.
Operação Zero, uma empresa que adquire e vende zero dias exclusivamente ao governo russo e às empresas russas locais, anunciado na quinta -feira que está procurando explorações para o aplicativo de mensagens popular Telegram e está disposto a oferecer até US $ 4 milhões por eles.
O corretor de exploração está oferecendo até US $ 500.000 para uma Execução de Código Remoto (RCE) “com um clique”; Até US $ 1,5 milhão para uma exploração RCE de clique zero; E até US $ 4 milhões para uma “cadeia completa” de façanhas, presumivelmente referindo -se a uma série de bugs que permitem que hackers passem de acessar o telegrama de um alvo em todo o sistema ou dispositivo operacional.
Empresas de dia zero como a Operação Zero desenvolvem ou adquirem vulnerabilidades de segurança em sistemas e aplicativos operacionais populares e depois assedem-os por um preço mais alto. Para que a empresa se concentre no telegrama faça sentido, considerando que o aplicativo de mensagens é especialmente popular entre os usuários na Rússia e na Ucrânia.
Dado os clientes do corretor de exploração-principalmente o governo russo-o preço público oferece um raro vislumbre das prioridades do mercado de dias zero, particularmente o da Rússia, um mercado de país e segurança cibernética frequentemente envolta em segredo.
Não é incomum que os corretores explorem anunciem que estão procurando bugs em aplicativos ou sistemas específicos quando sabem que há uma demanda oportuna. Isso significa que é possível que o governo russo tenha dito à Operação Zero que está procurando bugs de telegrama, o que levou o corretor a publicar o que é essencialmente um anúncio e oferecer pagamentos mais altos porque sabe que, por sua vez, pode cobrar mais o governo russo por eles.
Contate-nos
Você tem mais informações sobre a Operação Zero ou outros provedores de dias zero? A partir de um dispositivo que não é de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no sinal em +1 917 257 1382, ou via telegrama e keybase @lorenzofb ou email. Você também pode entrar em contato com o Strong The One via Securedrop.
O executivo -chefe da Operação Zero, Sergey Zelenyuk, não respondeu ao pedido de comentário da Strong The One.
Os zero dias são vulnerabilidades desconhecidas para os fabricantes de software ou ferragens, o que os torna particularmente valiosos na crescente indústria de corretores de exploração-e aqueles que querem comprá-los-porque isso oferece aos hackers uma chance melhor de explorar a tecnologia-alvo sem que o fabricante ou o alvo seja capaz de fazer muito sobre isso.
Um RCE é um dos tipos de falhas mais valiosos, pois permite que os hackers assumam remotamente o controle de um aplicativo ou sistema operacional. As explorações com clique zero não exigem nenhuma interação do alvo, em oposição a um ataque de phishing, por exemplo, tornando esses bugs mais valiosos.
Um clique zero, o RCE Zero-Day é essencialmente a categoria de exploração mais valiosa que existe.
Direcionando o telegrama
A nova recompensa para bugs de telegrama vem como o governo ucraniano proibiu o uso de telegrama Sobre os dispositivos do governo e do pessoal militar no ano passado, por medo de que eles pudessem ser especialmente vulneráveis a hackers do governo russo.
Segurança e privacidade especialistas ter repetidamente avisou que o telegrama não deve ser considerado tão seguro quanto os concorrentes como WhatsApp e Signal. Por um especialistas em criptografia como Matthew Green Para alertar isso, “a grande maioria das conversas individuais do telegrama-e literalmente cada bate-papo em grupo-provavelmente é visível nos servidores do Telegram”.
Uma pessoa que tem conhecimento do mercado de exploração disse que os preços da Operação Zero para o Telegram “são um pouco baixos”, mas isso pode ser porque a Operação Zero espera cobrar mais, talvez duas ou três vezes mais, quando revela as façanhas.
A pessoa, que pediu para permanecer anônima porque não estava autorizada a falar com a imprensa, disse que a Operação Zero também poderia vendê -las várias vezes a diferentes clientes e também pagar preços mais baixos, dependendo de alguns critérios.
“Eu não acho que eles realmente pagarão integral [price]. Haverá algum bar a exploração não esclarecer e eles farão apenas um pagamento parcial “, disseram eles.
Outra pessoa que trabalha na indústria de dias zero disse que os preços anunciados pela Operação Zero não estão “descontroladamente”. Mas eles também disseram que isso depende se há fatores como exclusividade e se esse preço está levando em consideração o fato de que a Operação Zero será desenvolvida novamente as façanhas internamente ou as reverencie como corretor.
Os preços dos zero dias em geral aumentaram nos últimos anos, à medida que aplicativos e plataformas se tornam mais difíceis de invadir. Como o Strong The One informou em 2023, um dia zero para o WhatsApp pode custar até US $ 8 milhões na época, um preço que também leva em consideração o quão popular é o aplicativo.
A Operação Zero fez manchetes anteriormente por oferecer US $ 20 milhões para ferramentas de hackers que permitiriam que os hackers assumissem o controle total dos dispositivos iOS e Android. Atualmente, a empresa oferece apenas US $ 2,5 milhões para esses tipos de bugs.
.
