SG.hu
4 millió dollárt ér egy Telegram bug

Az Operation Zero nevű cég, amely kizárólag az orosz kormánynak és helyi orosz vállalatoknak szerez be és ad el nulladik napi bugokat bejelentette, hogy a népszerű üzenetküldő alkalmazáshoz, a Telegramhoz keres exploitokat, és akár 4 millió dollárt is hajlandó felajánlani értük.
Az exploit-bróker akár 500 000 dollárt kínál egy „egykattintásos” távoli kódfuttatási (RCE) exploitért; akár 1,5 millió dollárt egy nullkattintásos RCE exploitért; és akár 4 millió dollárt egy „teljes láncú” exploitért. Utóbbi olyan hibák sorozatára utal, amelyek lehetővé teszik a hackerek számára, hogy a célpont Telegram-fiókjához való hozzáféréstől a teljes operációs rendszerig vagy eszközig eljussanak. Az Operation Zerohoz hasonló nulladik napi hibákkal kereskedő cégek népszerű operációs rendszerek és alkalmazások biztonsági réseit fejlesztik ki vagy szerzik meg, majd magasabb áron értékesítik tovább. A cégnek van értelme a Telegramra összpontosítania, tekintve, hogy az üzenetküldő alkalmazás különösen népszerű az orosz és ukrán felhasználók körében.
Tekintettel az exploit-bróker ügyfeleire - főként az orosz kormányra - a nyilvános árcédula ritka betekintést nyújt a nulladik napi piac prioritásaiba, különösen Oroszországban, egy olyan országban és kiberbiztonsági piacon, amely gyakran titokzatosságba burkolózik. Nem ritka, hogy az exploit-brókerek azt hirdetik, hogy bizonyos alkalmazások vagy rendszerek hibáit keresik, ha tudják, hogy van rá kereslet. Ez azt jelenti, hogy lehetséges, hogy az orosz kormány közölte az Operation Zeróval, hogy Telegram-hibákat keres, ami arra késztette a brókert, hogy közzétegye - ez lényegében egy reklám, és a cég azért kínál magasabb kifizetéseket, mert az Operation Zero vezérigazgatója, Szergej tudja, hogy cserébe többet kérhet az orosz kormánytól.
A nulladik napok olyan sebezhetőségek, amelyek a szoftver- vagy hardvergyártók számára ismeretlenek. Ez különösen értékessé teszi őket az exploit-brókerek növekvő iparágában - és azokban, akik meg akarják vásárolni őket -, mert így a hackerek nagyobb esélyt kapnak a célzott technológia kihasználására anélkül, hogy a gyártó vagy a célpont bármit tudna tenni ellene. Az RCE az egyik legértékesebb hibatípus, mert lehetővé teszi a hackerek számára, hogy távolról átvegyék az irányítást egy alkalmazás vagy operációs rendszer felett. A zéró-kattintásos exploitok nem igényelnek semmilyen interakciót a célponttól, szemben például egy adathalász-támadással, így ezek a hibák értékesebbek. A zéró kattintásos, RCE nulladik nap lényegében a legértékesebb exploit kategória, ami létezik.
A Telegram-hibákért járó új fejpénzre azért kerül sor, mert az ukrán kormány tavaly betiltotta a Telegram használatát a kormányzati és katonai személyzet eszközein, mivel attól tartottak, hogy ezek különösen sebezhetőek lehetnek az orosz kormányzati hackerekkel szemben. Biztonsági és adatvédelmi szakértők többször figyelmeztettek arra, hogy a Telegram nem tekinthető olyan biztonságosnak, mint a versenytársak, például a WhatsApp és a Signal. Egyrészt a Telegram alapértelmezés szerint nem használ végponttól-végpontig titkosítást, és még ha a felhasználók engedélyezik is azt, az alkalmazás nem jól ismert és auditált algoritmust alkalmaz. Emiatt az olyan kripto-szakértők, mint Matthew Green arra figyelmeztetnek, hogy „a személyes Telegram-beszélgetések túlnyomó többsége - és szó szerint minden egyes csoportos csevegés - valószínűleg látható a Telegram szerverein”.
