Werkzeuge, die es ermöglichen Hacker der Regierung, die in iPhones und Android-Telefone, beliebte Software wie die Browser Chrome und Safari sowie Chat-Apps wie WhatsApp und iMessage eindringen wollen, sind mittlerweile Millionen von Dollar wert – und ihr Preis hat sich in den letzten Jahren vervielfacht, da diese Produkte immer schwieriger zugänglich sind hacken.
Am Montag startete Crowdfense hat seine aktualisierte Preisliste veröffentlicht für diese Hacking-Tools, die allgemein als „Zero-Days“ bekannt sind, weil sie auf ungepatchten Schwachstellen in Software basieren, die den Herstellern dieser Software unbekannt sind. Unternehmen wie Crowdfense und einer seiner Konkurrenten Zerodium behaupten, diese Zero-Days mit dem Ziel zu erwerben, sie an andere Organisationen weiterzuverkaufen, in der Regel Regierungsbehörden oder staatliche Auftragnehmer, die behaupten, sie bräuchten die Hacking-Tools, um Kriminelle aufzuspüren oder auszuspionieren.
Crowdfense bietet jetzt zwischen 5 und 7 Millionen US-Dollar für Zero-Day-Einbruch in iPhones, bis zu 5 Millionen US-Dollar für Zero-Day-Einbruch in Android-Telefone, bis zu 3 Millionen US-Dollar bzw. 3,5 Millionen US-Dollar für Chrome- bzw. Safari-Zero-Day-Einbruch und 3 US-Dollar auf 5 Millionen US-Dollar für WhatsApp- und iMessage-Zero-Days.
In seiner vorherigen Preislisteveröffentlicht im Jahr 2019, betrugen die höchsten Auszahlungen, die Crowdfense anbot, 3 Millionen US-Dollar für Android- und iOS-Zero-Days.
Der Preisanstieg ist darauf zurückzuführen, dass Unternehmen wie Apple, Google und Microsoft das Hacken ihrer Geräte und Apps erschweren, was bedeutet, dass ihre Benutzer besser geschützt sind.
„Es sollte von Jahr zu Jahr schwieriger werden, die von uns verwendete Software und die von uns verwendeten Geräte auszunutzen“, sagte Dustin Childs, Leiter der Abteilung Bedrohungsbewusstsein bei Trend Micro ZDI. Im Gegensatz zu CrowdFense und Zerodium bezahlt ZDI Forscher für den Erwerb von Zero-Days und meldet sie dann an die betroffenen Unternehmen mit dem Ziel, die Schwachstellen zu beheben.
„Da immer mehr Zero-Day-Schwachstellen von Threat-Intelligence-Teams wie dem von Google entdeckt werden und der Plattformschutz immer besser wird, steigt der Zeit- und Arbeitsaufwand für Angreifer, was zu höheren Kosten für ihre Erkenntnisse führt“, sagte Shane Huntley, Leiter von Die Threat Analysis Group von Google, die Hacker und den Einsatz von Zero-Days verfolgt.
In einem Bericht letzten MonatNach Angaben von Google nutzten Hacker im Jahr 2023 97 Zero-Day-Schwachstellen aus. Nach Angaben des Unternehmens waren Spyware-Anbieter, die oft mit Zero-Day-Brokern zusammenarbeiten, für 75 Prozent der Zero-Day-Angriffe auf Google-Produkte und Android verantwortlich.
Die Menschen in und um die Zero-Day-Branche sind sich einig, dass die Aufgabe, Schwachstellen auszunutzen, immer schwieriger wird.
David Manouchehri, ein Sicherheitsanalyst mit Kenntnissen des Zero-Day-Marktes, sagte, dass „harte Ziele wie Googles Pixel und das iPhone von Jahr zu Jahr schwerer zu hacken sind.“ Ich gehe davon aus, dass die Kosten im Laufe der Zeit weiter deutlich steigen werden.“
„Die von den Anbietern implementierten Abhilfemaßnahmen wirken und führen dazu, dass der gesamte Handel viel komplizierter und zeitaufwändiger wird, und das spiegelt sich dann deutlich im Preis wider“, sagte Paolo Stagno, Forschungsleiter bei Crowdfense Tech.
Kontaktiere uns
Kennen Sie weitere Zero-Day-Broker? Oder über Spyware-Anbieter? Von einem Gerät aus, das nicht am Arbeitsplatz ist, können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, per Telegram, Keybase und Wire @lorenzofb oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
Stagno erklärte, dass es 2015 oder 2016 nur einem Forscher möglich war, einen oder mehrere Zero-Days zu finden und sie zu einem vollwertigen Exploit für iPhones oder Android-Geräte zu entwickeln. Nun, sagte er, „ist diese Sache fast unmöglich“, da sie ein Team aus mehreren Forschern erfordert, was auch zu steigenden Preisen führt.
Crowdfense bietet derzeit die höchsten öffentlich bekannten Preise außerhalb Russlands, wo ein Unternehmen namens Operation Zero letztes Jahr bekannt gab, dass es bereit sei, bis zu 20 Millionen US-Dollar für Tools zum Hacken von iPhones und Android-Geräten zu zahlen. Die Preise in Russland könnten jedoch aufgrund des Krieges in der Ukraine und der darauf folgenden Sanktionen überhöht sein, was Menschen davon abhalten oder sogar davon abhalten könnte, mit einem russischen Unternehmen Geschäfte zu machen.
