在利用0day漏洞去展開網絡攻擊，中國不是唯一的“惡魔”。根據路透社的報告，在一個蓬勃發展的由黑客和安全公司開發和銷售入侵工具的灰色市場，美國政府是“0day”漏洞最大的買家。

[[72612]]

一些安全專家質疑五角大樓的報告。在報告里，對由美國發起的網絡間諜行為只字未提。但是，美國每年都會花費數十億美金來“打造網絡防御工事和發展越來越復雜的網絡戰武器”。國家安全局將軍Keith Alexander在國會聽證會上說，“美國正在建立十數個進攻團隊，如果必要，這些團隊會對其他國家的網絡系統展開攻擊。”路透社補充到，“美國國家安全局和國防部在獲取商業系統漏洞的工作上投入了巨大的成本，不斷嘗試利用這些漏洞的方式。”

一名不愿透露姓名與美政府簽訂防護合同的人員稱：“我的工作就是拿著一個存有25個0day漏洞的USB key，時刻準備著干活。”路透社稱，“私營公司雇傭了專業技術人員和開發人員來發現漏洞，開發利用漏洞的代碼，之后拿到市場上去賣。這些0day漏洞起價5萬美金。影響漏洞價格的因素包括漏洞所利用的商業系統的裝機量以及漏洞能在多長時間內不被公開。”

廠商在一些秘密的場合向執法和情報部門提供了各種各樣的間諜工具。Vupen是一家向政府提供0day工具的著名公司。最近，該公司派遣12名致力于某項攻擊技術的研究人員參加了“Advanced Heap Manipulation in Windows 8”會議。美國政府也有數名人員參會，至于這項技術是否被用來入侵其它國家政府系統就不得而知了。

ReVuln是一家新加入的玩家。他們關注于對工業控制系統漏洞的發現和利用。

“當我們問他們一旦發起攻擊會造成大量的破壞甚至人員傷亡的時候，”路透社稱，“他們說，這事別問我們，問那些導致漏洞存在的生產廠商。我們不賣武器，我們賣的是信息”。

路透社對美國政府這種對漏洞選擇利用而不是公開它們的行為發出警告，稱可能導致“不可預料的后果”。美國政府這么做很可能會“搬起石頭砸自己的腳”。路透社舉了個例子。Duqu是美國政府專門針對伊朗開發的惡意程序。Duqu之后被網絡犯罪分子拷貝，開發了漏洞利用包(Blackhole和Cool)。根據F-Secure的報告，盡管微軟已經發布了補丁，黑客仍舊入侵了美國1.6%的計算機，在美國之外，這個比例可能更高。

路透社提到了一份大型承包商的(漏洞)產品目錄。里面包含把iPhone變成竊聽設備的軟件，以及可以通過安裝到打印機等設備上并通過無線傳送到臨近計算機系統里的惡意軟件。

一些批評家稱，美國在“震網”事件之后再沒有資格指責別人了。McAee稱美國是全球僵尸網絡的老窩。PressTV報道，德國電信透露對其網絡的攻擊主要來自美國。

路透社的報告–“U.S. cyberwar strategy stokes fear of blowback”很有意思，值得一讀。