Ряд российских компаний, работающих в области IT-безопасности получили предложение продать информацию о недокументированых уязвимостях в iOS и Android, а также различных браузерах и прочем ПО, сообщает газета «Коммерсантъ» со ссылкой на свои источники в российских компаниях.

Потенциальные покупатели, по их словам, представители SZCUA — ShenZhen Computer Users Association, представляемую, как китайскую ассоциацию крупных IT-компаний. В число SZCUA якобы входят такие организации, как Kingdee International Software Group и China Greatwall Computer Shenzhen Co. Теоретически, в дальнейшем недокументированные уязвимости, которые ищут представители SZCUA, могут быть использованы для проведения кибератак со стороны правительственных групп хакеров.

Основным торговым представителем SZCUA выступает некий Роберт Невский, который и обратился к российским компаниям, работающим в области информационной безопасности, с предложением «сотрудничества».

«Мы заинтересованы в покупке уязвимостей нулевого дня. Нам интересны os/cms/app/software/modems/office/browsers. На данный момент особенно интересны IE/modem/Android/iOS. Цена зависит от продукта. При первой сделке ценовой порог не превышает $100 тыс. (цена обсуждается). Выплаты в три этапа, первый — до получения продукта, второй — после получения и соответствующей проверки и третий — по истечении двух-трех месяцев, чтобы убедиться, что эксплойт не был обнародован»,— приводит слова Невского в одной из переписок «Коммерсантъ».

Как выяснилось, это не первая попытка данной организации заполучить данные об уязвимостях в различном ПО. В 2015 году ассоциация пыталась сделать то же предложение ряду специалистов в сфере ИБ из Великобритании. Тогда скриншоты переписки попали в Твиттер. Письма рассылались с почтового ящика в домене организации isba@szcua.org.

При запросе пояснений о действиях ассоциации в данном направлении, официальные представители SZCUA заявили, что не имеют к поиску эксплоитов никакого отношения и подобными делами не занимаются.

«Коммерсантъ» нашли профиль Роберта Невского в LinkedIn. Согласно размещенной там информации, он работает в компании с июня 2016 года, когда первые письма компаниям, специализирующимся на ИБ, стали поступать в августе. В социальной сети Вконтакте и сервисе микроблогов «Твиттер» обнаружились аккаунты пользователей, по нескольким признакам схожие с упоминаемым в публикации Робертом Невским, который представлен торговым представителем компании SCZUA. Ссылка на «Твиттер» указана в профиле пользователя в ВК.

Самое раннее «всплытие» SZCUA удалось зафиксировать за 2014 год. Тогда пользователь «Твиттера» выложил скриншот с письмом, в котором также предлагалось продать «крупнейшей китайской ассоциации компьютерных пользователей» информацию об уязвимостях:


В той же ветке твитов спустя год (в 2015 году) еще один пользователь опубликовал скриншот письма уже от другого e-mail со схожим предложением:


Хотя свою деятельность SZCUA абсолютно точно ведет с 2014 года, в реальности к данной организации возникает множество вопросов.

По who.is официального домена, контактом управляющего доменом является комната в «Музее Науки» (Адрес: Комната 203, Центр оценки информационной безопасности через дорогу от Civic Center, Futian District, Shenzhen North Gate Почтовый индекс: 518031). Домен был зарегистрирован еще в 2007 и проплачен до 2017 года. Кроме этого информация о домене последний раз обновлялась 26 мая 2016 года, а судя по профилю Невского, работает он в компании с июня 2016 года. Почтовым адресом для обратной связи на who.is указывается ящик computer339@126.com. 126.com — бесплатный китайский почтовый хостинг.

На LinkedIn нашлось еще два профиля (1, 2) сотрудников SZCUA. Какой-либо дополнительной информации о SZCUA, в которую, якобы, входят крупные китайские IT-компании, кроме их собственного сайта и блога, который, на первый вгляд, наполнен реальным контентом и посещается живыми людьми, в Сети найти не представляется возможным.

Все это, вкупе с обновлением информации о домене и возобновлением активности SZCUA через несколько дней со стороны Роберта Невского, наводит на мысли, что организация, скорее всего, является банальной «ширмой» с достаточно продолжительной историей. А вот «ширмой» для кого: мошенника или представителей китайских силовых ведомств — вопрос открытый.
Поделиться с друзьями
-->

Комментарии (3)


  1. ChALkeRx
    12.10.2016 23:57
    +1

    Они мне письмо (спам) присылали не так давно.


    Я им в твиттере ответил публично (не встраиваю специально, ответ нецензурный, я предупредил).


    Текст письма:


    Hi,
    We are ISBA of Shenzhen Computer Users Association. We find your contact information through internet. We are seeking some specialists in vulnerability research to cooperate. We want to buy 0day. We mainly have two purposes. Firstly, we need 0day to do technical research. We want to buy good 0day to improve our technological level and discovery ability. Secondly, we need 0day to do Security product development, like products of ZDI.

    we are interested in 0day of Router,IE,Android, IOS. Except those, we also interested in other 0day. For example, Windows,office, apache or flash.

    Except 0day, we are also seeking cooperation in scientific research.

    Do you have any interests to cooperate with us?
    Looking forward to your reply.

    Best,
    Catherine

    Судя по поиску в твиттере — они такими рассылками довольно давно занимаются:



  1. Tsimur_S
    13.10.2016 12:31

    Интересно, как законы РФ, Америки и Европы регулируют покупку и продажу уязвимостей?


    1. KOLANICH
      13.10.2016 20:54

      Регулируют (см Вассеанарские договорённости последней редакции). IMHO, вся эта мутотень с предложениями для того и устроена, чтобы поднять шум в сми, на фоне него ещё сильнее закрутить гайки в этой области и приравнять исследователей, не работающих на определённые организации, к шпионам и госизменникам. Потому что те, кто реально покупает — те предложения рассылать не будет, у них и так контакты налажены с теми, кто продаёт.