На прошлой неделе о 0-day багах прошлого года отчитались специалисты Google Project Zero, а теперь собственную статистику обнародовала компания Mandiant. По данным аналитиков, количество случаев использования уязвимостей нулевого дня растет, и чаще всего за такими атаками стоят китайские хакеры.
Согласно отчету Mandiant, в прошлом году было зарегистрировано 80 случаев использования 0-day уязвимостей, что на 18 больше, чем в 2020 и 2019 годах вместе взятых. Большинство этих атак были связаны с кибершпионажем со стороны «правительственных хакеров» разных стран, но каждый третий злоумышленник также имел и финансовые мотивы.
Активнее всего уязвимости нулевого дня эксплуатировал Китай, который возглавил список с восемью 0-day эксплоитам, использованными в атаках в 2021 году. На второе место Mandiant ставит Россию с двумя эксплоитами, а замыкает тройку Северная Корея с одним эксплоитом в арсенале.
Наиболее заметной активностью китайских хакеров исследователи называют атаки хак-группы Hafnium, которая использовала сразу четыре 0-day уязвимости в Microsoft Exchange для доступа к электронной почте западных организаций.
Помимо этого Mandiant отмечает рост числа программ-вымогателей, которые эксплуатируют уязвимости нулевого дня для взлома сетей компаний и последующего развертывания шифровальщиков. Одним из ярких примеров применения такой тактики стала хак-группа HelloKitty, использовавшая баг нулевого дня в устройствах SonicWall SMA 100 VPN.
Аналитики Mandiant прогнозируют, что в 2022 году ситуация лишь продолжит ухудшаться:
«Мы предполагаем, что масштабные кампании, основанные на эксплуатации уязвимостей нулевого дня, станут более доступными для более широкого круга правительственных и финансово мотивированных атакующих. Это происходит, в том числе, за счет увеличения количества поставщиков, продающих эксплоиты, а также сложных вымогательских кампаний, [операторы которых] потенциально способны разрабатывать кастомные эксплоиты».
