Про рынок zero-day уязвимостей пишут редко и обычно либо с паникой, либо с избыточным академизмом. На самом деле устроен он просто: есть дыра в программе, о которой разработчик ещё не знает, есть человек, который её нашёл, и есть покупатель, которому нужно в эту дыру пролезть раньше, чем её заткнут. Остальное — логистика, посредники, деньги. Большие деньги. А 24 февраля 2026 года Минфин США добавил в это уравнение ещё один элемент: санкции против российского брокера Operation Zero. Вот тут история перестаёт быть абстрактной.
Откуда взялся этот рынок
Идея торговать уязвимостями не нова. Ещё в нулевых среди исследователей шли споры о том, правильно ли сообщать о багах только вендору и ждать, пока тот раскачается. Некоторые начали продавать информацию напрямую — сначала журналистам, потом правительствам. К 2010-м сформировался полноценный рынок с брокерами, прайсами и условиями эксклюзивности. Переломным моментом считается появление в 2015 году американской компании Zerodium, которая открыто публиковала расценки за баги в iOS, Chrome и других продуктах: это сделало рынок немного менее тёмным и породило конкуренцию. Operation Zero — российский вариант этой истории, появившийся, по данным OFAC, около 2021 года.
Что такое 0day и почему за него платят как за предмет роскоши
«Нулевой день» — это уязвимость, о которой вендор ещё не знает. Патча нет, сигнатур нет, предупреждений нет. У атакующего — чистый путь внутрь системы, пока производитель спит. Именно это время и продают: не сам баг, а окно возможностей. Как только вендор узнаёт о проблеме и выпускает обновление, ценность эксплоита резко падает. Поэтому рынок 0day — торговля скоропортящимися товарами с очень высокой наценкой.
Кто такие Operation Zero
Компания позиционировала себя как брокера между исследователями и покупателями. Схема классическая: исследователь приносит уязвимость, брокер проверяет работоспособность, находит покупателя и берёт свой процент. У Operation Zero была публичная витрина с направлениями интересов и ценовыми диапазонами, за которой — закрытые переговоры с NDA и эксклюзивными условиями.
Весной 2025 года компания прославилась публичным прайсом на эксплоиты для Telegram: 500 тысяч долларов за атаку с одним кликом жертвы, 1,5 миллиона за атаку без каких-либо её действий и четыре миллиона за полноценную цепочку, дающую полный контроль над устройством. Последняя цифра наделала шуму — это не просто «найти баг», это готовый инструмент взлома уровня спецслужб.
Что произошло 24 февраля 2026 года
Минфин США ввёл санкции против Сергея Зеленюка и его компании Matrix LLC, работающей под брендом Operation Zero, а также ряда связанных структур. Формулировка в пресс-релизе OFAC жёсткая: приобретение и распространение киберинструментов, угрожающих национальной безопасности США. Речь минимум о восьми инструментах, изначально созданных для использования правительством США и союзниками.
К этому же делу привязана история Питера Уильямса, который в октябре 2025 года признал вину в краже коммерческой тайны. По версии следствия, с 2022 по 2025 год он продавал похищенные инструменты Operation Zero за криптовалюту на «миллионы долларов». Параллельно санкции получил ещё один брокер, связанный с ОАЭ — что говорит о системном, а не точечном подходе американских властей.
Как устроен рынок изнутри
Три роли, которые почти никогда не пересекаются публично. Исследователь находит уязвимость и доказывает, что её можно использовать. Брокер проверяет, оформляет эксклюзивность и ищет покупателя. Покупатель получает инструмент и дальше действует по своему усмотрению.
На цену влияет несколько вещей: стабильность эксплоита после обновлений системы, широта охвата устройств, незаметность атаки и — пожалуй, главное — нужно ли жертве вообще что-то делать. Уязвимость, срабатывающая без единого клика пользователя, стоит принципиально дороже той, для которой нужно заставить человека открыть вложение.
Почему «цепочки» — отдельная история
Один баг редко даёт атакующему всё сразу. Чаще нужно сшивать несколько уязвимостей: сначала выполнить код в приложении, потом вырваться из изолированной среды, затем получить права администратора. Такой готовый маршрут называют полной цепочкой (full chain). За неё платят больше всего — покупатель получает инструмент под ключ без необходимости самостоятельно склеивать части. Именно поэтому четыре миллиона за цепочку для Telegram внутри рынка не выглядят фантастикой: это цена доступа к устройству без взаимодействия с жертвой, на мессенджере с сотнями миллионов пользователей.
Кому это всё нужно
Список покупателей шире, чем принято думать. Государственные спецслужбы и военные структуры — самые очевидные заказчики: им нужны точечные инструменты с минимальными следами. Частные подрядчики, работающие на правительства, нередко выступают промежуточным звеном. Корпоративная разведка — менее заметный, но реальный сегмент. Ну и криминальные группы, для которых хорошо работающий эксплоит открывает вход в корпоративные сети или позволяет развернуть вымогательский софт.
Кейс с Operation Zero показывает, как тонка граница между «инструментом для законных операций» и «кибероружием для найма». Пока нет прозрачного контроля за конечным использованием, брокер де-факто берёт на себя роль оружейного посредника.
Чем легальный ресёрч отличается от торговли эксплоитами
Формально граница есть. Исследователь сообщает о баге вендору, тот исправляет, исследователь получает вознаграждение по программе выплат (bug bounty). Уязвимость закрыта. На сером рынке логика другая: инструмент продаётся, уязвимость остаётся открытой, а вендор узнаёт о ней в лучшем случае после первых атак. Разница не в морали, а в экономике: за ответственное раскрытие платят тысячи, за закрытую продажу — миллионы.
Но «легально» или «нет» зависит от юрисдикции, санкционных списков и экспортного контроля. Как только в схему попадает запрещённая страна или санкционированная организация — это уже не серая зона, а уголовное дело. Ровно это и произошло с Питером Уильямсом.
Что это значит для тех, кто защищает системы
Честный ответ: 0day — это тот вид угрозы, против которого классическая защита работает хуже всего. Патч-менеджмент по определению не успевает, сигнатурные антивирусы не знают, что искать. Хорошо работают вещи, которые звучат скучно: жёсткая сегментация сети, минимально необходимые права доступа, поведенческие системы обнаружения, реагирующие на аномалии, а не на знакомые паттерны. И нормальная телеметрия — без неё расследование инцидента превращается в гадание по логам трёхнедельной давности.
Отдельная тенденция: автоматизация и применение искусственного интеллекта в поиске уязвимостей сокращает время разработки рабочего эксплоита. «Окно» между обнаружением проблемы и выходом патча становится опаснее, а ставки — выше.
Почему это важно за пределами ИБ-сообщества
Санкции 24 февраля 2026 года интересны не столько фигурантами, сколько прецедентом. Американские власти впервые так явно приравняли брокера эксплоитов к участнику цепочки поставки кибероружия. Раньше брокеры прятались за формулировку «мы только соединяем продавцов и покупателей». В пресс-релизе OFAC прямо написано, что само приобретение и перепродажа таких инструментов являются угрозой безопасности — без всяких оговорок про «конечное использование».
Если этот подход устоится, следующие годы изменят рынок сильнее, чем любые технические меры: банки закроют счета, страховщики пересмотрят условия, партнёры разбегутся. Публичных «витрин» с прайсами и интервью в прессе станет меньше. Рынок не исчезнет — он уйдёт глубже. Но Operation Zero наглядно показала, что быть брокером с узнаваемым брендом в этой отрасли становится всё более рискованным выбором.
