گزارش گوگل: هکرهای دولتی پیشتاز در استفاده از آسیب‌پذیری‌های روز صفر شناخته‌شده

بر اساس پژوهش جدید گوگل، هکرهایی که برای دولت‌ها کار می‌کنند، مسئول بخش عمده‌ای از بهره‌برداری‌های شناخته‌شده از آسیب‌پذیری‌های روز صفر (zero-day exploits) در حملات سایبری واقعی طی سال گذشته بوده‌اند.

گزارش گوگل نشان می‌دهد تعداد این بهره‌برداری‌ها از ۹۸ مورد در سال ۲۰۲۳ به ۷۵ مورد در سال ۲۰۲۴ کاهش یافته است. این گزارش اشاره می‌کند که از نسبت آسیب‌پذیری‌های روز صفر که گوگل توانسته مسئولیت آن را مشخص کند (یعنی هکرهایی که از آن‌ها سوءاستفاده کرده‌اند را شناسایی کرده)، حداقل ۲۳ مورد به هکرهای تحت حمایت دولت‌ها مرتبط بوده‌اند.

از این ۲۳ مورد، ۱۰ آسیب‌پذیری روز صفر مستقیماً به هکرهایی که برای دولت‌ها کار می‌کنند نسبت داده شده، از جمله پنج مورد مرتبط با چین و پنج مورد دیگر با کره شمالی.

هشت مورد دیگر به عنوان مواردی شناسایی شدند که توسط سازندگان بدافزارهای جاسوسی (spyware) و تسهیل‌کنندگان نظارت توسعه یافته‌اند، مانند گروه NSO، که معمولاً ادعا می‌کنند محصولات خود را فقط به دولت‌ها می‌فروشند. در میان این هشت مورد ساخته‌شده توسط شرکت‌های بدافزار جاسوسی، گوگل همچنین باگ‌هایی را که اخیراً توسط مقامات صربستان با استفاده از دستگاه‌های آنلاک‌کننده تلفن Cellebrite مورد سوءاستفاده قرار گرفته‌اند، محاسبه کرده است.

کلمنت لسین (Clément Lecigne)، مهندس امنیتی در گروه اطلاعات تهدید گوگل (GTIG)، به تک‌کرانچ گفت که شرکت‌های بدافزار جاسوسی "منابع بیشتری را در امنیت عملیاتی (operational security) سرمایه‌گذاری می‌کنند تا از افشای قابلیت‌هایشان جلوگیری کرده و در اخبار قرار نگیرند."

جیمز سادووسکی (James Sadowski)، تحلیلگر اصلی در GTIG، اظهار داشت که فروشندگان نظارت به تکثیر ادامه می‌دهند. او افزود: "در مواردی که اقدامات اجرایی قانون یا افشای عمومی باعث تعطیلی فروشندگان شده، فروشندگان جدیدی برای ارائه خدمات مشابه ظهور کرده‌اند." سادووسکی نتیجه گرفت: "تا زمانی که مشتریان دولتی به درخواست و پرداخت برای این خدمات ادامه دهند، این صنعت به رشد خود ادامه خواهد داد."

۱۱ مورد باقی‌مانده از آسیب‌پذیری‌های روز صفر شناخته‌شده احتمالاً توسط مجرمان سایبری، مانند اپراتورهای باج‌افزار که دستگاه‌های سازمانی از جمله VPN و روترها را هدف قرار می‌دهند، مورد سوءاستفاده قرار گرفته‌اند.

این گزارش همچنین نشان داد که اکثریت ۷۵ آسیب‌پذیری روز صفر مورد سوءاستفاده قرار گرفته در سال ۲۰۲۴ پلتفرم‌ها و محصولات مصرف‌کننده، مانند تلفن‌ها و مرورگرها را هدف قرار داده‌اند؛ در حالی که بقیه دستگاه‌هایی را که معمولاً در شبکه‌های شرکتی یافت می‌شوند، هدف قرار داده‌اند.

خبر خوب، طبق گزارش گوگل، این است که سازندگان نرم‌افزار که در برابر حملات روز صفر دفاع می‌کنند، یافتن باگ‌ها را برای سازندگان بهره‌برداری به طور فزاینده‌ای دشوارتر می‌کنند. در این گزارش آمده است: "ما شاهد کاهش قابل توجهی در بهره‌برداری از آسیب‌پذیری‌های روز صفر برخی اهداف که در گذشته محبوب بودند، مانند مرورگرها و سیستم‌عامل‌های موبایل هستیم."

سادووسکی به طور خاص به حالت قرنطینه (Lockdown Mode) اشاره کرد، قابلیتی ویژه برای iOS و macOS که عملکرد خاصی را با هدف تقویت امنیت تلفن‌های همراه و رایانه‌ها غیرفعال می‌کند و سابقه اثبات‌شده‌ای در متوقف کردن هکرهای دولتی دارد؛ همچنین به Memory Tagging Extension (MTE)، ویژگی امنیتی تراشه‌های مدرن گوگل پیکسل که به شناسایی انواع خاصی از باگ‌ها و بهبود امنیت دستگاه کمک می‌کند.

گزارش‌هایی مانند گزارش گوگل ارزشمند هستند زیرا داده‌هایی را در اختیار صنعت و ناظران قرار می‌دهند که به درک ما از نحوه عملکرد هکرهای دولتی کمک می‌کند - حتی اگر یک چالش ذاتی در شمارش آسیب‌پذیری‌های روز صفر این باشد که به دلیل ماهیتشان، برخی از آن‌ها شناسایی نمی‌شوند و از میان آن‌هایی که شناسایی می‌شوند، برخی هنوز بدون انتساب باقی می‌مانند.