криптобиржа Coinbase выплатила $500 тыс. Случилось это несколько дней назад. Данная выплата стала самой большой в истории HackerOne (самая известная платформа баг-баунти). HamsterWheel (эквивалентом данной идиомы в русском языке является фраза «как белка в колесе») получила свое название за то, что позволяла вызывать в работе блокчейна Sui зацикленные процессы, что делало криптовалюту полностью неликвидной.
«Более того, данная уязвимость, скорее всего, позволила бы злоумышленникам украсть деньги напрямую у этого криптопроекта», — добавил Ларин.
Рекордной же ценой за 0-day уязвимость является $15 млн. Столько, как сказал технический директор компании «Гарда» Лука Сафонов, за уязвимость в популярнейшем в IT-отрасли сервисе управления проектами Jira на одном из даркнет-форумов в 2024 году запросил хакер Intel Broker. Она не вошла в основной топ, поскольку нет никакой информации о том, была ли она продана и за сколько — данная сумма является лишь предложением продавца.
На безрыбье и рак — щука
Гонорары в миллионы или сотни тысяч долларов за продажу или обнаружение 0-day — это, по словам руководителя отдела обнаружения атак экспертного центра безопасности Positive Technologies Алексея Леднева, — все же исключения. Зачастую такие бреши в программных продуктах стоят дешевле.
«Согласно предложениям на площадках в даркнете, за последние полтора года самая высокая цена в объявлении — $100 тыс. Несколько дней назад появилось объявление о покупке 0-day в IoT-устройствах с ценой в $50 тыс.», — сказал он «Газете.Ru».
На стоимость уязвимости влияют несколько факторов: размер аудитории продукта с 0-day, сфера применения продукта, а главное — опции, которые перед злоумышленником открывает уязвимость. В последнем случае ценится возможность удаленного выполнения произвольного кода. Такого типа опция открывает для злоумышленников практически неограниченные перспективы в плане перемещения в инфраструктуре взломанной компании, а также манипуляций, которые может провести с ней хакер.
Эксперт отдела разработки и тестирования компании «Код безопасности» Александр Самсонов назвал уязвимости 0-day самыми опасными и разрушительными, поскольку они часто используются, долго устраняются и плохо детектируются средствами защиты. Именно эти критерии и делают 0-day баснословно дорогими и очень желанными.
«Это наиболее опасный вид уязвимостей, поскольку разработчики и пользователи могут просто не знать об их существовании, чем хакеры могут пользоваться на протяжении длительного времени.
За этот период они успеют нанести большой ущерб, учитывая, что 0-day уязвимости очень плохо детектируются при помощи стандартных сигнатурных методов антивирусной защиты», — сказал он.
В «Лаборатории Касперского» добавили, что занимаются поиском 0-day уже более 10 лет. За это время специалистами компании были обнаружены десятки подобных уязвимостей.
«За последние 10 лет мы обнаружили и помогли исправить 31 активно используемую злоумышленниками уязвимость в самом популярном и распространенном софте от Adobe, Microsoft, Google, Apple. Среди всех ИБ-компаний в мире таким количеством может мало кто похвастаться», — сказал Ларин.
