Google Alerts про зростання державних нульових вразливостей

У своєму останньому щорічному звіті група Google Threat Intelligence Group (GTIG) повідомляє про зростання кількості складних нульових вразливостей, особливо тих, що фінансуються державними акторами і націлені на корпоративну інфраструктуру. Хоча GTIG виявила 75 нульових вразливостей у 2024 році — що є зниженням у порівнянні з 98 у 2023 році — частка, що стосується корпоративних мереж і засобів безпеки, досягла рекордних 44%. Цей звіт підкреслює тривожний зсув у ландшафті кіберзагроз: уряди та їхні комерційні партнери з нагляду активніше використовують нульові вразливості, ніж будь-коли раніше.

Ключові показники нульових вразливостей 2024 року

• Загальна кількість виявлених нульових вразливостей: 75 (2024) проти 98 (2023)
• Нульові вразливості, націлені на підприємства: 33 (44% від загальної кількості), зростання з 27% у 2023 році
• Вразливості кінцевих користувачів: 42 (56% від загальної кількості) — в основному Windows (22), Android та Chrome (по сім)
• Атаки, що підлягають атрибуції: 34, з яких 23 пов’язані з урядовими або підтримуваними державою групами
• Основні державні актори: Китай (10 кампаній лише з шпигунством), Північна Корея (п’ять кампаній з фінансовою мотивацією)
• Комерційні постачальники нагляду, що фігурують у звіті: NSO Group, Cellebrite та ін. (вісім нульових вразливостей)

Перехід від споживачів до підприємств

Історично зловмисники використовували вразливості браузерів та мобільних операційних систем для збору облікових даних користувачів або розгортання шкідливого програмного забезпечення на пристроях. У 2021 році 75% нульових вразливостей були націлені на споживачів, але станом на 2024 рік їхня частка, спрямована на сервери підприємств, засоби безпеки, VPN-шлюзи та постачальників ідентифікації, значно зросла. Аналітики GTIG зазначають, що зловмисники експлуатують CVE-2024-XXXX та CVE-2024-YYYY у Microsoft Exchange Server та Ivanti Endpoint Manager для виконання віддаленого виконання коду та ескалації привілеїв у корпоративних середовищах.

Технічний аналіз: Анатомія сучасних нульових вразливостей

Сучасні нульові вразливості часто поєднують кілька помилок корупції пам’яті (використання після звільнення, переповнення купи, плутанина типів) у мовах програмування, таких як C++ або Rust. Наприклад, вразливість CVE-2024-9680 “CIGAR” для локальної ескалації привілеїв використовувала помилку UAF у Firefox 131 на Windows x64, що дозволило зловмисникам досягти виконання довільного коду з привілеями SYSTEM. Телеметрія GTIG вказує на те, що середня довжина ланцюгів експлуатації тепер охоплює від трьох до п’яти різних CVE, що вимагає складних технік розпилення купи та JIT-розпилення для обходу випадкової розстановки адресного простору (ASLR) та запобігання виконанню даних (DEP).

Експертні рекомендації: Зниження ризиків і виявлення

“Організації повинні впроваджувати стратегію багатошарового захисту”, радить доктор Олена Марш, старший науковий співробітник MITRE. “Поєднання виявлення та реагування на загрози (EDR) з системами запобігання вторгненням на основі мережі (IPS), суворе дозволення застосувань та своєчасне управління патчами є критично важливими”. Практичні заходи включають:

• Впровадження апаратного ізоляції (Intel CET, ARM MTE) для зменшення ризику експлуатації ROP/JOP гаджетів.
• Реалізація посилення в реальному часі (JIT) та цілісності контролю потоку (CFI) у браузерах.
• Використання хмарних веб-додатків з брандмауерами (WAF) з індивідуальними підписами нульових вразливостей.
• Проведення навчальних вправ для червоних і фіолетових команд, зосереджених на моделюванні вторгнень з використанням нульових вразливостей.

Діяльність урядів і комерційних постачальників нагляду

GTIG приписує майже третину нульових вразливостей 2024 року традиційним шпигунським операціям. Наприклад, групи APT з Китаю експлуатували CVE-2024-27253 у VMware ESXi для викрадення інтелектуальної власності у підрядників оборонної промисловості. Тим часом, операції з Північної Кореї (група Lazarus) поєднали вторгнення з нульовими вразливостями з крадіжкою криптовалюти, націлюючись на гаманці високої вартості через спеціальні завантаження, доставлені через цілеспрямоване фішинг. Комерційні постачальники нагляду, такі як NSO Group, також фігурують у восьми кампаніях, пропонуючи інструменти на зразок Pegasus авторитарним режимам, незважаючи на санкції США, накладені наприкінці 2023 року.

Перспективи: Еволюція ландшафту загроз

Дослідники GTIG прогнозують подальше зростання використання нульових вразливостей до 2025 року, підживлене відкриттям вразливостей за допомогою штучного інтелекту та зростанням чорного ринку для наборів експлуатацій. Показники з панелі управління Google Patch Gap (I квартал 2025) демонструють середній проміжок у 19 днів між розгортанням експлуатації та доступністю патча. Зловмисники використовують цей затримку для горизонтального переміщення та викрадення даних в корпоративних мережах.

Додаткові рекомендації для підприємств

Команди безпеки повинні:

• Інтегрувати Платформи розвідки загроз (TIP) з рішеннями SIEM для автоматичного збору індикаторів компрометації нульових вразливостей (IoC).
• Вважати наявність зламу, впроваджуючи мікросегментацію через архітектури програмно-визначеного периметра (SDP).
• Підтримувати актуальний реєстр програмного забезпечення (SBOM) для швидкого відстеження вразливих компонентів.
• Проводити безперервний фуззинг критичних кодових шляхів, використовуючи AFL++ та кластери libFuzzer.

Висновок

Нульові вразливості залишаються потужним інструментом у сучасному кіберконфлікті. Висновки GTIG підкреслюють, що підприємства та уряди повинні покращити можливості виявлення, спростити управління патчами та впроваджувати проактивне моделювання загроз. Для окремих користувачів своєчасне оновлення пристроїв та активація вбудованих функцій безпеки (наприклад, Windows Defender Exploit Guard, Android Play Protect) забезпечують найкращий захист від прихованих, високостратегічних вторгнень.