黑客Volodya在公開論壇上出售Windows 零日漏洞

一位身份不明的黑客以出售Windows 零日漏洞為業(yè)，三年來不斷向APT組織出售漏洞。

卡巴斯基實驗室的研究人員稱，在過去的三年里，一位神秘黑客一直在向至少三個網(wǎng)絡間諜組織以及網(wǎng)絡犯罪團伙出售Windows 零日漏洞。

一些受政府支持的網(wǎng)絡間諜組織，被稱為APT組織，除了開發(fā)內(nèi)部工具外，還定期從第三方購買零日漏洞。

據(jù)信，APT組織經(jīng)常使用由第三方公司開發(fā)的零日漏洞，這些公司通常為監(jiān)控軟件銷售商。

卡巴斯基最近披露的情況表明，APT組織在某些情況下會涉足地下黑客領(lǐng)域，獲取由獨立黑客為網(wǎng)絡犯罪組織開發(fā)的漏洞。

卡巴斯基實驗室的專家稱，黑客Volodya是零日漏洞最多產(chǎn)的供應商之一，他也被稱為BuggiCorp。這位黑客在網(wǎng)絡犯罪論壇公開出售一份Windows 零日漏洞之后，登上了各大科技新聞網(wǎng)站的頭條。當時這則廣告令人震驚，因為很少能看到黑客在一個公開論壇上出售Windows 零日漏洞，大多數(shù)都是私下進行交易。BuggiCorp多次降低要價，從9.5萬美元降至8.5萬美元，最終把零日漏洞賣給了一個網(wǎng)絡犯罪集團。

卡巴斯基專家表示，卡巴斯基自2015年以來一直在跟蹤Volodya，他是一個多產(chǎn)的開發(fā)人員和零日漏洞賣家。Volodya是“volo”的縮寫，這個昵稱經(jīng)常出現(xiàn)在他的一些作品中，據(jù)觀察，他很有可能是烏克蘭人。

Volodya似乎是CVE-2019-0859漏洞的發(fā)現(xiàn)者，這個漏洞被網(wǎng)絡犯罪集團用于金融盜竊。他發(fā)現(xiàn)的另一個漏洞CVE-2016-7255，曾被著名的俄羅斯APT組織Fancy Bear （也稱為APT28、Pawn Storm、Sednit、Sofacy或Strontium）使用。

卡巴斯基專家表示，黑客還與中低端網(wǎng)絡犯罪組織合作，這些組織一直在購買和使用零日漏洞。除了零日漏洞之外，Volodya還在開發(fā)針對補丁的漏洞。