2021 har slagit rekordet för nolldagars hackingattacker

0day exploit attackerar dator

Ms Tech | Getty





En zero-day exploit – ett sätt att starta en cyberattack via en tidigare okänd sårbarhet – är nästan det mest värdefulla en hackare kan ha. Dessa bedrifter kan bära prislappar norr om 1 miljon dollar på den öppna marknaden.

Och i år har cybersäkerhetsförsvarare fångat det högsta antalet någonsin, enligt flera databaser, forskare och cybersäkerhetsföretag som pratade med MIT Technology Review. Minst 66 nolldagar har hittats i bruk i år, enligt databaser som 0-dagars spårningsprojekt — Nästan dubbelt så mycket för 2020, och mer än något annat år på rekord.

Men medan rekordsiffran väcker uppmärksamhet, kan det vara svårt att veta vad det säger oss. Betyder det att det används fler nolldagar än någonsin? Eller är försvarare bättre på att fånga de hackare som de tidigare skulle ha missat?



En ökning är säkert vad vi ser, säger Eric Doerr, vice vd för molnsäkerhet på Microsoft. Den intressanta frågan är vad betyder det? Faller himlen? Jag är i lägret av 'Ja, det är nyanserat.'

Hackare arbetar med full tilt

En bidragande faktor till den högre andelen rapporterade nolldagar är den snabba globala spridningen av hackverktyg.

Kraftfulla grupper häller alla massor av pengar på noll-dagar att använda för sig själva – och de skördar frukterna.



Överst i näringskedjan finns de statligt sponsrade hackarna. Bara Kina misstänks vara ansvarigt för nio nolldagar i år, säger Jared Semrau, chef för sårbarhet och exploatering på det amerikanska cybersäkerhetsföretaget FireEye Mandiant. USA och dess allierade har helt klart några av de mest sofistikerade hackningsmöjligheter , och det talas alltmer om använda dessa verktyg mer aggressivt .

Vi har den här högsta nivån av sofistikerade spionageskådespelare som definitivt arbetar i full riktning på ett sätt som vi inte sett de senaste åren, säger Semrau.

Få som vill ha nolldagar har kapaciteten i Peking och Washington. De flesta länder som letar efter kraftfulla bedrifter har inte talang eller infrastruktur för att utveckla dem på hemmaplan, så de köper dem istället.



Det är enklare än någonsin att köpa nolldagar från den växande exploateringsindustrin. Det som en gång var oöverkomligt dyrt och exklusivt är nu mer tillgängligt.

Vi såg dessa statliga grupper gå till NSO-gruppen eller Candiru, dessa alltmer välkända tjänster som låter länder byta finansiella resurser för offensiv förmåga, säger Semrau. Förenade Arabemiraten, USA och europeiska och asiatiska makter har alla hällt pengar i exploateringsindustrin.

Google säger att det är för lätt för hackare att hitta nya säkerhetsbrister Angripare utnyttjar samma typer av mjukvarusårbarheter om och om igen, eftersom företag ofta missar skogen för träden.

Och Även cyberkriminella har använt zero-day attacker för att tjäna pengar under de senaste åren, och hittade brister i programvara som gör att de kan köra värdefulla ransomware-program.



Ekonomiskt motiverade skådespelare är mer sofistikerade än någonsin, säger Semrau. En tredjedel av de nolldagar vi nyligen har spårat kan spåras direkt tillbaka till ekonomiskt motiverade aktörer. Så de spelar en betydande roll i denna ökning som jag inte tror att många ger kredit för.

Cyberförsvarare har ett bättre strålkastarljus

Även om det kan finnas ett ökande antal människor som utvecklar eller köper nolldagar, är det rekordstora antalet rapporterade inte nödvändigtvis en dålig sak. Faktum är att vissa experter säger att det kan vara mestadels goda nyheter.

Ingen vi pratade med tror att det totala antalet nolldagsattacker mer än fördubblades på så kort tid – bara antalet som har fångats. Det tyder på att försvarare blir bättre på att fånga hackare på bar gärning.

