俄罗斯零日漏洞经纪公司Operation Zero为Telegram漏洞利用提供高达400万美元的赏金,这一消息由Tech Crunch首次报道。这家俄罗斯公司为一键远程代码执行(RCE)漏洞提供最高50万美元的赏金,为零点击RCE漏洞提供150万美元,而为能够实现完全设备控制的全链漏洞利用提供高达400万美元的赏金。该公司专门向俄罗斯政府和本地企业出售漏洞利用工具。
我们正在寻找:
-
Telegram 一键RCE漏洞 — 最高50万美元
-
Telegram 零点击RCE漏洞 — 最高150万美元
-
Telegram 全链漏洞利用 — 最高400万美元
目标范围包括Android、iOS和Windows系统的漏洞利用。价格取决于零日漏洞的限制和获得的权限。
— Operation Zero (@opzero_en) 2025年3月20日
像Operation Zero这样的零日漏洞经纪公司愿意为Telegram漏洞利用支付数百万美元的原因可能包括:
**政府和情报需求** — Telegram被广泛用于安全通信,包括记者、活动人士、异见人士和政治人物。俄罗斯情报机构可以利用这些漏洞进行监视和间谍活动。
**战略网络战** — 在地缘政治冲突中,访问Telegram账户和设备可能提供军事和情报优势,例如拦截敏感通信和识别线人。
**执法和网络犯罪控制** — 俄罗斯当局可能希望监控使用Telegram的犯罪组织、反对派团体或外国实体。在不与Telegram合作的情况下获得访问权限可能具有极高的价值。
鉴于Telegram的端到端加密和广泛使用,能够绕过其安全性的漏洞利用可能会成为网络间谍活动的“游戏规则改变者”。
2024年9月,乌克兰国家网络安全协调中心(NCCC)出于国家安全考虑,禁止政府机构、军队和关键基础设施使用Telegram应用程序。该禁令不影响乌克兰公民。
9月19日,乌克兰在一次会议上宣布了这项禁令,重点关注使用这款流行的即时通讯应用程序对国家安全构成的威胁,尤其是在俄罗斯和乌克兰持续冲突期间。
乌克兰国防情报局局长基里洛·布达诺夫(Kyrylo Budanov)警告称,俄罗斯情报机构可能监视乌克兰实体,并可能访问Telegram用户的数据,包括已删除的消息。
“乌克兰国防情报局局长基里洛·布达诺夫提供了确凿证据,证明俄罗斯特工部门可以访问Telegram用户的个人通信,甚至是已删除的消息,以及他们的个人数据。”乌克兰国家安全与国防委员会发布的公告中写道。
“我一直支持言论自由,但Telegram的问题不是言论自由的问题,而是国家安全的问题。”布达诺夫表示。
乌克兰安全局和乌克兰武装部队总参谋部的代表警告称,与俄罗斯有关的威胁行为者正在积极利用Telegram进行网络攻击,传播网络钓鱼和恶意软件,定位用户地理位置,调整导弹袭击等。
“为了尽量减少这些威胁,决定禁止政府官员、军人、安全和国防部门员工以及关键基础设施企业的官方设备安装和使用Telegram。”公告继续写道。“唯一的例外是那些使用该应用程序作为其职责一部分的人员。”
尽管对军事和政府设备实施了禁令,乌克兰用户仍然严重依赖Telegram进行通信和获取有关冲突的新闻。 随着消息应用程序和移动设备的安全性越来越高,零日漏洞的价格也随之上涨。
原文始发于微信公众号(黑猫安全):零日漏洞经纪公司Operation Zero为Telegram漏洞利用提供高达400万美元的赏金
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论