Les acteurs de la menace offrent des millions pour les zero-days, les développeurs parlent d’exploit-as-a-service

Threat actors offer millions for zero-days, developers talk of exploit-as-a-service

Bien que principalement cachés dans des conversations privées, des détails émergent parfois sur l’économie parallèle des exploits de vulnérabilité sur des forums clandestins, révélant à quel point certains acteurs de la menace ont un portefeuille.

Certains adversaires revendiquent des budgets de plusieurs millions de dollars américains pour acquérir des exploits zero-day, mais ceux qui n’ont pas ce genre d’argent peuvent toujours avoir une chance d’utiliser les zero-days si une nouvelle idée d’« exploit-as-a-service » devient réalité.

Gros budgets d’acquisition d’exploits

Le dialogue sur les vulnérabilités, anciennes et nouvelles, sur les communautés cybercriminelles comprend parfois des offres d’achat d’exploits pour beaucoup d’argent.

Début mai, un utilisateur du forum a offert 25 000 $ pour le code d’exploitation de preuve de concept (PoC) pour CVE-2021-22893, une vulnérabilité de gravité critique dans Pulse Secure VPN qui avait été exploitée par des pirates chinois depuis au moins avril.

Un acteur menaçant offre 25 000 $ pour le PoC CVE-2021-22893

Un autre acteur avec des poches plus profondes a réclamé un budget allant jusqu’à 3 millions de dollars pour les bugs d’exécution de code à distance (RCE) sans interaction, les soi-disant exploits sans clic, pour Windows 10 et Linux.

Le même utilisateur a offert jusqu’à 150 000 $ pour des solutions originales pour les « méthodes de démarrage inutilisées dans Windows 10 » afin que les logiciels malveillants soient actifs à chaque démarrage du système.

Un acteur menaçant réclame un budget de 3 millions de dollars pour des exploits zero-day

En comparaison, la société d’acquisition d’exploits Zerodium offre jusqu’à 1 million de dollars pour un RCE sans clic dans Windows 10. Le paiement le plus élevé du courtier peut atteindre 2,5 millions de dollars pour une persistance de la chaîne complète sans clic dans Android, suivi de 2 millions de dollars pour l’équivalent iOS.

Les messages ont été capturés par des chercheurs de la société de protection contre les risques Digital Shadows, qui ont examiné l’activité des acteurs de la menace pour tirer parti des failles de sécurité.

Au cours de l’enquête, ils ont observé que certains acteurs s’engageaient dans des pourparlers sur des prix zéro jour pouvant atteindre 10 millions de dollars.

Les chercheurs notent que ces prix ne sont plus réservés aux pirates informatiques des États-nations et que les cybercriminels, en particulier les groupes de ransomware, peuvent également se les permettre.

Option d’exploitation en tant que service

Réaliser une grosse vente, cependant, n’est pas facile et peut prendre beaucoup de temps. Si cela prend trop de temps, les développeurs peuvent perdre la chance de gagner beaucoup d’argent car les concurrents peuvent proposer une variante d’exploit, faisant baisser le prix.

Pour cette raison, les cybercriminels discutent maintenant d’une solution « d’exploit en tant que service » qui permettrait aux développeurs d’exploits de louer un exploit zero-day à plusieurs parties.

Cette alternative pourrait générer d’énormes profits pour les développeurs d’exploits zero-day, en attendant un acheteur définitif, selon les chercheurs.

« De plus, avec ce modèle, les locataires pourraient tester le zero-day proposé et décider plus tard d’acheter l’exploit sur une base exclusive ou non exclusive » – ​​Digital Shadows

Tout comme dans le cas des logiciels malveillants en tant que service, la location des exploits permettrait à des adversaires moins qualifiés de déployer des attaques plus complexes et d’atteindre des cibles plus précieuses.

Types d’utilisateurs du forum souterrain

Le rapport de Digital Shadows souligne que les adversaires, les cybercriminels à motivation financière ou les pirates informatiques parrainés par l’État, intègrent rapidement de nouvelles méthodes d’attaque et recherchent constamment de nouveaux codes d’exploitation.

« Cette scène regorge d’acteurs très divers qui revendiquent toute une gamme d’expertises techniques et de motivations » – Ombres numériques

Les utilisateurs de différents niveaux de compétences partagent des connaissances et des outils pour améliorer leurs attaques et construire des relations plus solides qui pourraient s’avérer lucratives à long terme.

Certains utilisateurs se démarquent dans ces communautés par le dialogue qu’elles génèrent soit sur la face publique soit sur la face privée du forum sur l’exploitation des vulnérabilités.

Les chercheurs de Digital Shadows ont classé certains d’entre eux, admettant qu’« il peut y avoir un croisement majeur » entre eux :

  • High-rollers : acteurs de la menace qui vendent et achètent des exploits zero-day pour des prix à partir de 1 000 000 $, avec des portefeuilles qui peuvent être parrainés par un État-nation ou des entrepreneurs prospères
  • Marchands généraux : vendeurs qui commercialisent des vulnérabilités moins critiques, des kits d’exploitation et des bases de données avec des informations (nom et adresses IP) d’entreprises présentant des vulnérabilités non corrigées
  • Acheteurs généraux : personnes possédant des compétences techniques qui sont intéressées par l’achat d’exploits mais qui ont rarement les fonds pour effectuer un achat ; ils attendent généralement que les prix baissent
  • Communicateurs de code : acteurs qui partagent et publient du code d’exploitation PoC sur GitHub
  • Show-offs : membres du forum hautement techniques qui discutent des bugs, participent à des compétitions et partagent certaines de leurs connaissances sur la réalisation d’un exploit
  • Débutants : les utilisateurs moins techniques qui apprennent des membres plus avertis du forum, ils appliquent parfois ce qu’ils ont appris et partagent les informations sur d’autres forums pour gagner plus de crédit ou simplement en tant que service communautaire
  • Newshounds : contributeurs qui partagent des articles et des nouvelles sur les vulnérabilités récemment découvertes

Les communautés d’acteurs menaçants sont très actives et profondément connectées à la littérature technique d’infosec, s’efforçant de trouver de nouvelles méthodes d’attaque qui leur donneraient accès à des cibles plus importantes.

Ils ne recherchent pas forcément de nouvelles vulnérabilités, bien que celles-ci soient les plus convoitées, mais explorent également des bugs plus anciens qui n’ont pas reçu suffisamment d’attention et pourraient être exploités.