Использование кибероружия для шпионажа больше не является прерогативой исключительно спецслужб — вокруг эксплойтов нулевого дня (0-day) сформировался полноценный рынок с брокерами, прайс-листами и поставщиками. В феврале 2026 года Минфин и Госдеп США ввели санкции против российской компании «Матрица» (бренд Operation Zero), которая открыто продавала инструменты для взлома недружественным НАТО странам, «сломав» негласные правила индустрии.
Почему хакеры торгуют временем до обнаружения
Уязвимость нулевого дня — это критическая ошибка в программном обеспечении или оборудовании, которую хакеры используют до того, как разработчик узнает о ней и выпустит патч. Название означает, что у создателей есть ноль дней на устранение угрозы. На рынке существует спрос не на сам программный баг, а на «окно возможностей» — время гарантированного скрытого доступа в систему до обнаружения.
Рынок 0-day-уязвимостей представлен тремя категориями участников:
Ранее мы писали, что число баг-баунти в 2025 году выросло на 7%, но ИИ завалил платформы «шлаком», что подчёркивает растущую нагрузку на системы поиска уязвимостей.
- Исследователь кибербезопасности — специалист или команда, находящая уязвимость.
- Брокер — компании-посредники, скупающие эксплойты и дорабатывающие их до состояния готового коммерческого продукта (цепочки заражения) для перепродажи.
- Заказчик — разведывательные и военные ведомства, которым нужен инструмент для шпионажа «под ключ».
Как Operation Zero нарушила негласные правила
В феврале 2026 года Минфин и Госдеп США ввели санкции против российской компании «Матрица» (бренд Operation Zero) и ее основателя Сергея Зеленюка. Согласно материалам расследования Управления по контролю за иностранными активами Минфина США (OFAC), главным правилом Operation Zero была продажа инструментов клиентам из стран за пределами НАТО и в первую очередь государственным разведывательным органам.
Ключевым в деле оказался поставщик Operation Zero, похитивший доступы у оборонного подрядчика США (предположительно L3Harris). С 2022 по 2025 год австралийскому фрилансеру Питеру Уильямсу удалось украсть восемь 0-day эксплойтов, созданных для нужд разведки. Он продал инструменты за $1,3 млн в криптовалюте.
Пока другие игроки старались балансировать в серой зоне «национальной безопасности», Operation Zero пошла на прямую конфронтацию с НАТО, продавая кибероружие противникам альянса.
Ранее в санкционный список OFAC разработчики вредоносов попадали после резонансных событий: в 2021 году ограничения коснулись израильской компании NSO Group — создателя Pegasus, использовавшегося для слежки за дипломатами, журналистами и оппозиционерами. В 2024 году за содействие в репрессиях и слежке санкции наложены на разработчиков ПО Predator — Intellexa и Cytrox.
Прайс-листы Zerodium и конкуренция из ОАЭ
Впервые вывести торговлю уязвимостями нулевого дня из даркнета в публичную и формально законную плоскость решилась компания Zerodium, основанная в 2015 году. Организация начала открыто публиковать прайс-листы на скупку эксплойтов, приобретенные доступы дорабатывала и перепродавала узкому кругу проверенных клиентов — в первую очередь государственным спецслужбам и правоохранительным органам стран НАТО.
Напомним, что квантовый компьютер может украсть Биткоин за 9 минут — это ещё один пример того, как новые технологии ставят под угрозу традиционные методы защиты.
Определение легальности продавца кибероружия весьма шаткое. Рынок официальных или полуофициальных организаций — высококонкурентная среда с явными лидерами вроде Crowdfense из ОАЭ. Этой компании удается обходить списки OFAC благодаря юрисдикции, поддерживающей партнерские отношения с США, жестким правилам экспортного контроля и выбору заказчиков — клиентами выступают разведывательный альянс Five Eyes, правительства и правоохранительные органы стран-союзников.
Покупая уязвимость, Crowdfense заключает с хакером договор о неразглашении и передает эксплойт спецслужбам для слежки за террористами. С юридической точки зрения это закупка спецсредств. Однако эта «белая зона» остается условной — статус легального игрока держится до тех пор, пока его инструменты не оказываются в центре публичного скандала, особенно если речь идет о слежке за журналистами или политиками в западных странах.
Почему санкции против «Матрицы» меняют рынок
К середине 2020-х модель Zerodium перестала быть конкурентоспособной из-за давления со стороны новых игроков с существенно большими бюджетами, прежде всего дубайской Crowdfense. Рынок 0-day-уязвимостей остается в серой зоне, где грань между легальным подрядчиком спецслужб и преступником определяется исключительно тем, на кого направлено кибероружие. Санкции против «Матрицы» стали прецедентом — впервые под ограничения попал брокер, продававший инструменты противникам НАТО, что меняет динамику всего рынка.
Для русскоязычных читателей из России и СНГ эта история показательна: она демонстрирует, как кибероружие становится товаром, а криптовалюта — основным средством расчетов на этом теневом рынке. $1,3 млн в криптовалюте за восемь эксплойтов — лишь вершина айсберга, за которым стоят миллиардные бюджеты разведок.
Сможет ли рынок 0-day-уязвимостей сохранить хотя бы видимость легальности после прямого столкновения Operation Zero с интересами НАТО, или следующий скандал окончательно разрушит негласные правила игры, покажет время.