Секретная война с 0-днем: шпионы, брокеры и кибероружие
Долгое время использование кибероружия для шпионажа считалось прерогативой узкого круга спецслужб Однако властей США в отношении Operation Zero раскрыло масштаб торговли уязвимостями нулевого дня (zero-day, 0-day)
Сегодня вокруг эксплойтов сформировалось два рынка: один — со своими брокерами, прайс-листами и поставщиками и второй, где оседает хакерский софт в результате утечек или преднамеренных сливов 💸👀
Чем чревата экономия на разведке, сколько государства готовы заплатить за взлом смартфона и как доверять исследователям, которые обнаруживают баг спустя десятилетия? Ответы в новом материале ForkLog
🤔💻
Участники рынка Уязвимость нулевого дня — это критическая ошибка в программном обеспечении или оборудовании, используемая хакерами до того, как разработчик узнает о ней и выпустит исправление (патч) Название намекает на то, что у создателей есть ноль дней на устранение угрозы
⏰🔒
На рынке существует спрос не на сам программный баг, а на «окно возможностей» — время гарантированного скрытого доступа в систему до обнаружения 🔓💻
Рынок 0-day-уязвимостей представлен тремя категориями участников:
Исследователь кибербезопасности
Специалист или команда, находящая уязвимость 🔍💻
Брокер
Компании-посредники, скупающие эксплойты, дорабатывающие их до состояния готового коммерческого продукта (цепочки заражения) для перепродажи 💸📈
Заказчик
Разведывательные и военные ведомства, которым нужен инструмент для шпионажа под ключ — более дешевого и безопасного средства, чем внедрение агентуры на местах 🕵️♂️🔒
На лезвии легитимности Этот рынок долгое время оставался в серой зоне, однако недавние события пролили свет на его реальные масштабы
В феврале 2026 года Минфин и Госдеп США ввели санкции против российской компании «Матрица» (бренд Operation Zero) и ее основателя Сергея Зеленюка 🚫👊
Организация открыто позиционировала себя как брокер кибероружия
Согласно материалам расследования Управления по контролю за иностранными активами Минфина США (OFAC), главным правилом Operation Zero была продажа инструментов клиентам из стран за пределами НАТО и в первую очередь государственным разведывательным органам 🌎📈
Ключевым в деле оказался поставщик Operation Zero, похитивший доступы у оборонного подрядчика США (предположительно L3Harris)
С 2022 по 2025 год австралийскому фрилансеру Питеру Уильямсу удалось украсть восемь 0-day эксплойтов, созданных для нужд разведки Он продал инструменты за $1,3 млн в криптовалюте
💸🔒
Это не первый случай использования кибероружия против граждан США, но он «сломал» негласные правила рынка Пока другие игроки старались балансировать в серой зоне «национальной безопасности», Operation Zero пошла на прямую конфронтацию с НАТО
🚫👊
Ранее в санкционный список OFAC разработчики вредоносов попадали в основном после резонансных событий:
2021 год — ограничения коснулись израильской компании — создателя Pegasus, использовавшегося для слежки за дипломатами, журналистами и оппозиционерами;
2024 год — за содействие в репрессиях и слежке санкции наложены на разработчиков ПО Predator (Европа, Ближний Восток) 🚫👊
Определение легальности продавца кибероружия весьма шаткое
Рынок официальных или полуофициальных (серых) организаций — высококонкурентная среда с явными лидерами вроде Crowdfense из ОАЭ Этой компании удается обходить стороной списки OFAC по ряду причин:
юрисдикция и экспортный контроль
Crowdfense зарегистрирована в стране, поддерживающей партнерские отношения с США и их союзниками По заявлению ее руководства, она подчиняется жестким правилам экспортного контроля и комплаенса
Передача кибероружия регулируется, как и торговля обычным вооружением;
выбор заказчиков Клиенты — Five Eyes, а также правительства и правоохранительные органы стран-союзников
Для США Crowdfense — легальный подрядчик, который поставляет оружие;
легализация Crowdfense позиционирует себя как инструмент обеспечения национальной безопасности
Покупая уязвимость, они заключают с хакером договор о неразглашении и передают эксплойт, например, спецслужбам для слежки за террористами С юридической точки зрения это закупка спецсредств
🕵️♂️🔒
Однако эта «белая зона» остается условной Практика показывает, что статус легального игрока держится до тех пор, пока его инструменты не оказываются в центре публичного скандала — особенно если речь идет о слежке за журналистами или политиками в западных странах
🚫👊
Прайс-лист Дисклеймер Этот раздел носит исключительно информационный характер, имеющий общественную значимость Редакция ForkLog считает неприемлемыми как киберпреступность, так и любые другие формы насилия
📢👊
Впервые вывести торговлю уязвимостями нулевого дня из даркнета в публичную и формально законную плоскость решилась компания Zerodium Основанная в 2015 году исследователем кибербезопасности Чоуки Бекраром организация начала открыто публиковать прайс-листы на скупку эксплойтов
💸📈
Приобретенные доступы компания дорабатывала и перепродавала узкому кругу проверенных клиентов — в первую очередь государственным спецслужбам и правоохранительным органам стран НАТО 🕵️♂️🔒
Однако к середине 2020-х эта модель перестала быть конкурентоспособной
Давление усилилось сразу с двух сторон С одной — появление новых игроков с существенно большими бюджетами, прежде всего дубайской Crowdfense
С другой — ускорение циклов обновлений у Apple и Google: срок жизни уязвимостей сокращался, а риски для брокеров.
На этом фоне верхняя планка выплат Zerodium — около — перестала выглядеть привлекательной Рынок быстро сместился в сторону более агрессивного ценообразования
Crowdfense фактически задала новый ориентир: стоимость сложных цепочек эксплуатации приблизилась к $10 млн, а в 2024 году компания $30 млн на программу скупки эксплойтов 💸📈
Сегодня самым востребованным на рынке остается бесследный взлом смартфона без участия жертвы (zero-click)
На момент написания за доступ к подобным эксплойтам для iOS брокер до $7 млн и до $5 млн — для Android 💸📊
Компании-посредники не сообщают разработчику
По материалам ForkLog