Οι ερευνητές ασφαλείας προσπαθούν να παρακολουθούν από κοντά τις δραστηριότητες των δημιουργών malware. Αυτές οι παρακολουθήσεις τούς έχουν επιτρέψει να δουν πολλές αγοραπωλησίες Windows exploits.
Συγκεκριμένα, οι ερευνητές της Check Point επικεντρώθηκαν σε δύο από τους πιο παραγωγικούς δημιουργούς Windows exploits, οι οποίοι είναι υπεύθυνοι για τουλάχιστον 16 διαφορετικά Windows Kernel Local Privilege Escalation explοits. Πολλά από αυτά ήταν zero-days ευπάθειες.
Αυτά τα exploits παίζουν σημαντικό ρόλο στις malware επιθέσεις και στις πιθανότητες επιτυχίας τους.
Κατά την έρευνά τους, οι αναλυτές ανακάλυψαν ενδιαφέροντα πράγματα.
Ας πάρουμε τα πράγματα από την αρχή. Συχνά, πιστεύεται ότι κάθε κομμάτι malware είναι ένα μόνο κομμάτι κώδικα που δημιουργείται από ένα άτομο ή ομάδα. Ωστόσο, η δημιουργία malware, και ειδικά αυτών που χρησιμοποιούνται από κρατικούς hackers, περιλαμβάνει πολλά περισσότερα στοιχεία και δουλειά από πολλές ομάδες.
Για παράδειγμα, μπορεί να ανακαλυφθεί ένα σφάλμα, το οποίο μετά θα μετατραπεί σε exploit και θα εισαχθεί σε ένα υπάρχον malware με σκοπό τη βελτίωση των δυνατοτήτων του. Όλη αυτή η διαδικασία απαιτεί συντονισμό μεταξύ ομάδων. Οι δημιουργοί exploits και οι προγραμματιστές malware θα συμφωνήσουν σε ένα API που θα επιτρέπει τη σύνδεση των διαφόρων στοιχείων.
“Αυτό το API δεν είναι μοναδικό για τους κρατικούς hackers, αλλά είναι ένα κοινό χαρακτηριστικό στην “ελεύθερη αγορά” exploits. Είτε περιλαμβάνει underground forums, είτε “μεσίτες” για explοits είτε εταιρείες που πραγματοποιούν επιθέσεις, όλοι παρέχουν στους πελάτες τους οδηγίες για το πώς να ενσωματώσουν το exploit στο malware τους“, ανέφερε η έκθεση της Check Point.
Αυτοί οι προγραμματιστές, οι οποίοι μπορεί να είναι είτε μεμονωμένα άτομα είτε ομάδες που συνεργάζονται, θα πουλήσουν τα exploits που αναπτύσσουν σε συμμορίες ransomware και σε κρατικές hacking ομάδες, οι οποίες στη συνέχεια θα τα ενσωματώσουν στα δικά τους malware.
Οι ερευνητές δεν κατάφεραν να μάθουν τις τιμές στις οποίες πωλούνται τα exploits, αλλά σίγουρα οι δημιουργοί τους κερδίζουν πολλά χρήματα.
Σύμφωνα με την Check Point, ο ένας από τους δύο δημιουργούς exploits που παρακολούθησε, πουλά τα exploits του σε δημιουργούς banking trojans (π.χ. Ursnif), σε ransomware συμμορίες (GandCrab, Cerber και Magniber) και σε APT ομάδες (Turla, APT28 και Buhtrap). Τα Zero-day exploits είναι πιθανότερο να πωληθούν σε ρωσικές APT ομάδες.
“Οι APT ομάδες-πελάτες, Turla, APT28 και Buhtrap, έχουν συνδεθεί με τη Ρωσία και είναι ενδιαφέρον να διαπιστώνουμε ότι ακόμη και αυτές οι προηγμένες ομάδες αγοράζουν exploits αντί να τα αναπτύσσουν οι ίδιες. Αυτό είναι ένα άλλο σημείο που ενισχύει περαιτέρω την υπόθεσή μας ότι τα exploits μπορούν να θεωρηθούν ως ξεχωριστό μέρος των malware“, ανέφερε η έκθεση.
Σύμφωνα με τους ερευνητές, τόσο οι κρατικές hacking ομάδες όσο και οι “απλοί” εγκληματίες, είναι πρόθυμοι να πληρώσουν για την απόκτηση zero-day exploits.
Οι δύο δημιουργοί exploits που παρακολουθούνται από τους ερευνητές, είναι πιθανό να αντιπροσωπεύουν σημαντικό μερίδιο της αγοράς για τα Windows explοits, και κυρίως τα Windows Kernel Local Privilege Escalation explοits, αν και μπορεί να υπάρχουν πολλά περισσότερα exploits, τα οποία δεν είναι γνωστά.
“Είναι αδύνατο να πούμε τον συνολικό αριθμό των Windows kernel zero-day ευπαθειών που χρησιμοποιούνται αυτή τη στιγμή από hackers“, ανέφερε η έκθεση.
Σύμφωνα με το ZDNet, οι ειδικοί λένε ότι οι κρατικές hacking ομάδες είναι λιγότερο πιθανό να συλληφθούν και έτσι οι ειδικοί δεν μπορούν να γνωρίζουν ακριβώς τα “όπλα” τους.