Telegram nel mirino! Broker Zero-Day ricercano RCE per un prezzo modico di 4 milioni di dollari

Con la sua base utenti che supera il miliardo di persone, in particolare in Russia e Ucraina, Telegram è un obiettivo di grande valore per gli attori legati allo Stato. Gli esperti di sicurezza, notano da tempo che la crittografia di Telegram è in ritardo rispetto a Signal e WhatsApp.

Ad esempio le chat predefinite non hanno protezione end-to-end di default e utilizzano protocolli non verificati.

Problemi passati su Telegram

I meccanismi di crittografia e gestione dei file di Telegram sono stati sottoposti a ripetuti controlli:

• Android: uno zero-day “EvilVideo” del luglio 2024 ha consentito agli aggressori di camuffare APK dannosi come video, sfruttando la funzionalità di download automatico di Telegram. Patchato nella versione 10.14.5, il difetto richiedeva l’interazione dell’utente ma evidenziava rischi nelle impostazioni predefinite.
• Windows: una vulnerabilità basata su un errore del 2024 (etichettatura errata dei file “.pyzw”) ha consentito l’esecuzione di script Python, in seguito mitigata aggiungendo “.untrusted” ai file sospetti.
• Problemi storici: tra i difetti passati c’è un exploit Unicode del 2017 che consente la distribuzione di malware di cryptomining tramite file mascherati.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Fonti del settore suggeriscono che questi prezzi potrebbero essere inferiori a quelli di mercato, poiché i broker spesso rivendono gli exploit ai governi a costi di acquisizione pari a 2-3 volte superiori.

La ricerca di nuovi zero day per telegram

Una società russa di intermediazione di exploit (broker zeroday), di nome Operation Zero, ha annunciato pubblicamente ricompense fino a 4 milioni di dollari per le vulnerabilità zero-day in Telegram, a dimostrazione del crescente interesse da parte degli Stati nel compromettere la popolare app di messaggistica.

Il modello del bug bounty program di Operation Zero include:

• RCE con un clic → fino a 500.000 dollari
• RCE senza clic → fino a 1,5 milioni di dollari
• Sfruttamento dell’intera catena (full-chain) → fino a 4 milioni di dollari

La categoria “full-chain” si riferisce agli exploit multifase che garantiscono l’accesso al sistema operativo di un dispositivo dopo la compromissione iniziale di Telegram.

L’azienda, che serve esclusivamente il governo russo e le entità locali, sta cercando exploit di esecuzione di codice remoto (RCE) nelle versioni Android, iOS e Windows di Telegram. I pagamenti sono scalabili in base alla sofisticatezza dell’exploit.

Chi sono i broker zero-day?

I broker zero-day sono intermediari specializzati nell’acquisto e nella vendita di exploit per vulnerabilità informatiche sconosciute ai vendor del software. Queste falle, dette “zero-day” perché non ancora corrette, vengono scoperte da ricercatori indipendenti, hacker o gruppi di sicurezza e possono valere milioni di dollari a seconda della loro criticità. I broker operano come mercati paralleli della cybersicurezza, offrendo exploit sia a governi e agenzie di intelligence che a gruppi criminali e aziende di sicurezza privata.

Il mercato degli zero-day è diviso in due categorie principali: il “mercato bianco”, dove aziende di cybersecurity come Zerodium o Trend Micro acquistano vulnerabilità per scopi di ricerca e protezione, e il “mercato grigio/nero”, in cui broker più riservati, come Operation Zero, vendono exploit a governi o enti che potrebbero usarli per attività di sorveglianza, attacchi mirati o cyber warfare. L’anonimato e la segretezza sono fondamentali in questo settore, poiché la divulgazione di un exploit riduce immediatamente il suo valore.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.