يرتفع سعر ثغرات يوم الصفر مع قيام الشركات بتشديد منتجاتها ضد المتسللين

الأدوات التي تسمح المتسللون الحكوميون الذين يخترقون هواتف iPhone وAndroid، والبرامج الشائعة مثل متصفحي Chrome وSafari، وتطبيقات الدردشة مثل WhatsApp وiMessage، تبلغ قيمتها الآن ملايين الدولارات – وقد تضاعفت أسعارها في السنوات القليلة الماضية مع زيادة صعوبة اختراق هذه المنتجات. hack.

في يوم الاثنين، نشرت شركة Crowdfense الناشئة قائمة الأسعار المحدثة لأدوات القرصنة هذه، والتي تُعرف عمومًا باسم “Zero-days”، لأنها تعتمد على ثغرات أمنية غير مُصححة في البرامج غير المعروفة لصانعي تلك البرامج. تدعي شركات مثل Crowdfense وأحد منافسيها Zerodium أنها حصلت على هذه الأيام الصفرية بهدف إعادة بيعها إلى منظمات أخرى، عادة وكالات حكومية أو مقاولين حكوميين، والتي تدعي أنها بحاجة إلى أدوات القرصنة لتتبع المجرمين أو التجسس عليهم.

تقدم Crowdfense الآن مبلغًا يتراوح بين 5 و7 ملايين دولار للأيام الصفرية لاختراق أجهزة iPhone، وما يصل إلى 5 ملايين دولار للأيام الصفرية لاختراق هواتف Android، وما يصل إلى 3 ملايين دولار و3.5 مليون دولار للأيام الصفرية لمتصفح Chrome وSafari على التوالي، و3 دولارات. إلى 5 ملايين دولار مقابل WhatsApp وiMessage بدون أيام.

في قائمة الأسعار السابقة، المنشورة في عام 2019، كانت أعلى المدفوعات التي كانت Crowdfense تقدمها هي 3 ملايين دولار لنظامي التشغيل Android وiOS بدون أيام.

وتأتي الزيادة في الأسعار في الوقت الذي تزيد فيه شركات مثل Apple وGoogle وMicrosoft من صعوبة اختراق أجهزتها وتطبيقاتها، مما يعني أن مستخدميها يتمتعون بحماية أفضل.

وقال داستن تشايلدز، رئيس قسم التوعية بالتهديدات في شركة Trend Micro ZDI: “من المفترض أن يكون من الصعب عاماً بعد عام استغلال أي برنامج نستخدمه، أو أي جهاز نستخدمه”. على عكس CrowdFense وZerodium، تدفع ZDI للباحثين مقابل الحصول على صفر يوم، ثم تقوم بإبلاغ الشركات المتضررة بهدف إصلاح الثغرات الأمنية.

وقال شين هنتلي، رئيس قسم المعلومات: “مع اكتشاف المزيد من ثغرات يوم الصفر من قبل فرق استقصاء التهديدات مثل Google، واستمرار تحسين حماية الأنظمة الأساسية، يزداد الوقت والجهد المطلوب من المهاجمين، مما يؤدي إلى زيادة في تكلفة النتائج التي يتوصلون إليها”. مجموعة تحليل التهديدات التابعة لشركة Google، والتي تتعقب المتسللين واستخدام أيام الصفر.

وفي تقرير الشهر الماضي، قالت جوجل إنها رأت أن المتسللين يستخدمون 97 ثغرة أمنية في يوم الصفر في عام 2023. وكان بائعو برامج التجسس، الذين يعملون غالبًا مع وسطاء يوم الصفر، مسؤولين عن 75 بالمائة من أيام الصفر التي تستهدف منتجات جوجل وأندرويد. وفقا للشركة.

يتفق الأشخاص في صناعة يوم الصفر وما حولها على أن مهمة استغلال نقاط الضعف أصبحت أكثر صعوبة.

وقال ديفيد مانوشهري، وهو محلل أمني مطلع على سوق يوم الصفر، إن اختراق الأهداف الصعبة مثل Pixel من Google وiPhone أصبح أكثر صعوبة كل عام. وأتوقع أن تستمر التكلفة في الزيادة بشكل كبير مع مرور الوقت.

وقال باولو ستاجنو، مدير الأبحاث في Crowdfense، “إن إجراءات التخفيف التي ينفذها البائعون ناجحة، وهي تقود التجارة بأكملها إلى أن تصبح أكثر تعقيدًا، وتستغرق وقتًا أطول بكثير، ومن الواضح أن هذا ينعكس بعد ذلك في السعر”. تك كرانش.

وأوضح ستاجنو أنه في عام 2015 أو 2016، كان من الممكن لباحث واحد فقط العثور على يوم صفر واحد أو أكثر وتطويره إلى استغلال كامل يستهدف أجهزة iPhone أو Android. الآن، قال، “هذا الشيء شبه مستحيل”، لأنه يتطلب فريقا من عدة باحثين، وهو ما يؤدي أيضا إلى ارتفاع الأسعار.

