Operatie Zero, een bedrijf dat uitsluitend nul-dagen verkocht en verkoopt aan de Russische overheid en lokale Russische bedrijven, kondigde donderdag aan dat het op zoek is naar exploits voor de populaire berichten-app Telegram en bereid is tot $ 4 miljoen voor hen te bieden.
De exploitmakelaar biedt tot $ 500.000 aan voor een “one-click” externe externe uitvoering (RCE) exploit; tot $ 1,5 miljoen voor een nulklik RCE-exploit; en tot $ 4 miljoen voor een “volledige keten” van exploits, vermoedelijk verwijzend naar een reeks bugs waarmee hackers kunnen gaan van toegang tot het telegram van een doel naar hun hele besturingssysteem of apparaat.
Zweren-daagse bedrijven zoals Operatie Zero ontwikkelen of verwerven beveiligingskwetsbaarheden in populaire besturingssystemen en apps en verkoopt ze vervolgens opnieuw voor een hogere prijs. Het bedrijf om zich op Telegram te concentreren, is logisch, aangezien de berichten -app vooral populair is bij gebruikers in zowel Rusland als Oekraïne.
Gezien de klanten van de exploitmakelaar-voornamelijk de Russische overheid-biedt het openbare prijskaartje een zeldzame blik op de prioriteiten binnen de zero-day markt, met name die van Rusland, een landelijke en cybersecurity-markt die vaak in het geheim is gehuld.
Het is niet ongewoon dat makelaars exploiteren adverteren dat ze op zoek zijn naar bugs in specifieke apps of systemen wanneer ze weten dat er tijdige vraag is. Dit betekent dat het mogelijk is dat de Russische regering Operatie Zero heeft verteld dat het op zoek is naar telegram -bugs, die de makelaar ertoe heeft aangezet om te publiceren wat in wezen een advertentie is, en hogere uitbetalingen aanbiedt omdat het weet dat het op zijn beurt de Russische overheid meer voor hen kan beschuldigen.
Neem contact met ons op
Heeft u meer informatie over Operatie Zero of andere nul-day providers? Vanaf een niet-werkapparaat kunt u contact opnemen met Lorenzo Franceschi-Bicchierai veilig op signaal op +1 917 257 1382, of via Telegram en Keybase @lorenzofb of e-mail. U kunt ook contact opnemen met TechCrunch via Securedrop.
Sergey Zelenyuk van Operation Zero heeft niet gereageerd op het verzoek van TechCrunch om commentaar.
Zero-dagen zijn kwetsbaarheden die onbekend zijn voor de software- of hardwaremakers, waardoor ze bijzonder waardevol zijn in de groeiende industrie van exploitatie-makelaars-en degenen die ze willen kopen-omdat het hackers een betere kans geeft om de doeltechnologie te exploiteren zonder de maker of het doelwit dat er veel aan kan doen.
Een RCE is een van de meest waardevolle soorten fouten omdat het hackers in staat stelt op afstand de controle over een app of besturingssysteem te nemen. Zero-click exploits vereisen geen interactie van het doelwit, in tegenstelling tot een phishing-aanval, bijvoorbeeld, waardoor deze bugs waardevoller worden.
Een zero-click, RCE Zero-Day is in wezen de meest waardevolle categorie van exploit die er is.
Targeting Telegram
De nieuwe premie voor telegram -bugs komt wanneer de Oekraïense regering het gebruik van telegram op de apparaten van overheid en militair personeel vorig jaar verbood, uit angst dat ze vooral kwetsbaar konden zijn voor Russische overheidshackers.
Beveiligings- en privacy -experts hebben herhaaldelijk gewaarschuwd dat Telegram niet zo veilig moet worden beschouwd als concurrenten zoals WhatsApp en Signal. Ten eerste gebruikt Telegram niet standaard end-to-end codering, en zelfs wanneer gebruikers dit inschakelen, gebruikt de app geen bekende en gecontroleerde end-to-end-codering, die crypto-experts zoals Matthew Green leidt om te waarschuwen dat “de overgrote meerderheid van één-op-één telegramgesprekken-en letterlijk elke groepschat-zichtbaar zijn op de servers van telegram.”
Een persoon die kennis heeft van de exploitmarkt zei dat de prijzen van Operation Zero voor Telegram “een beetje laag zijn”, maar dat kan zijn omdat Operatie Zero verwacht meer, misschien twee of drie keer zoveel, wanneer het de exploits doorkruist.
De persoon, die vroeg om anoniem te blijven omdat ze niet bevoegd waren om met de pers te praten, zei dat Operatie Zero hen ook meerdere keren aan verschillende klanten kon verkopen en ook lagere prijzen kon betalen, afhankelijk van sommige criteria.
‘Ik denk niet dat ze daadwerkelijk vol zullen betalen [price]. Er zal een bar zijn die de exploit niet duidelijk maakt en ze zullen alleen een gedeeltelijke betaling doen, “zeiden ze.” Dat is een slechte zaken als je het mij vraagt, maar met iedereen die anoniem is, is er geen echte stimulans om F – K over de exploitschrijver niet te zijn. “
Een andere persoon die in de zero-day-industrie werkt, zei dat de door operatie nul geadverteerde prijzen niet ‘wild af’ zijn. Maar ze zeiden ook dat het ervan afhangt of er factoren zoals exclusiviteit zijn, en of die prijs rekening houdt met het feit dat Operatie Zero de exploits intern zal ontwikkelen, of ze opnieuw als makelaar zal verkopen.
De prijzen van nuldagen in het algemeen zijn de afgelopen jaren gestegen naarmate apps en platforms moeilijker te hacken worden. Zoals TechCrunch in 2023 meldde, zou een nul-dag voor WhatsApp destijds tot $ 8 miljoen kunnen kosten, een prijs die ook rekening houdt met hoe populair de app is.
Operatie Zero haalde eerder de krantenkoppen voor het aanbieden van $ 20 miljoen voor hacktools waarmee hackers de volledige controle over iOS- en Android -apparaten kunnen nemen. Het bedrijf biedt momenteel slechts $ 2,5 miljoen voor dat soort bugs.
