Ваш роутер – идеальная мишень. Google объяснил, почему хакеры больше не пытаются ломать браузеры

В 2025 году злоумышленники активно использовали уязвимости нулевого дня, хотя рекорд предыдущих лет по-прежнему устоял. Подразделение анализа угроз компании Google подсчитало 90 таких уязвимостей, которые применяли в реальных атаках до выхода исправлений. Показатель оказался ниже рекордных 100 случаев в 2023 году, но выше результата 2024 года, когда обнаружили 78 подобных проблем. Общая картина за последние годы почти не меняется. Количество атак держится в диапазоне 60–100 уязвимостей в год.

Главный сдвиг последних лет связан с ростом атак на корпоративную инфраструктуру. В 2025 году специалисты зафиксировали 43 уязвимости нулевого дня в корпоративных продуктах и устройствах, что составляет 48% всех обнаруженных случаев. Показатель стал рекордным. Злоумышленники активно атакуют сетевые устройства, средства защиты и другие элементы инфраструктуры на границе сети. Маршрутизаторы, коммутаторы и сетевые шлюзы часто работают без средств обнаружения угроз, поэтому взлом таких устройств долго остаётся незамеченным.

На этом фоне количество атак через браузеры заметно сократилось и опустилось до минимального уровня за последние годы. Разработчики усилили защиту браузеров, поэтому злоумышленники переключились на другие цели. Наиболее часто атаковали операционные системы. На их долю пришлось 39 уязвимостей нулевого дня, то есть 44% всех обнаруженных случаев. Речь идёт как о настольных системах, так и о мобильных платформах.

Число атак на мобильные устройства снова выросло. В 2025 году специалисты обнаружили 15 мобильных уязвимостей нулевого дня против 9 годом ранее. Причина частично связана с усложнением атак. Многие операции теперь требуют целых цепочек уязвимостей, иногда из трёх и более элементов. В некоторых случаях злоумышленники, наоборот, добиваются цели одной ошибкой, если удаётся получить доступ к нужной службе или приложению.

Большая часть атак преследует две цели: удалённое выполнение кода и повышение привилегий. Среди распространённых причин уязвимостей остаются ошибки работы с памятью, например use-after-free и выход за границы буфера. На долю подобных проблем пришлось около 35% случаев. В корпоративных системах часто встречаются инъекции команд и ошибки сериализации данных. Такие недостатки позволяют выполнить произвольный код без сложных методов эксплуатации.

Отдельную роль играют компании, продающие инструменты цифрового наблюдения. В 2025 году такие фирмы впервые обошли государственные разведывательные структуры по числу обнаруженных атак с применением уязвимостей нулевого дня. Подобные поставщики продают инструменты взлома различным клиентам и тем самым расширяют круг пользователей дорогих эксплойтов.

Среди государств наиболее активными остаются группировки, связанные с Китаем. Специалисты связали как минимум десять уязвимостей нулевого дня с китайскими кибершпионскими группами, включая UNC5221 и UNC3886. Такие операции часто направлены на сетевые устройства и оборудование на границе инфраструктуры. Захват подобных систем позволяет долго сохранять доступ к целевым сетям.

Финансово мотивированные группировки также усилили активность. В 2025 году специалисты связали девять атак с использованием уязвимостей нулевого дня с такими группами. Часть операций закончилась установкой программ-вымогателей. Одним из примеров стала масштабная кампания вымогательства под брендом CL0P. Злоумышленники рассылали письма руководителям компаний и заявляли о краже данных из системы Oracle E-Business Suite. Атака началась за несколько недель до выхода исправлений и использовала уязвимости CVE-2025-61882 и CVE-2025-61884.

Аналитики также описали ряд сложных технических атак. В некоторых случаях злоумышленники обходили изоляцию браузера с помощью ошибок в операционной системе или драйверах графических процессоров. В другой кампании применили цепочку уязвимостей против устройств удалённого доступа SonicWall Secure Mobile Access 1000. Эксплойт позволял получить удалённое выполнение кода и затем повысить привилегии до уровня администратора устройства.

Отдельный случай связан с изображениями формата DNG на смартфонах Samsung. Вредоносные файлы использовали ошибку CVE-2025-21042 в библиотеке обработки изображений Quram. После загрузки изображения через мессенджер, например WhatsApp, система автоматически обрабатывала файл. Ошибка позволяла выполнить код внутри системной службы, которая имеет доступ ко всей медиатеке устройства.

Аналитики считают, что в ближайшие годы ситуация может измениться из-за искусственного интеллекта. Такие системы способны ускорить поиск уязвимостей и создание эксплойтов, а значит атаки могут происходить быстрее и масштабнее. Одновременно разработчики защитных решений начнут использовать те же технологии для поиска ошибок в программном обеспечении ещё до того, как злоумышленники успеют воспользоваться уязвимостями.