[Technik] Russland: Zero-Day-Händler kauft Exploits für bis zu 20 Mio. Dollar

ziesell · 29.09.23, 10:06

Zitat:

Russland: Zero-Day-Händler kauft Exploits für bis zu 20 Mio. Dollar

Die hohe Nachfrage sorgt dafür, dass Operation Zero neuerdings bis zu 20 Millionen Dollar für Zero-Day-Exploits für iOS und Android bieten kann.

Ein in Sankt Petersburg ansässiges russisches Unternehmen namens Operation Zero, das mit Zero-Day-Schwachstellen handelt, bietet inzwischen bis zu 20 Millionen Dollar für Exploits an, mit denen seine Kunden iPhones und Android-Geräte hacken können. Das verkündete der Händler kürzlich via X und Telegram und betonte dort in gleichem Zuge, der Endnutzer sei "wie immer" ein Land, das nicht der Nato angehöre.

Als Grund für die Erhöhung der Auszahlungen für hochkarätige mobile Exploits nennt Operation Zero die "hohe Nachfrage auf dem Markt". Demzufolge zahle das Unternehmen ab sofort zwischen 200.000 und 20 Millionen Dollar pro Exploit für iOS und Android. Auf der Webseite des Händlers ist in Bezug auf Mobilgeräte derzeit noch von "bis zu 2,5 Millionen Dollar" die Rede – vermutlich die vorherige und noch nicht aktualisierte Obergrenze.

Operation Zero kauft nur exklusive Zero-Day-Exploits

Weiter betont das Unternehmen auf seiner Webseite, es akzeptiere nur Exploits für unbekannte Sicherheitslücken, die noch nirgendwo gemeldet wurden. "Nicht-exklusive Verkäufe sind auf unserer Plattform nicht erlaubt", erklärt der Händler diesbezüglich. Ferner sei man an Exploit-Ketten und Umgehungen von Sicherheitsmaßnahmen interessiert und betrachte die angegebenen Preise als unverbindlich. "Der endgültige Preis eines Exploits kann je nach Zuverlässigkeit, Versionsveränderung, Ausführungszeit usw. variieren", so Operation Zero.

Darüber hinaus beschreibt sich das Unternehmen selbst als "die einzige offizielle russische Zero-Day-Kaufplattform". Diese sei von Fachleuten für Informationssicherheit geschaffen worden und biete ihren Kunden, bei denen es sich ausschließlich um russische private und staatliche Organisationen handle, "beispiellose Technologien für offensive und defensive Operationen im Cyberspace".

Neben Exploits für Mobilgeräte kauft Operation Zero unter anderem auch solche für Desktop- und Serversysteme, Router, Virtualisierungssoftware und Webdienste. In seinen FAQ betont der Händler jedoch, die auf der Webseite angeführte Liste der Zielsoftware sei unvollständig und es sei grundsätzlich möglich, auch Zero-Day-Exploits für andere Anwendungsgebiete einzureichen, sofern diese den Qualitätsanforderungen des Unternehmens entsprechen.

Zero-Days verkaufen sich gut

Auf die Frage, warum Operation Zero nur an Nicht-Nato-Länder verkauft, erklärte dessen CEO Sergey Zelenyuk Techcrunch, es gebe "keine anderen Gründe als die offensichtlichen". Außerdem habe er darauf hingewiesen, dass die in der jüngsten Ankündigung angegebenen Preise möglicherweise nur vorübergehend gelten.

Angesprochen auf die deutlich geringeren Ausschüttungen konkurrierender Zero-Day-Händler wie Zerodium oder Crowdfense habe Zelenyuk erklärt, er glaube nicht, dass diese in der Realität tatsächlich so gering seien. "Das Preisblatt von Zerodium ist veraltet, aber das bedeutet nicht, dass das Unternehmen immer noch zu so niedrigen Preisen einkauft. Sie brauchen sie nur nicht zu aktualisieren, das Geschäft mit Zero-Days funktioniert unabhängig davon gut", so der CEO von Operation Zero.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]