Российская компания, сотрудничающая с государством, обещает $4 млн за взлом Telegram

Петербургская компания Operation Zero, специализирующаяся на скупе уязвимостей и перепродаже их государственным компаниям и организациям, объявила награду за уязвимости в мессенджере Telegram. За уязвимость, в которой для взлома атакующему придется заставить жертву сделать один клик, компания обещает до $500 тысяч, а за способ, в котором жертве не нужно делать кликов, — до $1,5 млн. Эти цены сопоставимы с теми, которые компании Apple и Google обещают в качестве bug bounty (то есть вознаграждения за найденные уязвимости) за сообщения об аналогичных уязвимостях в операционных системах iOS и Android. За full chain — то есть всю цепочку действий, позволяющих атакующему взломать Telegram-аккаунт, и, по всей видимости, получить доступ к операционной системе, компания готова заплатить до $4 млн.

Operation Zero (ООО «Матрица») базируется в Санкт-Петербурге, ею руководит Сергей Зеленюк. Ранее он заявлял, что его компания перепродает уязвимости только в странах, «не входящих в НАТО». На сайте компании указано, что она сотрудничает с российскими государственными компаниями. В отличие от традиционных платформ вознаграждения за обнаружение ошибок, таких как Hacker One или Bugcrowd, Operation Zero не предупреждает поставщиков об уязвимости их продуктов.

Уязвимости, подобные тем, что описаны в объявлении Operation Zero, как правило, скупают силовые и разведывательные службы разных стран, либо связанные с ними компании. Самой известной из них является израильская NSO Group, разработавшая на основе таких уязвимостей шпионское приложение Pegasus. Оно неоднократно использовалось правительствами разных стран для слежки за журналистами, правозащитниками и оппозиционерами. В частности, Pegasus обнаружили в телефоне издателя «Медузы» Галины Тимченко.

В России для взлома телефонов и компьютеров власти используют программное обеспечение UFED, разработанное другой израильской компанией — Cellebrite. Оно также использует уязвимости для доступа к устройствам жертв. UFED отличается от систем вроде Pegasus: это не удаленное шпионское ПО, а устройство, которое нужно приложить к телефону, чтобы получить к нему доступ.