Рынок уязвимостей нулевого дня: от шпионажа до криптокраж

Теневой рынок кибероружия: от спецслужб до киберпреступников

Долгое время использование кибероружия для шпионажа оставалось прерогативой ограниченного круга спецслужб. Однако недавние расследования, в частности дело Operation Zero, пролили свет на истинные масштабы торговли уязвимостями нулевого дня (zero-day, 0-day). Сегодня вокруг эксплойтов сформировались два основных рынка: один — с развитой инфраструктурой, брокерами и прайс-листами, второй — куда хакерский софт попадает в результате утечек или целенаправленных сливов. Это поднимает важные вопросы о безопасности цифровых активов, включая криптовалюты, и о том, как доверять исследователям, обнаруживающим критические уязвимости.

Уязвимость нулевого дня представляет собой критическую ошибку в программном обеспечении или оборудовании, которую хакеры используют до того, как разработчик узнает о ней и выпустит исправление. Название «нулевой день» указывает на отсутствие у создателей времени для устранения угрозы. На этом рынке ценится не сам программный баг, а «окно возможностей» — период гарантированного скрытого доступа к системе до его обнаружения.

Рынок 0-day уязвимостей состоит из трех ключевых участников:

• Исследователь кибербезопасности: Специалист или команда, обнаруживающая уязвимость.
• Брокер: Посреднические компании, скупающие эксплойты, дорабатывающие их до коммерческого продукта (цепочки заражения) для последующей перепродажи.
• Заказчик: Разведывательные и военные ведомства, которым требуются готовые инструменты для шпионажа, что часто оказывается дешевле и безопаснее, чем внедрение агентов.

Эволюция и легитимность рынка

Долгое время этот рынок функционировал в «серой зоне», но недавние события сделали его более прозрачным. В феврале 2026 года Министерство финансов и Государственный департамент США ввели санкции против российской компании «Матрица» (бренд Operation Zero) и её основателя Сергея Зеленюка. Эта организация открыто позиционировала себя как брокер кибероружия. Согласно материалам расследования Управления по контролю за иностранными активами Минфина США (OFAC), Operation Zero продавала инструменты клиентам из стран, не входящих в НАТО, преимущественно государственным разведывательным органам.

Ключевым моментом в этом деле стал поставщик Operation Zero — австралийский фрилансер Питер Уильямс, который с 2022 по 2025 год похитил восемь 0-day эксплойтов, разработанных для нужд разведки США (предположительно у оборонного подрядчика L3Harris). Он продал эти инструменты за 1,3 миллиона долларов в криптовалюте. Этот случай стал прецедентом, поскольку нарушил негласные правила рынка, где другие игроки старались избегать прямой конфронтации с НАТО.

Ранее OFAC включал в санкционные списки разработчиков вредоносного ПО в основном после громких скандалов. Например, в 2021 году ограничения коснулись израильской NSO Group, создателя Pegasus, использовавшегося для слежки за дипломатами и журналистами. В 2024 году санкции были наложены на разработчиков Predator Intellexa и Cytrox за содействие в репрессиях и слежке.

Определение легальности продавцов кибероружия остаётся весьма зыбким. Рынок официальных или полуофициальных организаций является высококонкурентной средой с явными лидерами, такими как Crowdfense из ОАЭ. Эта компания успешно избегает санкционных списков OFAC благодаря нескольким факторам:

• Юрисдикция и экспортный контроль: Crowdfense зарегистрирована в стране, поддерживающей партнёрские отношения с США, и заявляет о строгом соблюдении правил экспортного контроля.
• Выбор заказчиков: Основные клиенты — страны альянса Five Eyes, а также правительства и правоохранительные органы стран-союзников. Для США Crowdfense фактически является легальным подрядчиком.
• Легализация: Компания позиционирует себя как инструмент обеспечения национальной безопасности, заключая с исследователями договоры о неразглашении и передавая эксплойты спецслужбам для борьбы с терроризмом.

Однако эта «белая зона» остаётся условной. Статус легального игрока сохраняется до тех пор, пока его инструменты не становятся причиной публичного скандала, особенно если речь идёт о слежке за журналистами или политиками в западных странах.

