- PVSM.RU - https://www.pvsm.ru -

Шеньчженьская ассоциация пользователей (SZCUA) заявила о желании купить недокументированные уязвимости в iOS и Android

Шеньчженьская ассоциация пользователей (SZCUA) заявила о желании купить недокументированные уязвимости в iOS и Android - 1

Ряд российских компаний, работающих в области IT-безопасности получили предложение продать информацию о недокументированых уязвимостях в iOS и Android, а также различных браузерах и прочем ПО, сообщает газета «Коммерсантъ» [1] со ссылкой на свои источники в российских компаниях.

Потенциальные покупатели, по их словам, представители SZCUA [2] — ShenZhen Computer Users Association, представляемую, как китайскую ассоциацию крупных IT-компаний. В число SZCUA якобы входят такие организации, как Kingdee International Software Group и China Greatwall Computer Shenzhen Co. Теоретически, в дальнейшем недокументированные уязвимости, которые ищут представители SZCUA, могут быть использованы для проведения кибератак со стороны правительственных групп хакеров.

Основным торговым представителем SZCUA выступает некий Роберт Невский, который и обратился к российским компаниям, работающим в области информационной безопасности, с предложением «сотрудничества».

«Мы заинтересованы в покупке уязвимостей нулевого дня. Нам интересны os/cms/app/software/modems/office/browsers. На данный момент особенно интересны IE/modem/Android/iOS. Цена зависит от продукта. При первой сделке ценовой порог не превышает $100 тыс. (цена обсуждается). Выплаты в три этапа, первый — до получения продукта, второй — после получения и соответствующей проверки и третий — по истечении двух-трех месяцев, чтобы убедиться, что эксплойт не был обнародован»,— приводит слова Невского в одной из переписок «Коммерсантъ».

Как выяснилось, это не первая попытка данной организации заполучить данные об уязвимостях в различном ПО. В 2015 году ассоциация пыталась сделать то же предложение ряду специалистов в сфере ИБ из Великобритании. Тогда скриншоты переписки попали в Твиттер. Письма рассылались с почтового ящика в домене организации isba@szcua.org.

При запросе пояснений о действиях ассоциации в данном направлении, официальные представители SZCUA заявили, что не имеют к поиску эксплоитов никакого отношения и подобными делами не занимаются.

«Коммерсантъ» нашли профиль Роберта Невского в LinkedIn [3]. Согласно размещенной там информации, он работает в компании с июня 2016 года, когда первые письма компаниям, специализирующимся на ИБ, стали поступать в августе. В социальной сети Вконтакте [4] и сервисе микроблогов «Твиттер» [5] обнаружились аккаунты пользователей, по нескольким признакам схожие с упоминаемым в публикации Робертом Невским, который представлен торговым представителем компании SCZUA. Ссылка на «Твиттер» указана в профиле пользователя в ВК.

Самое раннее «всплытие» SZCUA удалось зафиксировать за 2014 год. Тогда пользователь «Твиттера» выложил скриншот с письмом, в котором также предлагалось продать «крупнейшей китайской ассоциации компьютерных пользователей» информацию об уязвимостях:

В той же ветке твитов спустя год (в 2015 году) еще один пользователь опубликовал скриншот письма уже от другого e-mail со схожим предложением:

Хотя свою деятельность SZCUA абсолютно точно ведет с 2014 года, к реальности этой организации есть вопросы.

По who.is официального домена [12], контактом управляющего доменом является комната в «Музее Науки» (Адрес: Комната 203, Центр оценки информационной безопасности через дорогу от Civic Center, Futian District, Shenzhen North Gate Почтовый индекс: 518031). Домен был зарегистрирован еще в 2007 и проплачен до 2017 года. Кроме этого информация о домене последний раз обновлялась 26 мая 2016 года, а судя по профилю Невского, работает он в компании с июня 2016 года. Почтовым адресом для обратной связи на who.is указывается ящик computer339@126.com. 126.com — бесплатный китайский почтовый хостинг [13].

На LinkedIn нашлось еще два профиля (1 [14], 2 [15]) сотрудников SZCUA. Какой-либо дополнительной информации о SZCUA, в которую, якобы, входят крупные китайские IT-компании, кроме их собственного сайта и блога [16], который, на первый вгляд, наполнен реальным контентом и посещается живыми людьми, в Сети найти не представляется возможным.

Все это, вкупе с обновлением информации о домене и возобновлением активности SZCUA через несколько дней со стороны Роберта Невского, наводит на мысли, что организация, скорее всего, является банальной «ширмой» с достаточно продолжительной историей. А вот «ширмой» для кого: мошенника или представителей китайских силовых ведомств — вопрос открытый.

Автор: ragequit

Источник [17]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/198522

Ссылки в тексте:

[1] сообщает газета «Коммерсантъ»: http://www.kommersant.ru/doc/3113551

[2] SZCUA: http://www.szcua.org/

[3] профиль Роберта Невского в LinkedIn: https://www.linkedin.com/in/%D0%BD%D0%B5%D0%B2%D1%81%D0%BA%D0%B8%D0%B9-%D1%80%D0%BE%D0%B1%D0%B5%D1%80%D1%82-8247b8117

[4] В социальной сети Вконтакте: https://vk.com/szcua.isba

[5] сервисе микроблогов «Твиттер»: https://twitter.com/szcua

[6] pic.twitter.com/BJDSaOYcxk: http://t.co/BJDSaOYcxk

[7] October 2, 2014: https://twitter.com/mubix/status/517709287419027457

[8] @w3bd3vil: https://twitter.com/w3bd3vil

[9] @mubix: https://twitter.com/mubix

[10] pic.twitter.com/VuI7OgQpYc: http://t.co/VuI7OgQpYc

[11] August 20, 2015: https://twitter.com/shipcod3/status/634261513876844544

[12] who.is официального домена: https://who.is/whois/szcua.org

[13] хостинг: https://www.reg.ru/?rlink=reflink-717

[14] 1: https://www.linkedin.com/in/isba-szcua/en

[15] 2: https://www.linkedin.com/in/%E4%BB%A5%E5%B8%8C-%E9%A2%9C-78a284119/en

[16] блога: http://szcua.blog.163.com/

[17] Источник: https://geektimes.ru/post/281414/