Ряд российских компаний, работающих в области IT-безопасности получили предложение продать информацию о недокументированых уязвимостях в iOS и Android, а также различных браузерах и прочем ПО, сообщает газета «Коммерсантъ» со ссылкой на свои источники в российских компаниях.
Потенциальные покупатели, по их словам, представители SZCUA — ShenZhen Computer Users Association, представляемую, как китайскую ассоциацию крупных IT-компаний. В число SZCUA якобы входят такие организации, как Kingdee International Software Group и China Greatwall Computer Shenzhen Co. Теоретически, в дальнейшем недокументированные уязвимости, которые ищут представители SZCUA, могут быть использованы для проведения кибератак со стороны правительственных групп хакеров.
Основным торговым представителем SZCUA выступает некий Роберт Невский, который и обратился к российским компаниям, работающим в области информационной безопасности, с предложением «сотрудничества».
«Мы заинтересованы в покупке уязвимостей нулевого дня. Нам интересны os/cms/app/software/modems/office/browsers. На данный момент особенно интересны IE/modem/Android/iOS. Цена зависит от продукта. При первой сделке ценовой порог не превышает $100 тыс. (цена обсуждается). Выплаты в три этапа, первый — до получения продукта, второй — после получения и соответствующей проверки и третий — по истечении двух-трех месяцев, чтобы убедиться, что эксплойт не был обнародован»,— приводит слова Невского в одной из переписок «Коммерсантъ».
Как выяснилось, это не первая попытка данной организации заполучить данные об уязвимостях в различном ПО. В 2015 году ассоциация пыталась сделать то же предложение ряду специалистов в сфере ИБ из Великобритании. Тогда скриншоты переписки попали в Твиттер. Письма рассылались с почтового ящика в домене организации isba@szcua.org.
При запросе пояснений о действиях ассоциации в данном направлении, официальные представители SZCUA заявили, что не имеют к поиску эксплоитов никакого отношения и подобными делами не занимаются.
«Коммерсантъ» нашли профиль Роберта Невского в LinkedIn. Согласно размещенной там информации, он работает в компании с июня 2016 года, когда первые письма компаниям, специализирующимся на ИБ, стали поступать в августе. В социальной сети Вконтакте и сервисе микроблогов «Твиттер» обнаружились аккаунты пользователей, по нескольким признакам схожие с упоминаемым в публикации Робертом Невским, который представлен торговым представителем компании SCZUA. Ссылка на «Твиттер» указана в профиле пользователя в ВК.
Самое раннее «всплытие» SZCUA удалось зафиксировать за 2014 год. Тогда пользователь «Твиттера» выложил скриншот с письмом, в котором также предлагалось продать «крупнейшей китайской ассоциации компьютерных пользователей» информацию об уязвимостях:
В той же ветке твитов спустя год (в 2015 году) еще один пользователь опубликовал скриншот письма уже от другого e-mail со схожим предложением:
Хотя свою деятельность SZCUA абсолютно точно ведет с 2014 года, в реальности к данной организации возникает множество вопросов.
По who.is официального домена, контактом управляющего доменом является комната в «Музее Науки» (Адрес: Комната 203, Центр оценки информационной безопасности через дорогу от Civic Center, Futian District, Shenzhen North Gate Почтовый индекс: 518031). Домен был зарегистрирован еще в 2007 и проплачен до 2017 года. Кроме этого информация о домене последний раз обновлялась 26 мая 2016 года, а судя по профилю Невского, работает он в компании с июня 2016 года. Почтовым адресом для обратной связи на who.is указывается ящик computer339@126.com. 126.com — бесплатный китайский почтовый хостинг.
На LinkedIn нашлось еще два профиля (1, 2) сотрудников SZCUA. Какой-либо дополнительной информации о SZCUA, в которую, якобы, входят крупные китайские IT-компании, кроме их собственного сайта и блога, который, на первый вгляд, наполнен реальным контентом и посещается живыми людьми, в Сети найти не представляется возможным.
Все это, вкупе с обновлением информации о домене и возобновлением активности SZCUA через несколько дней со стороны Роберта Невского, наводит на мысли, что организация, скорее всего, является банальной «ширмой» с достаточно продолжительной историей. А вот «ширмой» для кого: мошенника или представителей китайских силовых ведомств — вопрос открытый.
Поделиться с друзьями
ChALkeRx
Они мне письмо (спам) присылали не так давно.
Я им в твиттере ответил публично (не встраиваю специально, ответ нецензурный, я предупредил).
Текст письма:
Судя по поиску в твиттере — они такими рассылками довольно давно занимаются:
Tsimur_S
Интересно, как законы РФ, Америки и Европы регулируют покупку и продажу уязвимостей?
KOLANICH
Регулируют (см Вассеанарские договорённости последней редакции). IMHO, вся эта мутотень с предложениями для того и устроена, чтобы поднять шум в сми, на фоне него ещё сильнее закрутить гайки в этой области и приравнять исследователей, не работающих на определённые организации, к шпионам и госизменникам. Потому что те, кто реально покупает — те предложения рассылать не будет, у них и так контакты налажены с теми, кто продаёт.