Zero-day zraniteľnosti už nie sú vďaka ponuke súkromných firiem len pre vyvolených. Stačí mať peniaze

Hackers

Zdroj: FireEye

Bezpečnostná firma FireEye sa pozrela vo svojej správe na zero-day zraniteľnosti a zistila, že v roku 2019 ich zaznamenala viac ako v predchádzajúcich rokoch. Zero-day zraniteľnosti boli kedysi veľmi cenené a vzácne, a preto sa používali len na veľmi dôležité ciele.

V minulosti si štátom podporované alebo kriminálne skupiny hľadali zero-day zraniteľnosti sami, alebo ich nakupovali priamo od bezpečnostných výskumníkov a sprostredkovateľov. Prístup k týmto zraniteľnostiam bol vymedzený pre tých čo vedeli ako ich nájsť alebo mali správne kontakty.

S príchodom firiem ako NSO Group, Gamma Group a Hacking Team sa situácia zmenila. Krajiny bez vlastných bezpečnostných výskumníkov, ale s dostatkom peňazí si odrazu mohli nakúpiť doslova na faktúru hackerské nástroje, ktoré boli hneď pripravené na použitie.

Firma FireEye si od konca roka 2017 všimla znateľný nárast používania zero-day zraniteľností. Nárast bol badateľný hlavne pri skupinách a krajinách, ktoré dovtedy nemali takéto možnosti. Je zjavné, že tieto schopnosti nezískali vlastnými silami, ale nákupom od súkromných dodávateľov.

Zero-day FireEye

Obrázok č.1: Zero-day zraniteľnosti zaznamenané firmou FireEye.
Zdroj: FireEye

Ako príklad spomína firma FireEye skupinu Stealth Falcon alebo FruityArmor, ktorá v roku 2016 cielila útoky na novinárov na Strednom východe. Využívala malvér predávaný izraelskou firmou NSO Group. Medzi rokmi 2016 a 2019 táto skupina použila viac zero-day zraniteľnosti ako ktokoľvek iný. Ďalší príklad je skupina SandCat spájaná so štátnou bezpečnostnou službou Uzbekistanu. O jej komických OPSEC chybách sme písali v októbri 2019.

Zaujímavou črtou štátom podporovaných skupín je, že po vydaní opráv softvéru dokážu rýchlo preskúmať čo bolo opravené a ako. Následne v krátkom čase zakomponujú zneužívanie opravenej zraniteľnosti do svojich útokov. Využívajú čas medzi vydaním opravy a jej aplikovaním zákazníkom na napadnutie čo najväčšieho množstva cieľov. Nainštalujú zadné dvierka, aby mali prístup aj po inštalácii opravy zákazníkom. Je preto dôležité aktualizovať včas.

Samozrejme tento pohľad na zero-day nie je úplný, ale niečo napovedá o dynamike trhu so zero-day. Je zrejmé, že zo zero-day zraniteľností sa stáva komodita. Kúpiť si ju môže viac štátov a organizácií, lebo je dostatočná ponuka od súkromných firiem. Prístup sa tak dostáva aj k menej skúseným štátom a skupinám, ktoré by sa k nim inak nedostali. Vďaka ich neskúsenosti a ľahostajnosti je viditeľných viac zero-day zraniteľností v obehu.

Obrázok: „Cyberdelia: 20 years of Hackers“ by Scott Schiller, used under CC BY 2.0

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