Пейзажът в сферата на киберсигурността продължава да се променя с темпове, които поставят на изпитание дори най-съвременните системи за защита. Нов анализ на Google Threat Intelligence Group (GTIG) разглежда подробно как zero-day уязвимости се откриват, превръщат в инструменти за атака и се използват в глобалната дигитална екосистема. Докладът, публикуван от Google Cloud като част от изследванията ѝ в областта на заплахите, предлага рядък поглед към оперативната динамика на zero-day експлойтите и участниците, които стоят зад тези атаки.
Резултатите показват, че макар броят на zero-day уязвимостите, използвани реално в атаки, да се колебае от година на година, стратегическата им стойност за кибершпионаж, наблюдение и финансово мотивирани атаки продължава да расте. Докладът отчита и промяна в приоритетите на атакуващите – от потребителските устройства към enterprise инфраструктурата, което отразява стремежа към системи, които дават по-широк достъп до корпоративни мрежи и чувствителни данни.
Zero-day експлойтите остават ключов инструмент за напреднали заплахи
Според анализа на Google Threat Intelligence Group изследователите са проследили 75 zero-day уязвимости, активно използвани в реални атаки през 2024 г. Това е спад спрямо 98 през 2023 г., но остава значително по-високо ниво в сравнение с по-ранни години.
Zero-day уязвимостите – софтуерни слабости, които са неизвестни за производителите към момента на експлоатация – са сред най-мощните инструменти в кибероперациите, тъй като позволяват на атакуващите да заобикалят защитните механизми преди да бъде налична корекция.
Въпреки лекото намаление на броя на уязвимостите, използвани в атаки, докладът подчертава, че активността около zero-day експлойти остава на исторически високи нива спрямо периода преди 2021 г. Това подсказва, че подобни техники вече са стандартна практика в напреднали киберкампании.
Още по-притеснително е, че повечето от тези атаки не са случайни. Те обикновено са част от целенасочени операции, извършвани от добре организирани групи, включително държавно подкрепени структури и компании, които разработват инструменти за наблюдение.
През 2025 г. се идентефицират 43 (48%) случая на zero-day в корпоративния софтуер и устройства, в сравнение с 36 (46%) през 2024 г. Това постоянно съотношение подчертава преминаването към корпоративна инфраструктура като структурна промяна в пейзажа на заплахите, отразявайки стойността на инструментите, които позволяват ескалация на привилегиите, достъп на високо ниво и широк мащаб на въздействие.
Стратегическо изместване към enterprise технологии
Едно от най-важните заключения в доклада е нарастващото изместване на фокуса от потребителски устройства към enterprise технологии.
Изследователите на Google са установили, че 33 от zero-day уязвимостите, използвани през 2024 г., засягат enterprise софтуер, включително мрежови устройства, инструменти за сигурност и корпоративни инфраструктурни платформи.
Тази тенденция отразява променящите се приоритети на атакуващите. Компрометирането на enterprise технологии често предоставя входна точка към цялата IT среда на организацията. След като получат достъп, нападателите могат да се придвижват странично между системите, да ескалират привилегии и да достигнат до чувствителни данни или интелектуална собственост.
Enterprise инфраструктурата е особено привлекателна, защото често служи като гръбнак на корпоративните мрежи. Уязвимост в мрежово защитно устройство например може да позволи заобикаляне на периферната защита и да осигури постоянен достъп до вътрешните системи.
Докладът отбелязва също, че организациите все повече разчитат на сложни технологични стекове. Това разширява потенциалната повърхност за атака и увеличава вероятността някъде в инфраструктурата да съществува уязвимост, която може да бъде експлоатирана.
Шпионажът остава ключов двигател за разработването на zero-day експлойти
Въпреки че киберпрестъпността нараства в глобален мащаб, изследването показва, че операциите за кибершпионаж остават сред основните двигатели на zero-day експлоатацията.
Държавно подкрепени групи често използват zero-day уязвимости, за да получат скрит достъп до целеви мрежи. Обикновено предпочитат дискретност и устойчив достъп пред масов мащаб на атаките, като използват експлойтите селективно срещу цели с висока стойност – например правителствени институции, отбранителни компании, телекомуникационни оператори и изследователски организации.
Докладът обръща внимание и на ролята на търговската индустрия за spyware, която разработва и продава сложни експлойт вериги на правителства и правоохранителни органи. Някои компании в сектора са свързвани с множество zero-day уязвимости през последните години, което показва как комерсиализацията на кибероръжията променя екосистемата на заплахите.
В тези случаи уязвимостите не се откриват и използват просто от отделни хакери, а се разработват като част от организиран пазар за офанзивни кибер инструменти.
Браузърите и мобилните платформи остават ключова повърхност за атаки
Макар enterprise технологиите да се превръщат във все по-привлекателна цел, браузърите и мобилните платформи остават централни в много zero-day кампании.
