Российская компания по продаже нулевых уязвимостей увеличивает ставки: до $4 миллионов за эксплойты Telegram

Компания Operation Zero, занимающаяся покупкой и продажей уязвимостей нулевого дня исключительно для российского правительства и местных предприятий, объявила в четверг о поиске эксплойтов для известного мессенджера Telegram, предлагая за них до $4 миллионов.

Брокер уязвимостей готов заплатить до $500 000 за эксплойт удаленного выполнения кода (RCE) с одним кликом, до $1,5 миллиона за RCE типа “zero-click” (не требующий взаимодействия пользователя) и до $4 миллионов за полную цепочку эксплойтов, подразумевающую целый ряд уязвимостей, позволяющих хакерам получить доступ не только к Telegram, но и к операционной системе или устройству жертвы.

Операции таких компаний, как Operation Zero, заключаются в разработке или приобретении уязвимостей в широко используемых системах и приложениях с последующей перепродажей по более высокой цене. При этом внимание компании к Telegram оправдано, ведь этот мессенджер пользуется большой популярностью как в России, так и в Украине.

Учитывая, что клиентов брокера в основном составляет российское правительство, озвученные цены предоставляют редкую возможность оценить приоритеты на рынке уязвимостей нулевого дня, особенно в России, где информация о кибербезопасности часто остается скрытой.

Для брокеров эксплойтов привычно указывать на поиск уязвимостей в определенных приложениях, если они знают о наличии актуального спроса. Это может означать, что российские власти выразили интерес к уязвимостям Telegram, что побудило брокера опубликовать своё предложение и увеличить возможные выплаты, осознавая, что сможет запросить больше денег у государства.

Уязвимости нулевого дня — это такие уязвимости, которые неизвестны разработчикам программного и аппаратного обеспечения, что делает их особенно ценными в мире брокеров эксплойтов, предоставляя хакерам возможность небезопасно эксплуатировать целевую технологию.

Эксплойты удаленного выполнения кода (RCE) — один из самых непростительных типов уязвимостей, поскольку позволяют хакерам удаленно контролировать приложения или операционные системы. Эксплойти zero-click не требуют никакого взаимодействия от жертвы, что делает их еще более привлекательными для злоумышленников.

Недавнее предложение по вознаграждению за уязвимости в Telegram появилось на фоне запрета, введенного правительством Украины на использование этого мессенджера на устройствах государственных и военных служащих. Это решение было вызвано опасениями, что Telegram особенно подвержен хакерским атакам со стороны российских властей.

Специалисты по безопасности уже неоднократно предупреждали о том, что Telegram не следует рассматривать как равнозначный по безопасности конкурентам, таким как WhatsApp и Signal. Во-первых, в Telegram по умолчанию не используется сквозное шифрование, а даже если пользователи активируют его, приложение не применяет проверенные алгоритмы шифрования, что приводит к тому, что большинство приватных чатов может быть видно на серверах мессенджера.

Один из экспертов в сфере уязвимостей отметил, что цены от Operation Zero на эксплойты для Telegram “немного занижены”, возможно, из-за намерения компании в будущем запрашивать за них больше, до двух или трех раз.

Этот источник, пожелавший остаться инкогнито, из-за отсутствия разрешения на общение с прессой, предположил, что Operation Zero может также перепродавать эксплойты нескольким разным клиентам и устанавливать различные цены в зависимости от условий.

«Я не думаю, что они заплатят полную цену. Будет установлен потолок, который эксплойт не преодолеет, и произойдет только частичная выплата», — заметил информатор. «Это плохая практика в бизнесе, но с учетом анонимности у них нет стимулов не обманывать разработчика эксплойта».

Другой специалист в области уязвимостей заявил, что цены, предложенные Operation Zero, не слишком далеки от рыночных. Тем не менее, он добавил, что это также зависит от таких факторов, как степень эксклюзивности и будет ли эта цена учитывать тот факт, что Operation Zero может дорабатывать эксплойты для внутреннего использования или перепродаж.

В целом, стоимость уязвимостей нулевого дня существенно возросла за последние несколько лет, так как приложения и платформы становятся все более защищенными. Как сообщал TechCrunch в 2023 году, стоимость уязвимости нулевого дня для WhatsApp могла достигать $8 миллионов, что также отражает популярность данного мессенджера.

Ранее Operation Zero привлекла внимание новостей, предложив $20 миллионов за инструменты, которые позволят полностью захватить устройства на iOS и Android. В данный момент компания предлагает лишь $2,5 миллиона за подобные уязвимости.

———

P.S. Эту информацию первыми опубликовали на Телеграм Канале