Операция Zero, компания, которая приобретает и продает нулевые дни исключительно российскому правительству и местным российским компаниям, объявила в четверг, что она ищет эксплойты для популярного приложения для обмена сообщениями и готова предложить им до 4 миллионов долларов.
Эксплойт-брокер предлагает до 500 000 долларов для эксплойта удаленного кода «один клик» (RCE); до 1,5 млн. Долл. сша за эксплойт RCE с нулевым кликом; и до 4 миллионов долларов за «полную цепочку» эксплойтов, предположительно, ссылаясь на серию ошибок, которые позволяют хакерам перейти от доступа к телеграмме цели во всю операционную систему или устройство.
Компании по нулевым дням, такие как Operation Zero Develop или приобретают уязвимости безопасности в популярных операционных системах и приложениях, а затем перепродают их по более высокой цене. Чтобы компания была сосредоточена на телеграмме имеет смысл, учитывая, что приложение для обмена сообщениями особенно популярно среди пользователей как в России, так и в Украине.
Учитывая клиенты брокера эксплуатации-главным образом российское правительство-общественная цена предлагает редкий взгляд на приоритеты на рынке нулевого дня, особенно на рынке России, страны и кибербезопасности, часто окутанных секретностью.
Эксплойтские брокеры нередко рекламируют, что они ищут ошибки в конкретных приложениях или системах, когда они знают, что существует своевременный спрос. Это означает, что вполне возможно, что российское правительство сообщило Operation Zero, что он ищет ошибки телеграммы, что побудило брокера опубликовать то, что по сути является рекламой, и предлагать более высокие выплаты, потому что он знает, что он, в свою очередь, может взимать с русского правительства для них.
Свяжитесь с нами. Из неработающего устройства вы можете надежно связаться с Lorenzo Franceschi-Bicchierai по сигналу +1 917 257 1382, или через Telegram и Keybase @lorenzofb или по электронной почте. Вы также можете связаться с TechCrunch через Securedrop.
Главный исполнительный директор Operation Zero Sergey Zelenyuk не ответил на запрос TechCrunch о комментариях.
Нулевые дни-это уязвимости, которые неизвестны программным или аппаратным производителям, что делает их особенно ценными в растущей отрасли эксплуатационных брокеров-и тех, кто хочет их купить,-потому что это дает хакерам больше шансов использовать целевую технологию без производителя или цели.
RCE является одним из самых ценных типов недостатков, поскольку он позволяет хакерам удаленно взять контроль над приложением или операционной системой. Эксплойты с нулевым кликом не требуют какого-либо взаимодействия от цели, в отличие от фишинговой атаки, например, что делает эти ошибки более ценными.
Zero Click, RCE нулевой день, по сути, самая ценная категория эксплойта.
Нацеливание на телеграмму
Новая награда за ошибки телеграммы появляется, когда украинское правительство запретило использование телеграммы на устройствах правительства и военнослужащих в прошлом году из -за страха, что они могут быть особенно уязвимы для российских правительственных хакеров.
Эксперты по безопасности и конфиденциальности неоднократно предупреждали, что телеграмма не должна рассматриваться так же безопасной, как конкуренты, такие как WhatsApp и Signal. Во-первых, Telegram не использует сквозное шифрование по умолчанию, и даже когда пользователи позволяют ее, в приложении не используется хорошо известное и проверенное сквозное шифрование, что приводит к крипто-экспертам, таким как Мэтью Грин, чтобы предупредить, что «подавляющее большинство разговоров Telegram-and Telegram-и буквально каждый чат группы, вероятно, виден на серверах Telegram».
Человек, который имеет знание рынка эксплойтов, сказал, что цены на операцию Zero для Telegram «немного низкие», но это может быть связано с тем, что Operation Zero ожидает взимать больше, возможно, вдвое или три раза больше, когда он перепродает эксплуатации.
Человек, который попросил остаться анонимным, потому что он не был уполномочен говорить с прессой, сказал, что операция Zero также может продавать их несколько раз различным клиентам, а также может заплатить более низкие цены в зависимости от некоторых критериев.
«Я не думаю, что они на самом деле заплатят полный [price]Полем Будет какой -то бар, который эксплойт не проясняется, и они будут выполнять только частичный платеж, — сказали они. — Это плохой бизнес, если вы спросите меня, но, поскольку все будут анонимными, нет никаких реальных стимулов, чтобы не F — K над писателем эксплуатации ».
Другой человек, который работает в индустрии нулевого дня, сказал, что цены, рекламируемые операцией Zero, не «дико». Но они также сказали, что это зависит от того, есть ли такие факторы, как эксклюзивность, и учитывает ли эта цена тот факт, что операция Zero собирается переосмыслить эксплойты внутренне или перепродать их в качестве брокера.
Цены на нулевые дни в целом выросли за последние несколько лет, так как приложения и платформы становятся все труднее взламывать. Как сообщил TechCrunch в 2023 году, нулевой день для WhatsApp может стоить до 8 миллионов долларов в то время, цена, которая также учитывает, насколько популярным является приложение.
Операция Zero ранее выпускала заголовки для предложения 20 миллионов долларов для хакерских инструментов, которые позволили бы хакерам взять полный контроль над устройствами iOS и Android. В настоящее время компания предлагает только 2,5 миллиона долларов за такие ошибки.
