研究人员说,零日漏洞越来越多地商品化
根据Kathleen Metrick,Parnian Metrick,Parnian Metrick,Parnian Najafi和Jared的说法,进入和开发的“有效”零天漏洞越来越展示了威胁演员可以获得金钱而不是黑客技能,而是在网络中刑事黑社会变得越来越多的商品。 Fireeeye威胁情报的Semrau。
零天 - 固件中的缺陷,硬件或软件未知的那些负责修补或修复它 - 可以引用漏洞本身,或者在发现漏洞和第一个录制攻击之间的零天之间的攻击和第一个录制的攻击。
在新的研究中,Fireeye表示,它在2019年记录了更多的零点剥削而不是前三年,虽然并非每次攻击都可以固定在知名和跟踪的群体上,但更广泛的追踪演员似乎获得了对这些能力的访问。
研究人员表示,随着时间的推移,他们已经看到了一个重要的上涨,从威胁行动者被逮捕的零天数,他们怀疑为政府或执法机构提供进攻网络能力的“客户”。
他们说:“我们猜测,通过私人公司的涉嫌客户在野外爆炸的零天的比例,我们越来越多地制造出越来越多的商品。
“私营公司可能会创造和提供比过去的零天比例更大,导致高度资源群体中的零点能力集中。
“私营公司可能越来越越来越多地为具有较低整体能力和/或群体的群体提供进攻功能,不关心业务安全,这使得零天的使用更有可能会观察到。”
研究人员补充说:“州群体可能会继续支持内部利用发现和开发。然而,通过私营公司的零天可用性可能提供比依靠国内解决方案或地下市场更具吸引力的选择。
“因此,我们预计展示了对这些漏洞的访问的对手数量几乎肯定会增加,并且速度比其整体攻击性网络能力的增长更快 - 所以他们有能力和将花费的能力必要的资金。“
例如,Fireeye通过NSO集团,基于以色列的网络情报提供商或间谍软件功能开发的恶意软件转回了许多攻击,视为政府机构。
一种越多的网络犯罪集团之一,被称为隐形猎鹰或橄榄酒,在中东地区广泛地针对记者和政治活动家使用NSO销售的恶意软件,其中利用了三个苹果iOS零天。Fireeye表示,该集团在2016年和2019年间使用的零天多于任何其他日子。
Dubbed Sandcat的另一个客户被怀疑与乌兹别克斯坦国有智能相关联,并一直在使用NSO开发的工具对抗中东的目标。
Fireeye还注意到零日漏洞的例子,未分配到跟踪组,但似乎是使用进攻安全公司开发的工具。其中包括用于分发NSO开发间谍软件的WhatsApp(CVE-2019-3568)中的2019缓冲区溢出漏洞,而针对使用2018年Adobe Flash漏洞(CVE-2018-15982)的俄罗斯医疗保健机构的活动可能会链接泄露在黑客团队的泄露源代码,这是一个Intrame Cyber Tools的意大利提供商,再次销售到政府和执法。
与此同时,包括中国APT3,朝鲜的APT37和俄罗斯APT28和Turla在内的国家联系团体似乎在披露后,在披露之后很快就促进零天的能力增加。
“在多种情况下,与这些国家联系的组已经能够武装武器漏洞,并将它们纳入其运营,旨在利用披露和补丁应用之间的窗口,”研究团队表示。
Fireeye的全部研究可以在这里在线阅读。