Оригинал: techcrunch.com
Operation Zero, компания, которая приобретает и продает уязвимости нулевого дня (zero-day) исключительно российскому правительству и локальным российским компаниям, объявила в четверг, что ищет эксплойты для популярного мессенджера Telegram и готова предложить за них до $4 миллионов.
Брокер эксплойтов предлагает до $500 000 за эксплойт удаленного выполнения кода (RCE) типа "one-click" (требующий одного клика); до $1,5 миллиона за RCE-эксплойт типа "zero-click" (не требующий взаимодействия с пользователем); и до $4 миллионов за полную цепочку эксплойтов ("full chain"), предположительно имея в виду серию уязвимостей, которые позволяют хакерам получить доступ не только к Telegram жертвы, но и ко всей операционной системе или устройству.
Компании, занимающиеся уязвимостями нулевого дня, такие как Operation Zero, разрабатывают или приобретают уязвимости в популярных операционных системах и приложениях, а затем перепродают их по более высокой цене. Фокус компании на Telegram логичен, учитывая, что этот мессенджер особенно популярен среди пользователей как в России, так и в Украине.
Учитывая клиентов брокера эксплойтов — в основном это российское правительство — публично объявленные цены дают редкую возможность заглянуть в приоритеты рынка уязвимостей нулевого дня, особенно российского, страны и кибербезопасностного рынка, которые часто окружены завесой секретности.
Для брокеров эксплойтов вполне обычно рекламировать, что они ищут баги в конкретных приложениях или системах, когда знают о наличии актуального спроса. Это может означать, что российское правительство сообщило Operation Zero о заинтересованности в уязвимостях Telegram, что побудило брокера опубликовать по сути рекламное объявление и предложить более высокие выплаты, понимая, что компания сможет в свою очередь запросить больше денег с российского правительства.
Zero-day (уязвимости нулевого дня) — это уязвимости, неизвестные производителям программного или аппаратного обеспечения, что делает их особенно ценными в растущей индустрии брокеров эксплойтов и тех, кто хочет их купить, поскольку это даёт хакерам лучшие шансы на эксплуатацию целевой технологии без возможности для производителя или цели что-либо с этим сделать.
RCE (удаленное выполнение кода) — один из самых ценных типов уязвимостей, поскольку позволяет хакерам удаленно взять под контроль приложение или операционную систему. Эксплойты типа zero-click не требуют никакого взаимодействия со стороны цели, в отличие, например, от фишинговой атаки, что делает такие баги еще более ценными.Цель — Telegram
Новое вознаграждение за баги в Telegram появилось после того, как правительство Украины запретило использование Telegram на устройствах государственных и военных служащих в прошлом году из опасений, что они могут быть особенно уязвимы для хакеров российского правительства.
Эксперты по безопасности и приватности неоднократно предупреждали, что Telegram не следует считать таким же безопасным, как конкуренты вроде WhatsApp и Signal. Во-первых, Telegram не использует сквозное шифрование (end-to-end encryption) по умолчанию, а даже когда пользователи его включают, приложение не использует хорошо известное и проверенное сквозное шифрование. Это приводит к тому, что эксперты по криптографии, такие как Мэтью Грин, предупреждают: «Подавляющее большинство приватных разговоров в Telegram — и буквально каждый групповой чат — вероятно, видны на серверах Telegram».
Человек, знакомый с рынком эксплойтов, сказал, что цены Operation Zero на эксплойты для Telegram «немного занижены», но это может быть связано с тем, что Operation Zero планирует взимать больше, возможно, в два или три раза больше, при перепродаже эксплойтов.
Этот человек, пожелавший остаться анонимным, поскольку не был уполномочен общаться с прессой, сказал, что Operation Zero также может продавать их несколько раз разным клиентам, а также может платить более низкие цены в зависимости от некоторых критериев.
«Я не думаю, что они действительно заплатят полную цену. Будет какая-то планка, которую эксплойт не преодолеет, и они сделают только частичную оплату», — сказал источник. «Это плохая бизнес-практика, на мой взгляд, но при условии анонимности у них нет реальных стимулов не обманывать разработчика эксплойта».
Другой человек, работающий в индустрии уязвимостей нулевого дня, сказал, что цены, рекламируемые Operation Zero, не «сильно отличаются от рыночных». Но он также отметил, что это зависит от таких факторов, как эксклюзивность, и учитывает ли эта цена тот факт, что Operation Zero собирается внутренне дорабатывать эксплойты или перепродавать их как брокер.
Цены на уязвимости нулевого дня в целом выросли за последние несколько лет, поскольку приложения и платформы становится все труднее взламывать. Как сообщал TechCrunch в 2023 году, уязвимость нулевого дня для WhatsApp могла стоить до $8 миллионов — цена, которая также учитывает популярность приложения.
Operation Zero ранее попадала в заголовки новостей, предложив $20 миллионов за хакерские инструменты, которые позволили бы взять под полный контроль устройства на iOS и Android. В настоящее время компания предлагает только $2,5 миллиона за такие виды уязвимостей.
---------
P.S. ранее всего опубликовал эту новость у себя в Телеграм Канале
Источник новости: habr.com