Ценообразование и этические дилеммы

Первой компанией, которая решилась вывести торговлю 0-day уязвимостями из даркнета в публичную плоскость, стала Zerodium. Основанная в 2015 году исследователем Чоуки Бекраром, она начала открыто публиковать прайс-листы на скупку эксплойтов. Приобретённые доступы дорабатывались и перепродавались узкому кругу проверенных клиентов, преимущественно государственным спецслужбам стран НАТО.

К середине 2020-х годов эта модель столкнулась с конкуренцией. С одной стороны, появились новые игроки с большими бюджетами, такие как дубайская Crowdfense. С другой — ускорились циклы обновлений у Apple и Google, сокращая срок жизни уязвимостей и увеличивая риски для брокеров. Максимальные выплаты Zerodium, около 2,5 миллиона долларов, перестали быть конкурентоспособными. Рынок быстро перешёл к более агрессивному ценообразованию.

Crowdfense фактически установила новые ориентиры: стоимость сложных цепочек эксплуатации приблизилась к 10 миллионам долларов, а в 2024 году компания выделила 30 миллионов долларов на программу скупки эксплойтов. Сегодня наиболее востребованным остаётся бесследный взлом смартфона без участия жертвы (zero-click). На текущий момент брокеры предлагают до 7 миллионов долларов за такие эксплойты для iOS и до 5 миллионов долларов для Android.

«Компании-посредники не сообщают разработчику об уязвимости, сохраняя ее работоспособность для заказчика. Эта эксклюзивность позволяет им выписывать чеки исследователям, несопоставимые по суммам с классическими баг-баунти от ведущих производителей ПО и гаджетов.»

Для сравнения, за весь 2025 год общая сумма вознаграждений Google по программе баг-баунти составила около 17 миллионов долларов. В 2022 году технологический гигант выплатил рекордные 605 000 долларов за цепочку из пяти эксплойтов в Android. В таких условиях аналитики кибербезопасности сталкиваются с дилеммой: получить огромное вознаграждение, зная, что эксплойт может стать кибероружием, или работать в рамках ответственного раскрытия уязвимостей.

Крупнейшим представителем «белых шляп» в этой области является Zero Day Initiative (ZDI). Эта организация скупает информацию о брешах в защите и передаёт её Microsoft, Apple или Google, требуя исправления в определённый срок. ZDI предлагает до 1 миллиона долларов только за исключительные и очень сложные векторы атак в рамках соревнований Pwn2Own. В повседневной практике каталог белого брокера оценивается от 500 до 150 000 долларов. Помимо прямых выплат, ZDI использует систему стимулов, где накопленные баллы повышают статус исследователя и дают бонусы.

Таким образом, рынок 0-day всё чётче разделяется на два сегмента: высокодоходный, но непрозрачный, и легальный, но значительно менее прибыльный. Разрыв между ними продолжает увеличиваться.

Миграция кибероружия и угроза для криптоактивов

Одной из главных проблем рынка эксплойтов является невозможность удержать их под контролем. Когда спецслужбы применяют 0-day, код может быть перехвачен, проанализирован и скопирован. Инструмент теряет эксклюзивность и становится доступным группировкам, нацеленным на массовые атаки. Весной 2026 года два резонансных инцидента — с ПО Coruna и DarkSword — продемонстрировали такую миграцию.

В марте Google Threat Intelligence Group (GTIG) зафиксировала использование фреймворка Coruna, содержащего 23 эксплойта и пять полных цепочек zero-day для iOS версий от 13.0 до 17.2.1. Исследователи установили, что Coruna связана с Operation Triangulation — шпионской кампанией 2023 года. Исходный код, вероятно, был написан подрядчиком Минобороны США, а затем перепродан через брокеров на вторичном рынке. Дальнейший путь Coruna был следующим:

• Фреймворк использовался хактивистской группировкой UNC6353 (Star Blizzard) для целевого шпионажа и атак на украинских пользователей.
• Инструмент попал в руки китайских хакеров UNC6691, которые разместили правительственное кибероружие на фейковых криптовалютных и финансовых сайтах. При посещении таких ресурсов через Safari, Coruna незаметно загружала стилер PLASMAGRID, открывая доступ к данным устройства, включая криптокошельки.

