Opération Zero, une entreprise qui a acquis et sels de longue date exclusivement au gouvernement russe et aux sociétés russes locales, a annoncé jeudi qu’il recherchait des exploits pour l’application de messagerie populaire Telegram, et qu’il leur ferait offrir jusqu’à 4 millions de dollars pour eux.
Le courtier Exploit offre jusqu’à 500 000 $ pour un exploit de code distant «en un clic» (RCE); Jusqu’à 1,5 million de dollars pour un exploit RCE zéro-clic; Et jusqu’à 4 millions de dollars pour une «chaîne complète» d’exploits, vraisemblablement se référencer à une série de bogues qui permettent aux pirates de passer de l’accès au télégramme d’une cible à leur système d’exploitation ou à leur appareil blanc.
Des sociétés zéro-jours comme Operation Zero Development ou acquiert des vulnérabilités de sécurité dans les systèmes d’exploitation populaires et les applications, puis les redéfiniront à un prix plus élevé. Pour que l’entreprise se concentre sur Telegram soit logique, étant donné que l’application de messagerie est particulièrement populaire auprès des utilisateurs en Russie et en Ukraine.
Compte tenu des clients du courtier en exploits, le gouvernement russe, le prix public offre un aperçu rare des priorités du marché zéro-jour, en particulier de celle de la Russie, d’un pays et d’un marché de cybersécurité souvent enveloppés de secret.
Il n’est pas rare d’exploiter les courtiers pour annoncer qu’ils recherchent des bogues dans des applications ou un système spécifiques lorsqu’ils savent qu’il existe une demande opportune. Cela signifie qu’il est possible que le gouvernement russe ait déclaré à Operation Zero qu’il recherchait des bogues de télégramme, ce qui incite le courtier à publier ce qui est essentiellement une publicité, et a offert des paiements plus élevés parce qu’il sait qu’il peut à son tour charger le russe les gouverner.
Contact américain
Avez-vous plus d’informations sur Zero ou d’autres fournisseurs de zéro-jours? À partir d’un dispositif non-travail, vous pouvez contacter Lorenzo Franceschi-Bicchiera en toute sécurité sur le signal à +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou e-mail. Vous pouvez également contacter TechCrunch via SecuredRop.
Le directeur général de l’opération Zero, Sergey Zelenyuk, n’a pas répondu à la demande de commentaires de TechCrunch.
Zero-day sont des vulnérabilités qui sont inconnus des logiciels ou des fabricants de matériel, ce qui les rend spéciaux précieux avec l’industrie croissante des courtiers d’exploits – et ceux qui veulent les acheter en raison des pirates pour exploiter la technologie cible en mesure de faire grand-chose.
Un RCE est l’un des types de défauts les plus valables car il permet aux pirates de prendre le contrôle d’une application ou d’un système d’exploitation. Les exploits zéro-clic ne nécessitent aucune interaction de la cible, par opposition à une attaque de phishing, pour des exemples, ce qui rend ces bugs plus précieux.
En zéro clique, RCE Zero-Day est essentiellement la catégorie d’exploit la plus précieuse qui existe.
Ciblage du télégramme
La nouvelle générosité pour les bogues du télégramme intervient alors que le gouvernement ukrainien a interdit l’utilisation du télégramme sur les appareils du gouvernement et du personnel militaire l’année dernière, par crainte de pouvoir être particulièrement vulnérables aux pirates du gouvernement russe.
Les experts de la sécurité et de la confidentialité ont averti à plusieurs reprises que Telegram ne devrait pas être considéré comme sécurisé comme des concurrents comme WhatsApp et Signal. D’une part, Telegram n’utilise pas de cryptage de bout en bout par défaut, et même lorsque les utilisateurs le permettent, l’application n’utilise pas le chiffrement de bout en bout bien connu et audité, qui conduit des experts cryptographiques comme Matthew Green pour avertir que les conversations – et littéralement chaque chat de groupe – sont probablement visibles sur les serveurs de télégramme. »
Une personne qui a connaissance du marché des exploits a déclaré que les princes de l’opération Zero pour télégramme « sont un peu faibles », mais qui pourrait être à l’abri de Zeo s’attend à facturer plus, peut-être deux ou trois fois plus, lorsqu’il rémet les exploits.
La personne, qui a demandé à rester anonyme, car elle n’était pas autorisée à parler à la presse, a déclaré que l’opération Zero pourrait également les vendre plusieurs fois à différents clients et pourrait également payer des prix plus bas en fonction de certains critères.
« Je donne à penser qu’ils paieront en fait (prix). Il y aura une barre que l’exploit n’est pas clair et ils ne feront qu’un paiement partiel », ont-ils déclaré. «Ce qui est une mauvaise affaire si vous me demandez, mais avec tout le monde étant anonyme, il n’y a pas de véritable incitation à ne pas ne pas faire l’écrivain d’exploits.
Une autre personne qui travaille dans l’industrie zéro-jours a déclaré que les prix annoncés par l’opération Zero ne sont pas «sauvagement éteints». Mais la théorie a également déclaré que cela dépend s’il y a des facteurs comme l’exlivité, et que ce prix est également en compte du fait que l’opération zéro va ensuite redévelopper les exploits en interne, ou les réincarner en tant que courtier.
Les princes de zéro-jours en général ont augmenté au cours des dernières années alors que les applications et les plates-formes deviennent plus difficiles à pirater. Comme l’a rapporté TechCrunch en 2023, un jour zéro pour WhatsApp pourrait coûter jusqu’à 8 millions de dollars à l’époque, un prix qui prend également l’intrusion à quel point l’application est populaire.
L’opération Zero a précédemment fait les gros titres pour offrir 20 millions de dollars pour les outils de piratage qui permettraient aux pirates de prendre le contrôle total des appareils iOS et Android. La société n’offre actuellement que 2,5 millions de dollars pour ce type de bugs.