Außerhalb der Öffentlichkeit ist es möglich, dass Regierungen und Unternehmen noch höhere Preise zahlen.
„Die Preise, die Crowdfense Forschern für einzelnes Chrome anbietet [Remote Code Execution] Und [Sandbox Escape] „Die Exploits liegen unter dem Marktwert, den ich in der Zero-Day-Branche gesehen habe“, sagte Manouchehri, der zuvor bei Linchpin Labs arbeitete, einem Startup, das sich auf die Entwicklung und den Verkauf von Zero-Days konzentrierte. Linchpin Labs erworben vom US-Rüstungsunternehmen L3 Technologies (heute bekannt als L3Harris) im Jahr 2018.
Alfonso de Gregorio, der Gründer von Zeronomiconein in Italien ansässiges Startup, das Zero-Days erwirbt, stimmte zu und teilte Tech mit, dass die Preise „sicherlich“ höher sein könnten.
Zero-Days wurden bei gerichtlich genehmigten Strafverfolgungseinsätzen eingesetzt. Im Jahr 2016 nutzte das FBI einen von einem Startup namens Azimuth bereitgestellten Zero-Day-Angriff, um in das iPhone eines der Schützen einzudringen, die in San Bernardino 14 Menschen töteten. laut der Washington Post. Im Jahr 2020, Motherboard enthüllt dass das FBI – mit Hilfe von Facebook und einem namentlich nicht genannten Drittunternehmen – einen Zero-Day-Angriff nutzte, um einen Mann aufzuspüren, der später wegen Belästigung und Erpressung junger Mädchen im Internet verurteilt wurde.
Es gab auch mehrere Fälle, in denen angeblich Zero-Day-Angriffe und Spyware eingesetzt wurden, um Menschenrechtsdissidenten und Journalisten ins Visier zu nehmen Äthiopien, Marokko, Saudi-Arabienund das Vereinigte Arabische Emirate, neben anderen Ländern mit schlechter Menschenrechtsbilanz. Auch in demokratischen Ländern gab es ähnliche Fälle mutmaßlichen Missbrauchs Griechenland, Mexiko, PolenUnd Spanien. (Weder Crowdfense, Zerodium noch Zeronomicon wurden jemals beschuldigt, in ähnliche Fälle verwickelt zu sein.)
Zero-Day-Broker sowie Spyware-Unternehmen wie NSO Group und Hacking Team wurden oft dafür kritisiert, dass sie ihre Produkte an zwielichtige Regierungen verkauften. Als Reaktion darauf verpflichten sich einige von ihnen nun, die Exportkontrollen einzuhalten, um potenzielle Missbräuche seitens ihrer Kunden einzudämmen.
Stagno sagte, dass Crowdfense die von den Vereinigten Staaten verhängten Embargos und Sanktionen befolge – auch wenn das Unternehmen seinen Sitz in den Vereinigten Arabischen Emiraten habe. Stagno sagte beispielsweise, dass das Unternehmen nicht nach Afghanistan, Weißrussland, Kuba, Iran, Irak, Nordkorea, Russland, Südsudan, Sudan und Syrien verkaufen würde – alles auf US-Basis Sanktionslisten.
„Bei allem, was die USA tun, bleiben wir am Ball“, sagte Stagno und fügte hinzu, dass Crowdfense ihn aufgeben würde, wenn ein bestehender Kunde auf die US-Sanktionsliste käme. „Ausgenommen sind alle Unternehmen und Regierungen, die direkt von den USA sanktioniert werden.“
Mindestens ein Unternehmen, das Spyware-Konsortium Intellexa, steht auf der speziellen Sperrliste von Crowdfense.
„Ich kann Ihnen nicht sagen, ob es ein Kunde von uns war und ob es keiner mehr ist“, sagte Stagno. „Meiner Meinung nach konnte Intellexa jedoch derzeit kein Kunde von uns sein.“
Im März kündigte die US-Regierung Sanktionen gegen den Gründer von Intellexa, Tal Dilian, sowie einen seiner Geschäftspartner an. Dies war das erste Mal, dass die Regierung Sanktionen gegen Personen verhängte, die in der Spyware-Industrie tätig sind. Intellexa und sein Partnerunternehmen Cytrox wurden ebenfalls von den USA sanktioniert, was es sowohl für die Unternehmen als auch für die Personen, die es betreiben, schwieriger macht, weiterhin Geschäfte zu machen.
Diese Sanktionen haben in der Spyware-Branche für Besorgnis gesorgt, wie Tech berichtete.
Intellexas Spyware wurde gemeldet soll unter anderem gegen den US-Kongressabgeordneten Michael McCaul, den US-Senator John Hoeven und die Präsidentin des Europäischen Parlaments Roberta Metsola verwendet worden sein.
De Gregorio, der Gründer von Zeronomicon, wollte nicht sagen, an wen das Unternehmen verkauft. Auf seiner Website hat das Unternehmen veröffentlicht ein Kodex der GeschäftsethikDazu gehört die Überprüfung von Kunden mit dem Ziel, Geschäfte „mit Unternehmen zu vermeiden, die dafür bekannt sind, Menschenrechte zu verletzen“, und die Einhaltung von Exportkontrollen.