Другой пример — DarkSword. Атаки проводились через вредоносные сайты: при их посещении на iPhone запускалась цепочка заражения, обеспечивающая полный доступ к устройству без ведома пользователя. Схема распространения DarkSword была аналогичной: изначально его использовала группа UNC6353 для внедрения шпионских модулей. Впоследствии фреймворк был модифицирован, получив инфостилеры GHOSTBLADE, GHOSTKNIFE и GHOSTSABER, нацеленные на кражу финансовых данных, включая криптокошельки. Финалом жизненного цикла DarkSword стала его утечка на GitHub в марте 2026 года. Эксперты предполагают, что фирма-разработчик могла обанкротиться и попыталась монетизировать остатки кода на сером рынке, в результате чего инструмент уровня АНБ оказался в открытом доступе для рядовых киберпреступников.

Уязвимости в блокчейне: случайность или умысел?

На фоне активной торговли эксплойтами возникает вопрос: является ли обнаруженная брешь случайной ошибкой программиста или намеренно заложенным бэкдором? В кибербезопасности существует концепция «правдоподобного отрицания» (plausible deniability) — ключевой принцип архитектуры профессиональных бэкдоров. Идеальная программная закладка должна выглядеть как тривиальная уязвимость: опечатка, некорректная работа с памятью или классическое переполнение буфера. Если исследователь находит такую «дыру», вендор может заявить о случайном баге, выпустить патч и сохранить репутацию. Доказать злой умысел в миллионах строк кода практически невозможно.

Тем не менее, существуют маркеры, позволяющие заподозрить бэкдор:

• Нестандартная криптография: Использование малоизвестных или ослабленных криптографических констант, уязвимых к математическим атакам.
• Аномальная логика: Усложнённая маршрутизация данных там, где она не требуется с точки зрения архитектуры.
• Обфускация: Намеренное запутывание участков кода в open-source проектах или компрометация цепочки поставок через внедрение вредоносного кода в сторонние библиотеки.

Распространено мнение, что закрытые системы, такие как iOS или Android, потенциально более уязвимы из-за ограниченной прозрачности. В противовес им часто приводят блокчейн-проекты с открытым исходным кодом. Однако практика показывает, что и они не гарантируют полной безопасности.

В апреле 2026 года исследователь Лоик Морель обнаружил вычислительную ошибку в механизме биткоина. Согласно протоколу, сложность майнинга корректируется каждые 2016 блоков для поддержания 10-минутного времени генерации. Однако из-за бага в коде временная метка последнего блока предыдущего периода не учитывается при расчёте следующего (сравниваются метки 2015 блоков, а не 2016). Этот разрыв делает возможной атаку «искривления времени». Если майнер или пул с подавляющим хешрейтом воспользуется уязвимостью, он сможет обмануть алгоритм. Система решит, что на добычу ушло больше времени, чем на самом деле, и критически снизит сложность, что позволит добывать биткоин с аномально высокой скоростью — до шести блоков в секунду.

Что это значит для майнеров и инвесторов из РФ/СНГ?

Описанные инциденты подчёркивают, что даже самые защищённые системы могут иметь уязвимости, которые активно используются и продаются на чёрном рынке. Для майнеров и держателей криптовалют из РФ/СНГ это означает повышенные риски. Утечки кибероружия, изначально предназначенного для шпионажа, могут быть модифицированы для кражи криптоактивов, как это произошло с Coruna и DarkSword. Важно использовать только проверенное программное обеспечение, регулярно обновлять операционные системы и приложения, а также применять двухфакторную аутентификацию для всех криптокошельков и бирж. Майнерам следует внимательно следить за обновлениями протоколов и быть готовыми к потенциальным атакам, направленным на манипулирование сложностью сети. В условиях растущего рынка 0-day уязвимостей, бдительность и соблюдение базовых правил кибербезопасности становятся критически важными для защиты цифровых активов.