Атакуй, подешевело

На подпольном рынке снижаются цены и ассортимент программ для поиска уязвимых мест в компьютерных системах компаний, выяснили в Trend Micro. Это может быть связано с ростом выплат по программам для хакеров, когда вознаграждения за найденные уязвимости платят сами вендоры. Но среди российских компаний в таких проектах участвуют только самые крупные, поэтому цены на уязвимости на отечественном рынке и их разнообразие остаются высокими. Впрочем, ряд экспертов полагают, что на самом деле рынок не сокращается, а просто уходит в еще более глубокое подполье.

Выйти из полноэкранного режима

Развернуть на весь экран

“Ъ” ознакомился с исследованием Trend Micro, посвященным деятельности теневых форумов, в том числе русскоязычных XSS и Exploit. Из него следует, что за последние два года на форумах в несколько раз снизились число объявлений и стоимость эксплойтов — программ, которые находят уязвимости в вычислительных системах разных компаний для проведения атак. Например, цены на уязвимости в продуктах Zyxel (производитель роутеров и маршрутизаторов) за полгода упали с $20 тыс. до $2 тыс. В то же время на русскоязычных теневых форумах цены и разнообразие эксплойтов остаются выше, отмечается в исследовании.

Снижение прибыли от торговли уязвимостями на теневом рынке в Trend Micro связывают в том числе с распространением программы Bug Bounty («охота за багами») и ростом выплат по ней.

Программа предполагает, что компании платят хакерам вознаграждение за найденные уязвимости. Ее внедряют большинство международных корпораций, но российские игроки все еще не готовы массово присоединиться к Bug Bounty (см. “Ъ” от 29 января). Пока публично о работе в этом направлении заявляли «Азбука вкуса», «Яндекс», «Лаборатория Касперского», Ozon, «ВКонтакте», Тинькофф-банк.

С запуском Bug Bounty в IT-корпорациях выявление уязвимостей стало официальным видом заработка, это позволило зайти в сегмент большому числу участников, включая не только белых хакеров, и стоимость эксплойтов снизилась, отмечает основатель компании «Интернет-Розыск» Игорь Бедеров. В последнее время в киберпреступность пришло много людей, не обладающих хорошей квалификацией, для них эксплойт не является рабочим инструментом, поэтому спрос на него падает, добавляет руководитель аналитического центра Zecurion Владимир Ульянов.

Но есть и другая версия. Многие хакерские форумы мониторятся правоохранительными органами и теряют доверие хакеров, поэтому те начинают работать с базой проверенных клиентов, поясняет руководитель департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов.

На подпольных форумах видна только малая часть рынка реальных эксплойтов, согласны в департаменте Threat Intelligence Group-IB.

При этом на русскоязычных форумах продаж эксплойтов меньше, но они «серьезнее», уточняют в департаменте Threat Intelligence Group-IB. По их данным, на англоязычных форумах эксплойты чаще продают публично, и это дешевле, чем продажа из рук в руки, как это происходит в русскоязычной среде.

Стоимость эксплойта зависит от того, известна ли уязвимость и когда она была исправлена, отмечает операционный директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Антон Юдаков. По его словам, исходно информация об уязвимости может стоить тысячи и даже сотни тысяч долларов, но как только вендор выпускает патч, цена резко снижается.

Спрос на уязвимости нулевого дня (для которых пока не разработаны механизмы защиты) все еще достаточно высокий, и они часто применяются в атаках, говорит Борис Ларин. Однако Сергей Ненахов возражает, что сейчас защищенность инфраструктуры многих компаний «выросла настолько, что даже наличие эксплойта нулевого дня не дает хакерам полной уверенности в удачном исходе атаки».

Юлия Степанова