Egy, az exploit-piacot ismerő személy szerint az Operation Zero Telegramra vonatkozó árai „egy kicsit alacsonyak”, de ez azért lehet, mert az Operation Zero arra számít, hogy többet, talán kétszer-háromszor annyit fog kérni, amikor továbbértékesíti az exploitokat. A társaság többször is eladhatja őket különböző ügyfeleknek, és bizonyos kritériumoktól függően alacsonyabb árat is fizethet. "Nem hiszem, hogy teljes árat fizetnének. Lesz néhány dolog, amit az exploit nem old meg, és csak részleges kifizetést fognak végezni” - vélik szakemberek. "Ez rossz üzlet, ha engem kérdezel, de mivel mindenki névtelen, nincs igazi ösztönzés arra, hogy ne használják ki az exploit íróját.”
Egy másik személy, aki a nulladik napi iparágban dolgozik, azt mondta, hogy az Operation Zero által hirdetett árak nem „vadul elrugaszkodottak”. De azt is mondta, hogy attól függ, hogy vannak-e olyan tényezők, mint a kizárólagosság, és hogy az ár figyelembe veszi-e azt a tényt, hogy az Operation Zero ezután belsőleg újrafejleszti az exploitokat, vagy továbbértékesíti őket brókerként. A nulladik napi hibák árai általában véve az elmúlt években emelkedtek, mivel az alkalmazásokat és platformokat egyre nehezebb feltörni. 2023-ban egy WhatsAppra vonatkozó nulladik napi bug akár 8 millió dollárba is kerülhetett, ez az ár figyelembe veszi azt is, hogy mennyire népszerű az alkalmazás. Az Operation Zero korábban azzal került a címlapokra, hogy 20 millió dollárt ajánlott fel olyan hackereszközökért, amelyekkel a támadók teljes mértékben átvehették volna az irányítást az iOS és Android eszközök felett. A cég jelenleg csak 2,5 millió dollárt ajánl az ilyen típusú hibákért.
Az exploit-bróker akár 500 000 dollárt kínál egy „egykattintásos” távoli kódfuttatási (RCE) exploitért; akár 1,5 millió dollárt egy nullkattintásos RCE exploitért; és akár 4 millió dollárt egy „teljes láncú” exploitért. Utóbbi olyan hibák sorozatára utal, amelyek lehetővé teszik a hackerek számára, hogy a célpont Telegram-fiókjához való hozzáféréstől a teljes operációs rendszerig vagy eszközig eljussanak. Az Operation Zerohoz hasonló nulladik napi hibákkal kereskedő cégek népszerű operációs rendszerek és alkalmazások biztonsági réseit fejlesztik ki vagy szerzik meg, majd magasabb áron értékesítik tovább. A cégnek van értelme a Telegramra összpontosítania, tekintve, hogy az üzenetküldő alkalmazás különösen népszerű az orosz és ukrán felhasználók körében.
Tekintettel az exploit-bróker ügyfeleire - főként az orosz kormányra - a nyilvános árcédula ritka betekintést nyújt a nulladik napi piac prioritásaiba, különösen Oroszországban, egy olyan országban és kiberbiztonsági piacon, amely gyakran titokzatosságba burkolózik. Nem ritka, hogy az exploit-brókerek azt hirdetik, hogy bizonyos alkalmazások vagy rendszerek hibáit keresik, ha tudják, hogy van rá kereslet. Ez azt jelenti, hogy lehetséges, hogy az orosz kormány közölte az Operation Zeróval, hogy Telegram-hibákat keres, ami arra késztette a brókert, hogy közzétegye - ez lényegében egy reklám, és a cég azért kínál magasabb kifizetéseket, mert az Operation Zero vezérigazgatója, Szergej tudja, hogy cserébe többet kérhet az orosz kormánytól.
