Google的最新研究表明,去年现实世界网络攻击中大多数零日漏洞都是由政府黑客发起的。Google的报告称,零日漏洞(指黑客利用时软件制造商未知的安全漏洞)的数量已从 2023 年的 98 个下降到 2024 年的 75 个。但报告指出,在Google可以归因的零日漏洞比例中(即确定负责利用这些漏洞的黑客),至少有 23 个零日漏洞与政府支持的黑客有关。
在这 23 个漏洞中,有 10 个零日漏洞被认为是直接为政府工作的黑客所为,其中 5 个漏洞与中国有关,另外 5 个漏洞与朝鲜有关。
另外八个漏洞被确认是由间谍软件制造商和监控服务商开发的,例如 NSO Group,这些公司通常声称只向政府出售软件。在这八个由间谍软件公司开发的漏洞中,Google还统计了塞尔维亚当局最近使用 Cellebrite 手机解锁设备利用的漏洞。
图表显示了 2024 年发现的零日漏洞。(图片:Google)
尽管有记录显示有 8 起间谍软件制造商开发的零日漏洞案例,但Google威胁情报组 (GTIG) 的安全工程师 Clément Lecigne 表示,这些公司“正在投入更多资源用于运营安全,以防止其能力暴露,避免成为新闻焦点”。,且监控供应商的数量还在不断增加。
GTIG 首席分析师詹姆斯·萨多夫斯基 (James Sadowski) 介绍说:“在执法行动或公开披露导致供应商停业的情况下,我们看到新的供应商出现并提供类似的服务。只要政府客户继续请求并支付这些服务,这个行业就会持续增长。”
其余 11 个归因零日漏洞很可能被网络犯罪分子利用,例如针对企业设备(包括 VPN 和路由器)的勒索软件运营商。
报告还发现,2024 年利用的 75 个零日漏洞中,大多数针对的是消费平台和产品,例如手机和浏览器;其余漏洞则针对通常在公司网络上发现的设备。
好消息是,软件制造商正在防御零日攻击,让漏洞制造者更难以找到漏洞。报告称:“我们发现针对浏览器和移动操作系统等一些历史上流行的目标的零日攻击利用明显减少。”
萨多夫斯基特别提到了锁定模式,这是 iOS 和 macOS 的一项特殊功能,可以禁用某些功能,目的是增强手机和电脑的安全性,该功能在阻止政府黑客方面有着良好的记录 ,此外,内存标记扩展(MTE) 也是现代Google Pixel 芯片组的一项安全功能,有助于检测某些类型的错误并提高设备安全性。
像Google这样的报告很有价值,因为它们为业界和观察员提供了数据点,有助于我们了解政府黑客的运作方式——即使统计零日漏洞的一个固有挑战是,从本质上讲,有些漏洞无法检测到,而即使检测到,也有一些漏洞无法归因。