Du kan titta på uppgifterna, som t.ex Googles nolldagars kalkylblad , som spårar nästan ett decennium av betydande hacks som fångades i naturen.

En förändring som trenden kan återspegla är att det finns mer pengar tillgängliga för försvar, inte minst från större buggpremier och belöningar som lagts fram av teknikföretag för upptäckten av nya nolldagssårbarheter. Men det finns också bättre verktyg.

Försvarare har helt klart gått från att bara kunna fånga relativt enkla attacker till att upptäcka mer komplexa hack, säger Mark Dowd, grundare av Azimuth Security. Jag tror att det här betecknar en eskalering av förmågan att upptäcka mer sofistikerade attacker, säger han.

Grupper som Googles Threat Analysis Group (TAG), Kasperskys Global Research & Analysis Team (GReAT) och Microsofts Threat Intelligence Center (MSTIC) har en enorma mängder av talang, resurser och data – faktiskt så mycket att de konkurrerar med en underrättelsebyrås förmåga att upptäcka och spåra motståndares hackare.

Företag som Microsoft och CrowdStrike är bland dem som bedriver upptäcktsinsatser i massiv skala. Där gamla verktyg, som antivirusprogram, innebar färre ögonglober på konstiga aktiviteter, kan idag ett stort företag fånga en liten anomali över miljontals maskiner och sedan spåra den tillbaka till nolldagen som användes för att komma in.

Hur Kinas attack mot Microsoft eskalerade till en vårdslös hackingspree

Dagar innan Microsoft släppte en fix för en hemlig attack mot sina e-postsystem, ökade hackare sin aktivitet. Nu säger experter att det krävs snabba åtgärder.

En del av anledningen till att du ser mer nu är att vi hittar mer, säger Microsofts Doerr. Vi är bättre på att lysa i rampljuset. Nu kan du lära dig av vad som händer hos alla dina kunder, vilket hjälper dig att bli smartare snabbare. I den dåliga situationen när du ser något nytt, kommer det att påverka en kund istället för 10 000.

Verkligheten är dock mycket rörigare än teorin. Tidigare i år, flera hackningsgrupper s lanserade offensiver mot Microsoft Exchange e-postservrar. Det som började som en kritisk nolldagsattack blev kort ännu värre under perioden efter att en fix blev tillgänglig men innan den faktiskt tillämpades på användare. Det gapet är en sweet spot som hackare älskar att träffa.

Som regel är dock Doerr perfekt.

Exploateringen blir svårare – och mer värdefull

Även om nolldagar ses mer än någonsin, finns det ett faktum som alla experter är överens om: de blir svårare och dyrare att genomföra.

Bättre försvar och mer komplicerade system innebär att hackare måste göra mer arbete för att bryta sig in i ett mål än för ett decennium sedan – attacker är dyrare och kräver mer resurser. Vinsten är dock att med så många företag som verkar i molnet kan en sårbarhet öppna miljontals kunder för attacker.

För tio år sedan, när allt var på plats, var det många av attackerna som bara ett företag skulle se, säger Doerr, och få företag var utrustade för att förstå vad som pågick.

Inför förbättrat försvar måste hackare ofta länka ihop flera utnyttjande istället för att använda bara en. Dessa exploateringskedjor kräver fler nolldagar. Framgång med att upptäcka dessa kedjor är också en del av orsaken till den kraftiga ökningen av antalet.

Idag, säger Dowd, måste angripare investera mer och riskera mer genom att ha dessa kedjor för att uppnå sina mål.

En viktig signal kommer från de stigande kostnaderna för de mest värdefulla bedrifterna. Den begränsade data som finns tillgänglig, som t.ex Zerodiums offentliga nolldagspriser , visar så mycket som en 1 150 % ökning i kostnaden för de högsta hackarna under de senaste tre åren.

Men även om nolldagsattacker är svårare har efterfrågan ökat och utbudet följer efter. Himlen kanske inte faller - men det är inte heller en perfekt solig dag.

Dölj