Китайская компания решила купить в России сведения о критических уязвимостях
Несколько российских компаний, специализирующихся на информационной безопасности, получили предложение продать уязвимости в операционных системах Android, iOS, браузерах и другом софте от китайской компании. Об этом сообщает «Коммерсантъ» со ссылкой на источники в пяти таких компаниях.
Заказ поступил от некого Роберта Невского, который назвал себя представителем компании ShenZhen Computer Users Association (SZCUA) в России. Он предложил купить у компаний, специализирующихся на информационной безопасности, эксплойты, использующие уязвимости нулевого дня, — то есть те, о которых неизвестно компании-разработчику софта (эксплойты — это компьютерные программы, которые используют уязвимости в программном обеспечении для проведения атак на вычислительные системы).
Невский предложил оплату продукта в три этапа, первый из которых не может превысить 100 тысяч долларов. Вторая часть оплаты предлагалась после проверки эксплойтов, а третья — после двух-трех месяцев, в случае, если об уязвимости так и не станет известно широкой публике.
В SZCUA заявили, что «ассоциация не ведет бизнес и никогда не делала таких вещей». В организации не смогли назвать причину рассылки с почты на домене szcua.org, а также ответить на вопрос, работает ли у них сотрудник по имени Роберт Невский.
«Надо понимать, что легального рынка 0day не существует. Все имеющиеся на западном рынке покупатели эксплойтов, а именно брокеры или продавцы шпионского ПО, обладают крайне сомнительной репутацией, поскольку занимаются темными делами на грани между преступностью и спецслужбами», — говорит ведущий исследователь отдела аудита защищенности Digital Security Сергей Белов.
В 2015 году несколько специалистов в области информационной безопасности из Великобритании сообщали в твиттере, что к ним поступали аналогичные предложения от SZCUA. Один из специалистов, сооснователь хакерской конференции Steelcon Робин Вуд, предположил, что SZCUA может передавать эксплойты «государственным хакерским командам» или продавать их на черном рынке в Китае. Вуд рассказал «Коммерсанту», что представители SZCUA связывались с ним несколько раз за последние 18 месяцев, а также отметил их компетентность в сфере информационной безопасности.