Уеб браузърите представляват особено ценен вектор за атака, защото са основният интерфейс между потребителите и интернет. Уязвимости в браузърните енджини могат да позволят изпълнение на зловреден код само чрез посещение на специално създадена уеб страница.
Няколко реални случая показват този риск. Изследователи по сигурността са документирали браузърни уязвимости, които позволяват на нападателите да заобиколят sandbox защитите или да изпълняват произволен код, което потенциално води до пълно компрометиране на системата.
Мобилните операционни системи също са честа цел заради широкото им разпространение и чувствителните данни, съхранявани в съвременните смартфони. Атакуващите често комбинират няколко уязвимости – например браузърна слабост с експлойт за ескалация на привилегии – за да постигнат пълен контрол над устройството.
Подобни exploit chains са особено ценни при операции за наблюдение, при които целта е дългосрочен достъп до комуникации, данни за местоположение или криптирани съобщителни платформи.
Все по-важната роля на бързото patch-ване
Един от по-положителните изводи в доклада е, че процесите за patch-ване при доставчиците на технологии са се подобрили значително през последните години.
Технологичните компании вече внедряват корекции по-бързо и координират по-тясно работата си с изследователи по сигурността чрез програми за отговорно разкриване на уязвимости. Инициативи като Project Zero на Google помогнаха за стандартизиране на сроковете за докладване на уязвимости и за ускоряване на процеса на тяхното отстраняване.
Тези подобрения са допринесли за намаляване на някои категории експлойти. Въпреки това докладът предупреждава, че атакуващите са се адаптирали, насочвайки се към по-слабо наблюдавани технологии – особено специализирани enterprise продукти и мрежови устройства.
В много случаи тези системи се използват в среди, където patch-ването е по-бавно или оперативно трудно, което създава прозорец от възможности за атакуващите да използват уязвимостите преди те да бъдат отстранени.
Тази графика отразява само клъстери, за които можем да оценим мотивацията. В един случай идентифицирахме две групи, които поотделно експлоатират една и съща уязвимост.
Разработването на експлойти става все по-сложно
Друга ключова тема в доклада е нарастващата сложност на разработването на експлойти.
Съвременните zero-day атаки често използват многоетапни exploit chains, които комбинират няколко уязвимости в различни компоненти на една система. Този подход позволява на атакуващите да заобикалят множество защитни слоеве и да поддържат постоянен достъп дори след частично откриване на атаката.
Например атакуващият може да започне с браузърна уязвимост, за да изпълни код на целевата машина. След това втори експлойт може да ескалира привилегиите, а трета уязвимост да позволи излизане от защитни sandbox среди или виртуализационни платформи.
Подобни сложни exploit chains изискват сериозни изследователски ресурси и обикновено се разработват от добре финансирани групи.
Стратегическите последствия за бизнеса
За екипите по киберсигурност в организациите докладът подчертава една фундаментална реалност: напълно предотвратяване на zero-day експлоатация е практически невъзможно.
Затова компаниите трябва да се фокусират върху стратегии за защита на няколко слоя, които ограничават щетите, когато уязвимост бъде използвана.
Това включва мерки като строга сегментация на мрежите, архитектури zero trust, непрекъснат мониторинг на привилегировани акаунти, бързо управление на patch-ове и проактивно търсене на заплахи.
Като приемат, че определени уязвимости неизбежно ще бъдат експлоатирани, организациите могат да изградят системи, които не позволяват на атакуващите да постигнат крайните си цели.
AI и автоматизацията променят киберсигурността и от двете страни
Поглеждайки напред, докладът предполага, че изкуственият интелект и автоматизацията ще играят все по-голяма роля в екосистемата на zero-day уязвимостите.
AI инструменти вече се използват от защитниците за по-ефективно откриване на уязвимости и анализ на модели на атаки. В същото време атакуващите също експериментират с AI за разработване на зловреден код и автоматизирано разузнаване.
Това създава своеобразна надпревара във въоръжаването, при която и двете страни използват все по-сложни технологии, за да получат предимство.
Бъдещето на zero-day експлоатацията
Анализът на Google в крайна сметка потвърждава по-широка тенденция в киберсигурността: zero-day уязвимостите ще останат ключов елемент в напредналите кибероперации.
Дори когато доставчиците подобряват процесите по patch-ване и укрепват архитектурите за сигурност, атакуващите продължават активно да инвестират в откриване на нови уязвимости и разработване на сложни техники за експлоатация.
За правителства, компании и технологични доставчици това означава, че стратегиите за киберсигурност трябва да се развиват отвъд реактивното patch-ване. Проактивното изследване на уязвимости, споделянето на информация за заплахи и изграждането на устойчиви системи ще бъдат ключови за защитата срещу следващото поколение zero-day атаки.
С нарастващата зависимост на дигиталната икономика от взаимосвързана инфраструктура залозите около zero-day уязвимостите – и надпреварата между тяхното използване и защита – ще продължат да се увеличават.
Graphics: Google
