Как стало известно «Ъ», целый ряд российских компаний, специализирующихся на информационной безопасности, получили предложение продать ранее неизвестные уязвимости в операционных системах Android, iOS, различных браузерах и другом софте. Заказчиком выступают лица, называющие себя представителями ассоциации ShenZhen Computer Users Association (SZCUA), в состав которой входят крупные китайские IT-компании Kingdee International Software Group и China Greatwall Computer Shenzhen Co. Такие уязвимости чаще всего используются государственными структурами в качестве кибероружия. По мнению экспертов, SZCUA может действовать в интересах государственных хакерских команд Китая.
Некто Роберт Невский, называющий себя торговым представителем ShenZhen Computer Users Association в России (официальный сайт www.szcua.org), обратился к специалистам нескольких российских ИБ-компаний с предложением купить у них эксплойты, использующие уязвимости нулевого дня (0day, уязвимости, о наличии которых еще не знает компания-разработчик софта), под различное программное обеспечение. Об этом «Ъ» рассказали собеседники в пяти российских ИБ-компаниях, одна из которых Digital Security (копии нескольких переписок есть у «Ъ»). Эксплойты представляют собой компьютерные программы, использующие уязвимости в ПО для проведения атак на вычислительные системы.
«Мы заинтересованы в покупке уязвимостей нулевого дня. Нам интересны os/cms/app/software/modems/office/browsers. На данный момент особенно интересны IE/modem/Android/iOS. Цена зависит от продукта. При первой сделке ценовой порог не превышает $100 тыс. (цена обсуждается). Выплаты в три этапа, первый — до получения продукта, второй — после получения и соответствующей проверки и третий — по истечении двух-трех месяцев, чтобы убедиться, что эксплойт не был обнародован»,- говорится в одном из сообщений Роберта Невского.
Согласно профилю в LinkedIn, Роберт Невский работает в SZCUA с июня 2016 года. Письма ряду IT-компаний были отправлены в августе, а некоторым — несколько дней назад.
В середине 2015 года несколько британских специалистов в сфере ИБ сообщали на своих страницах в Twitter, что SZCUA обращалась и к ним с подобным предложением, при этом, согласно опубликованным скриншотам, письма рассылались с почтового ящика в домене организации isba@szcua.org. «Я предполагаю, что SZCUA снабжает ими (эксплойтами.- «Ъ») государственные хакерские команды либо продает их на черном рынке внутри Китая»,- сообщил «Ъ» сооснователь хакерской конференции Steelcon Робин Вуд, получивший аналогичное письмо от SZCUA. По его словам, в SZCUA «неплохо разбираются в теме». «Я проверил их, отправив им уже опубликованный эксплойт, и они ответили мне, что это не 0day. Они контактировали со мной несколько раз за последние 18 месяцев, а значит, это не просто какая-то группа, которая появилась и исчезнет через несколько недель»,- предполагает господин Вуд.
В SZCUA заявили «Ъ», что «ассоциация не ведет бизнес и никогда не делала таких вещей». На вопросы, почему данные предложения рассылались с почты в домене www.szcua.org и правда ли, что Роберт Невский является представителем SZCUA в России, в организации не ответили. Так же поступил и Роберт Невский. На официальном сайте SZCUA говорится, что организация создана в 2007 году, среди ее участников указаны крупные местные компании Kingdee International Software Group, разрабатывающая ERP-системы, и China Greatwall Computer Shenzhen Co, которая производит компьютеры, принтеры, LCD-дисплеи и т. д.
«Эксплойты как суперсила: ими можно воспользоваться во благо или во зло. Можно применять их для и анализа защищенности корпоративных систем либо же организовывать с их помощью кибератаки»,- объясняет директор по маркетингу Solar Security Валентин Крохин. Замдиректора по развитию бизнеса Positive Technologies Алексей Качалин добавляет, что эксплойты могут быть использованы в составе систем негласного съема информации. «Часть купленного может идти для массовых систем, продаваемых на рынке спецсредств, вроде FinFisher, а наиболее интересные — припасены для собственных спецслужб и использованы в операциях, проводимых в интересах государства»,- говорит он.
В мире есть ряд площадок, которые на постоянной основе занимаются скупкой и перепродажей эксплойтов. Наиболее известные — Zerodium, Zeronomicon и др. За уязвимости в Android и Windows Phone Zerodium готов заплатить до $100 тыс., а в iOS — до $500 тыс. Как ранее сообщал «Ъ», в июне этого года аналогичная площадка под названием Expocod была создана и бывшим сотрудником Росфинмониторинга Андреем Шороховым.
«Надо понимать, что легального рынка 0day не существует. Все имеющиеся на западном рынке покупатели эксплойтов, а именно брокеры или продавцы шпионского ПО, обладают крайне сомнительной репутацией, поскольку занимаются темными делами на грани между преступностью и спецслужбами»,- говорит ведущий исследователь отдела аудита защищенности Digital Security Сергей Белов. Валентин Крохин согласен, что попытка купить эксплойты таким образом «выглядит странно». «В России такая сделка — предмет ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ»»,- напоминает он. Один из собеседников «Ъ» на рынке ИБ, однако, отмечает, что купля-продажа эксплойтов не всегда попадает под действие УК. «В законе говорится об использовании и распространении «вредоносного ПО», а эксплойты иногда применяются легально, например, для проверки устойчивости IT-систем. Чтобы завести уголовное дело, нужно доказать, что эксплойт бы использовался, например, для взлома, уничтожения информации и других незаконных действий»,- поясняет он.