Інструменти, які дають змогу урядовим хакерам зламати iPhone й телефони Android, браузери Chrome і Safari, WhatsApp та iMessage, зараз коштують мільйони доларів. Їхня ціна за останні кілька років зросла в рази, оскільки ці продукти стає все важче зламати.
Tech Crunch повідомляє, що минулого тижня стартап Crowdfense опублікував оновлений прайс-лист на ці хакерські інструменти, які широко відомі як zero-days, оскільки вони покладаються на невиправлені вразливості у програмному забезпеченні, про які виробники цього програмного забезпечення не знають.
Ціни Crowdfense:
• $5–7 мільйонів за zero-days для зламу iPhone;
• до $5 мільйонів – для телефонів Android;
• $3–3,5 мільйони – для Chrome і Safari;
• $3–5 мільйонів – для WhatsApp та iMessage.
У своєму попередньому прайс-листі, опублікованому у 2019 році, найвищі виплати, які пропонувала Crowdfense, становили $3 мільйони за нульові дні Android та iOS.
Підвищення цін відбувається через те, що такі компанії, як Apple, Google і Microsoft, ускладнюють злам своїх пристроїв і застосунків. Це означає, що їхні користувачі краще захищені.
«У зв’язку з тим, що команди аналізу загроз у Google виявляють більше вразливостей нульового дня, а захист платформ продовжує вдосконалюватися, час і зусилля, необхідні зловмисникам, збільшуються, що призводить до збільшення вартості їх виявлення», – говорить Шейн Хантлі, керівник групи аналізу загроз Google, яка відстежує хакерів і використання нульових днів.
Девід Манучехрі, аналітик із безпеки, який добре знайомий із ринком нульового дня, говорить, що важкі цілі, такі як Google Pixel та iPhone, з кожним роком стає все важче зламати, тому вартість зламу продовжуватиме зростати.
Паоло Станьо, директор із досліджень Crowdfense, пояснює, що у 2015 або 2016 роках один дослідник міг знайти один чи кілька нульових днів і розробити їх у повноцінний експлойт, націлений на iPhone або Android. Тепер же, за його словами, це майже неможливо, оскільки для цього потрібна команда з кількох дослідників, що також спричиняє зростання цін.
Наразі Crowdfense пропонує найвищі публічно відомі ціни за межами росії, де компанія Operation Zero минулого року оголосила, що готова заплатити до $20 мільйонів за інструменти для зламу iPhone та пристроїв Android.
Однак ціни у росії можуть бути завищеними через розвʼязану нею війну проти України та санкції, через які замовники не хочуть мати справу з російською компанією.
Нульові дні використовувалися в операціях правоохоронних органів, схвалених судом. У 2016 році ФБР використало zero-day, наданий стартапом під назвою Azimuth, щоб зламати iPhone одного зі злочинців, які вбили 14 людей у Сан-Бернардіно.
У 2020 ФБР за допомогою Facebook і неназваної сторонньої компанії використало zero-day, щоб вистежити чоловіка, якого пізніше засудили за домагання та вимагання від молодих дівчат в Інтернеті.
Часто zero-days і шпигунське програмне забезпечення використовувалися для атак на правозахисників та журналістів. Зокрема, в Ефіопії, Марокко, Саудівській Аравії та Об’єднаних Арабських Еміратах.
Подібні випадки були в таких демократичних країнах, як Греція, Мексика, Польща та Іспанія. Слід зауважити, що Crowdfense, Zerodium або Zeronomicon ніколи не звинувачували у причетності до подібних справ.
Crowdfense заявляє, що дотримується ембарго та санкцій, запроваджених Сполученими Штатами, і не буде продавати zero-days в Афганістан, Білорусь, Кубу, Іран, Ірак, Північну Корею, росію, Південний Судан, Судан і Сирію, оскільки ці країни перебувають у санкційних списках Штатів.
«Якщо клієнт потрапить у список санкцій США, то Crowdfense відмовиться від нього. Всі компанії та уряди, які перебувають під прямими санкціями США, виключаються», – йдеться у повідомленні.
Принаймні одна компанія, консорціум шпигунського програмного забезпечення Intellexa, входить до спеціального блокованого списку Crowdfense. У компанії стверджують, що зараз Intellexa не може бути їхнім клієнтом.
Раніше повідомлялося, що шпигунське програмне забезпечення Intellexa використовувалося проти конгресмена США Майкла МакКола, сенатора США Джона Ховена і президента Європейського парламенту Роберта Метсола.
Zeronomicon на своєму сайті опублікувала Кодекс ділової етики, який включає перевірку клієнтів із метою уникнення ведення бізнесу з організаціями, відомими через порушення прав людини, та дотримання експортного контролю.
Читайте також на ProIT інтервʼю з Ніком Білогорським: «Задля того, щоб зламати систему і вкрасти дані у кібервійні, держави ладні платити за zero-days exploit мільйони доларів».
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!