Operation Zero, una società che acquisisce e vende zero-day esclusivamente al governo russo e alle aziende locali russe, ha annunciato giovedì che sta cercando exploit per la popolare app di messaggistica Telegram e è disposta a offrire fino a 4 milioni di dollari per loro.
Il broker di exploit offre fino a $500,000 per un exploit di esecuzione remota 'one-click'; fino a $1.5 milioni per un exploit di esecuzione remota 'zero-click'; e fino a $4 milioni per una 'catena completa' di exploit, presumibilmente riferendosi a una serie di bug che consentono agli hacker di passare dall'accesso all'account Telegram di un obiettivo al loro intero sistema operativo o dispositivo.
Aziende zero-day come Operation Zero sviluppano o acquisiscono vulnerabilità di sicurezza in sistemi operativi e app popolari e poi le rivendono a un prezzo più alto. Per l'azienda focalizzarsi su Telegram ha senso, considerando che l'app di messaggistica è particolarmente popolare tra gli utenti sia in Russia che in Ucraina.
Dati i clienti del broker di exploit - principalmente il governo russo - il prezzo pubblico offre uno sguardo raro sulle priorità all'interno del mercato zero-day, in particolare quello della Russia, un paese e mercato della sicurezza informatica spesso avvolti nel segreto.
Non è raro che i broker di exploit pubblicizzino che stanno cercando bug in app o sistemi specifici quando sanno che c'è domanda tempestiva. Ciò significa che è possibile che il governo russo abbia detto a Operation Zero che sta cercando bug di Telegram, il che ha spinto il broker a pubblicare essenzialmente un annuncio, e offrire pagamenti più alti perché sa che può a sua volta addebitare di più al governo russo.
Contattaci
Hai altre informazioni su Operation Zero o altri fornitori di zero-day? Da un dispositivo non di lavoro, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Signal al +1 917 257 1382, o tramite Telegram e Keybase @lorenzofb, o via email. Puoi anche contattare TechCrunch tramite SecureDrop.Il CEO di Operation Zero, Sergey Zelenyuk, non ha risposto alla richiesta di commento di TechCrunch.
Zero-days sono vulnerabilità sconosciute ai produttori di software o hardware, il che li rende particolarmente preziosi all'interno del crescente settore dei broker di exploit - e di coloro che desiderano acquistarli - perché dà agli hacker una migliore possibilità di sfruttare la tecnologia obiettivo senza che il produttore o l'obiettivo possano farci molto al riguardo.
Un RCE è uno dei tipi di difetti più preziosi perché consente agli hacker di prendere il controllo remoto di un'app o di un sistema operativo. Gli exploit zero-click non richiedono alcuna interazione da parte dell'obiettivo, a differenza di un attacco di phishing, ad esempio, rendendo questi bug più preziosi.
Un zero-day, RCE zero-day è essenzialmente la categoria di exploit più preziosa che ci sia.
Targeting Telegram
La nuova taglia per i bug di Telegram arriva mentre il governo ucraino ha vietato l'uso di Telegram sui dispositivi del personale governativo e militare l'anno scorso, per timore che potessero essere particolarmente vulnerabili agli hacker del governo russo.
Gli esperti di sicurezza e privacy hanno ripetutamente avvertito che Telegram non dovrebbe essere considerato sicuro come concorrenti come WhatsApp e Signal. Per uno, Telegram non utilizza la crittografia end-to-end per impostazione predefinita e anche quando gli utenti la abilitano, l'app non utilizza una crittografia end-to-end ben nota e verificata, il che porta esperti di crittografia come Matthew Green a avvertire che 'la stragrande maggioranza delle conversazioni one-on-one di Telegram - e letteralmente ogni chat di gruppo - sono probabilmente visibili sui server di Telegram.
Una persona che ha conoscenza del mercato degli exploit ha detto che i prezzi di Operation Zero per Telegram 'sono un po' bassi', ma potrebbe essere perché Operation Zero si aspetta di addebitare di più, forse due o tre volte tanto, quando rivende gli exploit.
La persona, che ha chiesto di rimanere anonima perché non autorizzata a parlare con la stampa, ha detto che Operation Zero potrebbe anche venderli più volte a diversi clienti e potrebbe anche pagare prezzi più bassi a seconda di alcuni criteri.
Non penso che pagheranno effettivamente il prezzo pieno. Ci sarà un barriera che l'exploit non supererà e faranno solo un pagamento parziale ', hanno detto. 'Che è un brutto affare se mi chiedete, ma visto che tutti sono anonimi non c'è reale incentivo a non fregare l'autore dell'exploit '.
Un'altra persona che lavora nell'industria zero-day ha detto che i prezzi pubblicizzati da Operation Zero non sono 'fuori luogo'. Ma hanno anche detto che dipende se ci sono fattori come l'esclusività e se quel prezzo tiene conto del fatto che Operation Zero poi svilupperà internamente gli exploit o li rivenderà come broker.
I prezzi degli zero-day in generale sono aumentati negli ultimi anni poiché le app e le piattaforme diventano sempre più difficili da hackerare. Come ha riportato TechCrunch nel 2023, un zero-day per WhatsApp poteva costare fino a $8 milioni all'epoca, un prezzo che tiene conto anche della popolarità dell'app.
Operation Zero ha fatto precedentemente notizia per offrire $20 milioni per strumenti di hacking che avrebbero permesso agli hacker di prendere il pieno controllo dei dispositivi iOS e Android. Attualmente l'azienda offre solo $2.5 milioni per quei tipi di bug.
