Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Advanced Security Solutions, con sede negli Emirati Arabi Uniti, è nata questo mese ed offre fino a 20 milioni di dollari per vulnerabilità zero-day ed exploit che consentirebbero a chiunque di hackerare uno smartphone tramite SMS. Si tratta di una delle cifre più alte per qualsiasi broker 0day, almeno tra quelli che lo divulgano pubblicamente.
Oltre a 20 milioni di dollari per gli exploit di qualsiasi sistema operativo mobile, l’azienda offre anche grandi ricompense per le vulnerabilità zero-day in altri software:
Non è chiaro chi ci sia dietro l’azienda e chi sono i suoi clienti.
“Aiutiamo agenzie governative, agenzie di intelligence e forze dell’ordine a condurre operazioni di precisione sul campo di battaglia digitale”, afferma il sito web di Advanced Security Solutions. “Collaboriamo attivamente con oltre 25 governi e agenzie di intelligence in tutto il mondo. I nostri clienti tornano costantemente per nuovi servizi, a dimostrazione della fiducia e del valore strategico che forniamo in contesti operativi critici, tra cui l’antiterrorismo e la lotta al narcotraffico”.
Il sito web afferma inoltre che, nonostante l’azienda sia nuova, impiega “solo professionisti con oltre 20 anni di esperienza in unità di intelligence d’élite e appaltatori militari privati”.
Uno dei primi attori in questo campo è stato Zerodium, apparso nel 2015. All’epoca, l’azienda, creata dal co-fondatore di Vupen Chaouki Bekrar, offriva fino a 1 milione di dollari per strumenti di hacking per iPhone.
Tre anni dopo, nel 2018, Crowdfense ha lanciato la propria piattaforma per l’acquisto di vulnerabilità ed exploit, offrendo fino a 3 milioni di dollari per zero-day simili.
Negli ultimi anni i prezzi degli 0-day sono aumentati, in parte a causa dell’aumento della domanda e in parte perché i dispositivi e i software moderni stanno diventando sempre più difficili da hackerare grazie al miglioramento della sicurezza.
Così, l’anno scorso Crowdfense ha pubblicato un nuovo listino prezzi , offrendo fino a 7 milioni di dollari per vulnerabilità zero-day su iPhone e fino a 5 milioni di dollari per exploit simili su Android. Anche le vulnerabilità zero-day in applicazioni specifiche hanno iniziato a costare molto di più. Ad esempio, fino a 8 milioni di dollari per exploit su WhatsApp e iMessage e fino a 4 milioni di dollari su Telegram.
Per fare un paragone, Advanced Security Solutions offre fino a 2 milioni di dollari per exploit per Telegram, Signal e WhatsApp.
Vale anche la pena notare che all’inizio di quest’anno, il broker di vulnerabilità russo Operation Zero è diventato un’eccezione sul mercato, offriva fino a 20 milioni di dollari per gli stessi tipi di exploit che Advanced Security Solutions sta ora cercando.
I broker 0day sono intermediari specializzati nella compravendita di vulnerabilità informatiche sconosciute al pubblico e ai produttori di software, chiamate appunto zero-day. Queste falle di sicurezza, non ancora documentate né patchate, rappresentano un valore enorme nel mercato cyber, poiché consentono di sviluppare exploit capaci di aggirare le difese dei sistemi più diffusi. I broker operano come veri e propri mercanti: acquistano vulnerabilità da ricercatori indipendenti, hacker o gruppi criminali, per poi rivenderle a soggetti interessati, che possono spaziare da governi e agenzie di intelligence fino ad aziende di sicurezza o, in casi meno leciti, a cyber criminali.
Il mercato dei broker 0day si muove in una zona grigia, dove la linea tra lecito e illecito è spesso molto sottile. Alcuni broker operano in contesti legali, collaborando con stati o imprese che usano queste informazioni per sviluppare difese e rafforzare la sicurezza. Altri invece alimentano il cybercrime, rivendendo exploit a gruppi ransomware, mercati clandestini o attori statali che li utilizzano per operazioni di spionaggio o cyber warfare. Proprio per l’alto impatto che hanno sulla sicurezza globale, i broker 0day sono tra gli attori più discussi e controversi nell’ecosistema delle minacce informatiche.
