Zero-day exploity sú v súčasnosti základnými zbraňami štátnych aktérov a skupín kybernetického zločinu. Trh rastie tak rýchlo, že tento fenomén dostal vlastné označenie exploit industry.

Dobrý nákup

Rok 2021 prekonal rekord v hackerských útokoch na báze zero-day zraniteľnosti. Použilo sa ich viacej ako šesťdesiat, čo predstavuje dvojnásobok v porovnaní s predchádzajúcim rokom a historicky najvyššie číslo. Tento reportovaný rast je výsledkom zlepšujúcich sa detekčných schopností na jednej strane a na druhej strane výsledkom rýchleho globálneho šírenia hackerských nástrojov.

Trh so zraniteľnosťami je extrémne drahý a konkurenčný. Dlhé obdobie bol výsadou štátom sponzorovaných skupín hrozieb. Avšak skupiny kybernetických zločincov, najmä ransomvérové gangy, nazhromaždili v posledných rokoch neuveriteľný majetok a v nákupe hravo súťažia s tradičnými (rozumej štátnymi) kupcami zero-day exploitov. V roku 2021 boli až v tretine finančne motivovaných útokov využité zero-day zraniteľnosti.

Vzhľadom na monopolistický charakter poskytovateľov internetového obsahu a služieb používa väčšina ľudí naprieč celým svetom rovnaký softvér. Jedna špecifická zraniteľnosť tak môže byť použitá proti tisícom aj miliónom ľudí a firiem.

Trh ako ktorýkoľvek iný

Zero-day zraniteľnosti sú virtuálne produkty, ktoré je možné ľahko predávať bez sprostredkovateľov cez internet. Obchody sa robia rýchlo, ale kupec dostane čas na overenie produktu a obchodný reťazec má pomerne subtílnu štruktúru, kde na vrchole stoja obchodníci s dobrými kontaktmi a vysokou dôveryhodnosťou.

Dostupné technológie sú dostatočne robustné na to, aby poskytovali anonymitu za veľmi nízku cenu, a kupec sa tak vyhne zanechaniu stopy. Trh so zraniteľnosťami totiž funguje ako ktorýkoľvek iný – legálny čiže biely trh a čierny trh, kam daňoví úradníci rozhodne nechodia, a medzi nimi šedá zóna.

Šedý trh predstavuje obchod prostredníctvom distribučných kanálov, ktoré nie sú autorizované pôvodným výrobcom alebo majiteľom ochrannej známky. Jednoducho ide o predaj mimo kanála autorizovaného výrobcu. Šedé trhy zahŕňajú transakcie s verejnými inštitúciami zodpovednými za národnú bezpečnosť, privátnym sektorom či špecializovanými agentúrami. A tí všetci zvyčajne používajú tretie strany na maskovanie transakcií.

To, čo bolo kedysi neúmerne drahé a špičkové, je stále dostupnejšie. A zároveň vzniká prémiový segment exploitov, kde v nákupe v najvyššej finančnej lige súťažia štátne mocnosti a kybernetické gangy.

Je tam živo. A bude ešte viac

Málokto z kupcov zero-day zraniteľností má finančné a kapacitné možnosti Pekingu alebo Washingtonu. Väčšina krajín, ktoré hľadajú silné exploity, nemá talentovú základňu alebo infraštruktúru na to, aby ich rozvíjala na domácom trhu, a tak si ich kupujú.

Zvýšený dopyt po exploitoch tak poháňa trh a ceny za škodlivé kódy. Výskumníci spozorovali aktérov hrozieb, ktorí tvrdili, že predávajú zero-day exploity až za 10 miliónov amerických dolárov.

Dokonca sa objavila aj požiadavka na zero-day zraniteľnosť pre 0-click RCE (Remote Code Executon), za ktorú bol záujemca ochotný zaplatiť tri milióny amerických dolárov. Táto odmena je vyššia ako výplata ponúkaná legitímnymi zero-day brokermi, napríklad spoločnosťou Zerodium, ktorá ponúka jeden milión amerických dolárov za podobný exploit fungujúci na Windows 10.

Pozrime sa na to inak

Rastúce náklady na najcennejšie exploity sa premietajú aj do nákladov útočníkov. Ak sa pozrieme na dostupné údaje, akými sú napríklad verejné ceny zero-day spoločnosti Zerodium, je tu ďalšie číslo hodné zamyslenia - nárast nákladov na špičkové hacky za posledné tri roky je až 1 150 percent.

V súboji so zlepšujúcou sa obranou musia hackeri často spájať viacero exploitov namiesto toho, aby používali iba jeden. Tieto exploitové reťazce si vyžadujú využívať kombináciu viacerých zero-day zraniteľností. Úspech pri odhaľovaní týchto reťazcov je tiež jedným z dôvodov, prečo odborníci reportujú taký prudký nárast počtu využívaných zero-day zraniteľností.

A že sa nás to netýka?

Aj týždne po odhalení zraniteľnosti sa útočníci predbiehajú v čo najrýchlejšom využití príležitosti v podobe cielených útokov ešte pred rozšírením bezpečnostných záplat. Zraniteľnosti sú napriek svojej vysokej cene relatívne ľahko dostupné a vedomosť o nich je strategickou zbraňou.

Koncom roka 2021 otriaslo svetom zneužívanie kritickej zraniteľnosti v systémoch Apache HTTP Server. A kde je problém? Najnovšiu verziu malo nainštalovanú iba jedno percento zo 48 miliónov serverov na celom svete. Slovensko podľa informácií z Národného centra kybernetickej bezpečnosti nie je výnimkou, Apache je u nás najpoužívanejšia technológia pre webserver.

Podľa správy SK-CERT bolo v slovenskom kybernetickom priestore začiatkom decembra identifikovaných 184-tisíc webserverov. Apache httpd inštalácií bolo 24 429 a z tohto počtu bolo 98,2 percenta serverov neaktualizovaných (podiel vypočítaný zo všetkých viditeľných zariadení na internete). 925 inštalácií malo dokonca verzie z januára 2012.

Riešenie? Veď viete. Len nikto nevie, prečo sa to nedodržuje.

Zdroje

Zero-day Exploit Market

Ransomware Gangs Are Now Rich Enough To Buy Zero-Day Flaws Say Researchers

2021 Record Zero-Day Hacks Reasons

Market_For_Zero-day_Exploits

Varovanie pred neaktualizovanými a zastaranými verziami apache http server

Zero-day útoky stále pribúdajú a stále dôležitejší je rozpočet