Ранее неизвестные уязвимости программного обеспечения «нулевого дня» загадочны и интригуют сами по себе. Но они еще более примечательны, когда хакеры замечены в активном использовании новых недостатков программного обеспечения в дикой природе, прежде чем кто-либо еще узнает о них. По мере того, как исследователи расширяли свое внимание, чтобы обнаруживать и изучать больше этой эксплуатации, они наблюдают ее все чаще. Два отчета на этой неделе от компании Mandiant, специализирующейся на анализе угроз, и GoogleКоманда по поиску ошибок, Project Zero, стремится дать представление о том, насколько выросло количество эксплойтов нулевого дня за последние годы.
У Mandiant и Project Zero разные возможности для типов нулевого дня, которые они отслеживают. Project Zero, например, в настоящее время не фокусируется на анализе недостатков в устройствах Интернета вещей, которые эксплуатируются в дикой природе. В результате абсолютные цифры в двух отчетах нельзя сравнивать напрямую, но обе команды отследили рекордно большое количество эксплуатируемых нулевых дней в 2021 году. Mandiant отследил 80 в прошлом году по сравнению с 30 в 2020 году, а Project Zero отследил 58 в 2021 г. по сравнению с 25 годом ранее. Однако ключевой вопрос для обеих команд заключается в том, как соотнести их результаты с контекстом, учитывая, что никто не может увидеть весь масштаб этой тайной деятельности.
«Мы начали наблюдать всплеск в начале 2021 года, и многие вопросы, которые я получал в течение всего года, были: «Что, черт возьми, происходит?!» — говорит Мэдди Стоун, исследователь безопасности в Project Zero. «Моей первой реакцией было: «Боже мой, их так много». Но когда я сделал шаг назад и посмотрел на это в контексте предыдущих лет, чтобы увидеть такой большой скачок, этот рост на самом деле, скорее всего, связан с увеличением обнаружения, прозрачности и осведомленности общественности о нулевых днях».
До публичного раскрытия уязвимости в программном обеспечении ее называют «нулевым днем», потому что было ноль дней, в течение которых производитель программного обеспечения мог разработать и выпустить исправление, и нулевой день для защитников, чтобы начать мониторинг уязвимости. В свою очередь, хакерские инструменты, которые злоумышленники используют для использования таких уязвимостей, известны как эксплойты нулевого дня. Как только об ошибке становится известно, исправление может быть выпущено не сразу (или никогда), но злоумышленники уведомлены о том, что их действия могут быть обнаружены или дыра может быть закрыта в любое время. В результате нулевые дни пользуются большим спросом, и они являются крупным бизнесом как для преступников, так и, в частности, для поддерживаемых государством хакеров, которые хотят проводить как массовые кампании, так и индивидуальные индивидуальные таргетинги.
Уязвимости нулевого дня и эксплойты обычно считаются необычными и редко встречающимися хакерскими инструментами, но правительства неоднократно демонстрировали накопление нулевых дней, а усиление обнаружения показало, как часто злоумышленники их используют. За последние три года технологические гиганты, такие как Microsoft, Googleи Apple начали нормализовать практику уведомления об обнаружении и устранении уязвимости, которая использовалась до выпуска исправления.