We are looking for:
— Operation Zero (@opzero_en) March 20, 2025
— Telegram 1-click RCE — Up to $500,000
— Telegram 0-click RCE — Up to $1,500,000
— Telegram full chain — Up to $4,000,000
In the scope are exploits for Android, iOS, Windows. The prices are depending on limitations of zero-days and obtained privileges.…
A nulladik napok olyan sebezhetőségek, amelyek a szoftver- vagy hardvergyártók számára ismeretlenek. Ez különösen értékessé teszi őket az exploit-brókerek növekvő iparágában - és azokban, akik meg akarják vásárolni őket -, mert így a hackerek nagyobb esélyt kapnak a célzott technológia kihasználására anélkül, hogy a gyártó vagy a célpont bármit tudna tenni ellene. Az RCE az egyik legértékesebb hibatípus, mert lehetővé teszi a hackerek számára, hogy távolról átvegyék az irányítást egy alkalmazás vagy operációs rendszer felett. A zéró-kattintásos exploitok nem igényelnek semmilyen interakciót a célponttól, szemben például egy adathalász-támadással, így ezek a hibák értékesebbek. A zéró kattintásos, RCE nulladik nap lényegében a legértékesebb exploit kategória, ami létezik.
A Telegram-hibákért járó új fejpénzre azért kerül sor, mert az ukrán kormány tavaly betiltotta a Telegram használatát a kormányzati és katonai személyzet eszközein, mivel attól tartottak, hogy ezek különösen sebezhetőek lehetnek az orosz kormányzati hackerekkel szemben. Biztonsági és adatvédelmi szakértők többször figyelmeztettek arra, hogy a Telegram nem tekinthető olyan biztonságosnak, mint a versenytársak, például a WhatsApp és a Signal. Egyrészt a Telegram alapértelmezés szerint nem használ végponttól-végpontig titkosítást, és még ha a felhasználók engedélyezik is azt, az alkalmazás nem jól ismert és auditált algoritmust alkalmaz. Emiatt az olyan kripto-szakértők, mint Matthew Green arra figyelmeztetnek, hogy „a személyes Telegram-beszélgetések túlnyomó többsége - és szó szerint minden egyes csoportos csevegés - valószínűleg látható a Telegram szerverein”.
Egy, az exploit-piacot ismerő személy szerint az Operation Zero Telegramra vonatkozó árai „egy kicsit alacsonyak”, de ez azért lehet, mert az Operation Zero arra számít, hogy többet, talán kétszer-háromszor annyit fog kérni, amikor továbbértékesíti az exploitokat. A társaság többször is eladhatja őket különböző ügyfeleknek, és bizonyos kritériumoktól függően alacsonyabb árat is fizethet. "Nem hiszem, hogy teljes árat fizetnének. Lesz néhány dolog, amit az exploit nem old meg, és csak részleges kifizetést fognak végezni” - vélik szakemberek. "Ez rossz üzlet, ha engem kérdezel, de mivel mindenki névtelen, nincs igazi ösztönzés arra, hogy ne használják ki az exploit íróját.”
Egy másik személy, aki a nulladik napi iparágban dolgozik, azt mondta, hogy az Operation Zero által hirdetett árak nem „vadul elrugaszkodottak”. De azt is mondta, hogy attól függ, hogy vannak-e olyan tényezők, mint a kizárólagosság, és hogy az ár figyelembe veszi-e azt a tényt, hogy az Operation Zero ezután belsőleg újrafejleszti az exploitokat, vagy továbbértékesíti őket brókerként. A nulladik napi hibák árai általában véve az elmúlt években emelkedtek, mivel az alkalmazásokat és platformokat egyre nehezebb feltörni. 2023-ban egy WhatsAppra vonatkozó nulladik napi bug akár 8 millió dollárba is kerülhetett, ez az ár figyelembe veszi azt is, hogy mennyire népszerű az alkalmazás. Az Operation Zero korábban azzal került a címlapokra, hogy 20 millió dollárt ajánlott fel olyan hackereszközökért, amelyekkel a támadók teljes mértékben átvehették volna az irányítást az iOS és Android eszközök felett. A cég jelenleg csak 2,5 millió dollárt ajánl az ilyen típusú hibákért.