«У кібер битві перемагає не той, хто може більше придбати експлойтів, а той, хто створив майстерню експлойтів.»
– Сунь Цзи
Розпочнемо з основ: усі програми мають вразливості. Кіберпростір є повністю людським витвором, з усіма наслідками, які випливають. Отже, кіберпростір надзвичайно вразливий, що є однією з його фундаментальних характеристик. Інші його характеристики включають відсутність відстані між точками – шлях між ними або миттєвий, або його немає зовсім, а також виняткову структурну складність – прості явища та об’єкти в кіберпросторі дуже швидко еволюціонують у надскладні процеси та мережі.
Вразливість кіберпростору є не теоретичною чи гіпотетичною, а реальною та експлуатованою. Вона дозволяє нападникам отримувати негласний доступ до систем. Негласний доступ означає, що власник системи не знає про його існування. Власник створює систему, її політику та заходи безпеки, але вразливості, про які він не знає, відкривають шлях для атак. Таким чином, поряд із санкціонованим доступом легітимних користувачів та адміністраторів з’являється несанкціонований, негласний доступ третіх сторін.
Чому виникають вразливості
Вразливості виникають через складність кіберпростору та недостатню увагу до безпеки. Це не завжди пряма вина розробників, оскільки в деяких випадках вони можуть не мати достатніх знань або часу на захист через вимоги ринку. Нагадую, сучасне програмне та апаратне забезпечення є дуже складним, що робить уникнення вразливостей практично неможливим.
Якщо кіберпростір має вразливості, які дозволяють отримання контролю над системами, то наступним питанням є “що ж тоді бекдори”?
Що таке бекдори
Бекдор (англ. backdoor) – це функціональність, створена розробниками або третіми сторонами з різними цілями. Легальні бекдори можуть бути необхідні для тестування або адміністрування. Наприклад, адміністративний інтерфейс є бекдором, який дає можливість виправляти помилки у системі.
Існують також приховані бекдори, які інтегровані в продукт без відома користувачів і навіть розробників. Деякі з них додаються свідомо третіми сторонами для отримання доступу до системи. Найбільш витончені бекдори використовують вразливості – недоліки коду, про які не знають розробники, і які залишаються невиправленими впродовж довгого часу.
Як держави використовують вразливості
Вразливості це корисні копалини кіберпростору. Знання про вразливості є цінним ресурсом, а експлойти – інструменти експлуатації вразливостей – складовою арсеналу для проведення кібер операцій. Вразливості дають змогу кібер операторам за допомогою експлойтів отримати негласний доступ до систем противника.
Проте є один нюанс: якщо вразливості справді потужні, вони не лише обіцяють державі доступ до чужих систем, але й несуть загрозу її власній кібербезпеці. Отже виникає дилема: тримати вразливості в секреті та акуратно використовувати їх в кібер операціях, чи повідомляти вразливості розробникам систем, щоб ті могли випустити виправлення та оновлення?
У США, наприклад, діє програма Vulnerability Equity Process (VEP), що регулює баланс між накопиченням та розкриттям вразливостей. Відомо, що у 2023 році США повідомили розробників про 39 вразливостей. Але чи були ці вразливості розкриті без заміни на нові? Малоймовірно.
Якщо вразливість відома лише одній державі, вона може використовувати її ексклюзивно для власної вигоди. Однак у разі розсекречування цієї інформації в кіберпросторі змінюється баланс сил. Відтак, держави інколи розкривають вразливості з метою захисту власної інфраструктури або позбавлення сторони противника доступу до таких вразливостей.
Контроль та наслідки
Іноді державні кіберрозвідки можуть втрачати контроль над своїми експлойтами. У 2017 році група під назвою Shadow Brokers, під якою маскувалися росіяни, викрила інструменти АНБ США. Потужні вразливості на кшталт EternalBlue стали доступними для інших угруповань. Це призвело до кількох масових атак, і 2017 рік став відомим як «рік великих мережевих хробаків».
Зокрема, кібератака NotPetya, виконана ГРУ рф, вийшла з-під контролю нападників, спричинила каскадні побічні ефекти та завдала значних збитків. Не захистили жертв по всьому світі й оновлення цієї вразливості, випущені компанією Microsoft після сповіщення від АНБ про витік, що відбувся. Адже вразливості нульового дня це лише частина усіх вразливостей, а вразливості це лише частина усіх інструментів кібер операторів. Виправлені в оновленнях вразливості (N-ного дня) можуть бути ефективні проти систем, які довго не оновлювалися, а слабкості та помилки налаштування можуть відкрити доступ до повністю оновлених систем.
Отже, ми знаємо, що США мають розвинену систему управління вразливостями. Але чи тільки вони? Швидше за все, ні. Китай, Росія, Іран, Північна Корея та інші держави також працюють у цьому напрямку. Проте рівень їхньої прозорості набагато нижчий.
Порівнюючи успіхи різних країн у кіберопераціях, можна зробити висновок, що всі вони діють за схожими принципами: накопичують, досліджують та використовують вразливості. Важливо наскільки ефективно країни контролюють свої арсенали вразливостей, і якщо ці арсенали опиняться в чужих руках – наслідки можуть бути суттєвими.
Вразливості як бекдори
Тепер про найцікавіше: використання вразливостей в якості бекдорів. Цей інструмент не є вигаданим: історія повна випадків успішної інтеграції бекдорів в код програмних продуктів та криптосистем, які на перший (другий, третій та всі наступні) погляд виглядали як вразливості, проте грали роль бекдорів та надавали зацікавленій третій стороні доступ до систем потайки від їхніх власників та розробників.
Один такий випадок це епопея з бекдором в Juniper ScreenOS, про яку пише в книзі «Хакери та держави» американський дослідник кіберпростору Бен Бюкенен. Щоб уникнути спойлерів, скажу лише, що в цю серію продуктів в різний час вбудовували свої бекдори американські, китайські та якісь ще невідомі спецслужби. І виглядали вони як справжнісінькі вразливості, яких цілком ймовірно могли припуститися програмісти.
Бекдори через вразливості це безпрограшна ситуація для розробників та нападників і ось чому. Нападники отримують секретний доступ до тисяч і тисяч вразливих пристроїв і цей доступ залишається ексклюзивним поки вразливість залишається в таємниці. А розробники в свою чергу отримують змогу правдоподібно заперечувати наявність бекдорів в їхніх продуктах.
Відчуваєте вишуканість та красу цього рішення? Спецслужби отримують доступ до потрібних джерел даних, розробники уникають звинувачень в співпраці з спецслужбами, отже всі у виграші. Звісно, окрім власників та користувачів систем.
«Природні» явища в кіберпросторі
Я припускаю, що бекдори через вразливості це природне явище, точніше усталена операційна концепція в усіх країнах, на території яких ведеться розробка програмного забезпечення. США використовує її в прозорий та зважений спосіб, притаманний ліберальним демократіям. Проте щодо інших країн відкритої інформації немає, лише здогади.
Наприклад, згідно з чутками від інсайдерів індустрії, ізраїльський виробник шпигунського програмного забезпечення Paragon, заснований колишнім командирам елітного загону ізраїльської кіберрозвідки та колишнім прем’єр-міністром Ізраїлю, використовує в своєму програмному продукті Graphite в тому числі й вразливості протоколів приватних месенджерів WhatsApp, Signal та Telegram. Тобто дозволяє своїм клієнтам перехоплювати повідомлення цілі без встановлення шкідливого програмного забезпечення на її смартфон.
Чутки та інсинуації, скажуть скептики. Гаразд, ось ще приклад: в пакеті встановлення системі віртуалізації Parallels, яка зараз юридично розташована в США, проте походить з російської федерації, з серпня 2020 р. до лютого 2025 р. існувала вразливість нульового дня, яка дозволяла нападнику підвищити привілеї в macOS. Щоправда, вона була виправлена в листопаді 2023 р., але у спосіб, що дозволяв обійти це виправлення. Так, вектор атаки тут нетривіальний та вимагає трохи соціальної інженерії, проте з цим у кваліфікованих кібер операторів проблем немає.
Ну і вишенькою на торті: на початку 2025 р. було виправлено вразливість нульового дня в 7-Zip, яку російські кібер оператори використовували для атак на українські організації. Попередню вразливість виконання довільного коду в 7-Zip було виправлено у 2023 році. До того була ще одна вразливість у 2018 році. Нагадаю, що 7-Zip – це популярний файловий архіватор, розроблений російським програмістом Ігорем Павловим у 1999 році.
Послідовність таких прикладів можна продовжувати, проте чи є в цьому сенс? Кількістю гіпотетичних та недоведених випадків переконати скептиків дуже важко. Тому доведеться чекати, адже всі таємниці колись стають історичними фактами.
Стратегічні висновки
З огляду на мої спостереження, я наполегливо рекомендую українським громадянам, українським організаціям та українській державі повністю відмовитися від використання програмних продуктів російського походження. Це стосується всіх розробок без виключення, адже правовий режим та розвідувальні традиції держави-агресора не дають змоги сумніватися в її здатності вдаватися до рішучих заходів з метою отримання доступу до чутливої інформації та здійснення руйнівних ефектів.
Я переконаний, що в більшості, якщо не в усіх, програмних продуктах російського походження існує можливість негласного доступу через буцімто невідомі розробнику вразливості. Це дає рф змогу досягати стратегічних цілей в кіберпросторі, а розробникам – правдоподібно заперечувати причетність до дій російських спецслужб. Деколи для того, щоб в шпигунів все вдавалося, охоронцям треба просто дивитися в інший бік.
Щодо зустрічного питання: як протидіяти агресору на його полі? Маю й гарні новини: стан захищеності російського вітчизняного програмного забезпечення далекій від ідеалу, він навіть далекий від середнього рівня західних розробників. Тому в цьому сенсі в усіх противників росії «шалений потенціал. Якщо не припинимо – все буде. Треба розкрутити тільки.»
Дякую за увагу, підписуйтесь де прочитали, і бережіться.