تقدم Crowdfense حاليًا أعلى الأسعار المعروفة حتى الآن خارج روسيا، حيث أعلنت شركة تدعى Operation Zero العام الماضي أنها مستعدة لدفع ما يصل إلى 20 مليون دولار مقابل أدوات اختراق أجهزة iPhone وAndroid. ومع ذلك، قد تكون الأسعار في روسيا متضخمة بسبب الحرب في أوكرانيا والعقوبات اللاحقة، مما قد يثبط الناس أو يمنعهم تمامًا من التعامل مع شركة روسية.

وبعيدًا عن الرأي العام، فمن الممكن أن الحكومات والشركات تدفع أسعارًا أعلى.

“الأسعار التي تقدمها Crowdfense للباحثين لمتصفح Chrome الفردي [Remote Code Execution] و [Sandbox Escape] قال مانوشهري، الذي عمل سابقًا في Linchpin Labs، وهي شركة ناشئة ركزت على تطوير وبيع ثغرة اليوم الصفري: “إن ثغرات اليوم الصفري أقل من سعر السوق مما رأيته في صناعة يوم الصفر”. تم الاستحواذ على Linchpin Labs من قبل شركة الدفاع الأمريكية L3 Technologies (المعروفة الآن باسم L3Harris) في عام 2018.

ويوافقه الرأي ألفونسو دي جريجوريو، مؤسس شركة Zeronomicon، وهي شركة ناشئة مقرها إيطاليا تكتسب أيام الصفر، حيث قال لـ TechCrunch أن الأسعار قد تكون أعلى “بالتأكيد”.

وقد تم استخدام الأيام الصفرية في عمليات إنفاذ القانون التي وافقت عليها المحكمة. في عام 2016، استخدم مكتب التحقيقات الفيدرالي برنامج “يوم الصفر” الذي قدمته شركة ناشئة تسمى Azimuth لاقتحام هاتف iPhone الخاص بأحد مطلقي النار الذين قتلوا 14 شخصًا في سان برناردينو، وفقًا لصحيفة واشنطن بوست. في عام 2020، كشفت مجلة Motherboard أن مكتب التحقيقات الفيدرالي – بمساعدة فيسبوك وشركة خارجية لم تذكر اسمها – استخدم يوم الصفر لتعقب رجل أُدين لاحقًا بتهمة مضايقة الفتيات الصغيرات وابتزازهن عبر الإنترنت.

كانت هناك أيضًا العديد من الحالات التي زُعم فيها استخدام برامج التجسس وبرامج التجسس لاستهداف المعارضين في مجال حقوق الإنسان والصحفيين في إثيوبيا والمغرب والمملكة العربية السعودية والإمارات العربية المتحدة، من بين دول أخرى ذات سجلات سيئة في مجال حقوق الإنسان. وكانت هناك أيضًا حالات مماثلة من الانتهاكات المزعومة في دول ديمقراطية مثل اليونان والمكسيك وبولندا وأسبانيا. (لم يتم اتهام أي من Crowdfense أو Zerodium أو Zeronomicon بالتورط في قضايا مماثلة).

غالبًا ما يتم انتقاد وسطاء Zero-day، بالإضافة إلى شركات برامج التجسس مثل NSO Group وHacking Team لبيع منتجاتها لحكومات بغيضة. ورداً على ذلك، تعهدت بعض هذه الشركات الآن باحترام ضوابط التصدير في محاولة للحد من الانتهاكات المحتملة من جانب عملائها.

وقال ستاجنو إن Crowdfense تتبع عمليات الحظر والعقوبات التي تفرضها الولايات المتحدة – حتى لو كان مقر الشركة في دولة الإمارات العربية المتحدة. على سبيل المثال، قال ستاجنو إن الشركة لن تبيع منتجاتها إلى أفغانستان، وبيلاروسيا، وكوبا، وإيران، والعراق، وكوريا الشمالية، وروسيا، وجنوب السودان، والسودان، وسوريا، وكلها مدرجة على قوائم العقوبات الأمريكية.

وقال ستاجنو: “كل ما تفعله الولايات المتحدة، نحن على دراية به”، مضيفًا أنه إذا تم إدراج عميل حالي على قائمة العقوبات الأمريكية، فسوف تتخلى عنه شركة Crowdfense. “تم استبعاد جميع الشركات والحكومات التي فرضت عليها الولايات المتحدة عقوبات مباشرة.”

هناك شركة واحدة على الأقل، وهي اتحاد برامج التجسس Intellexa، مدرجة في قائمة الحظر الخاصة بـ Crowdfense.

قال ستاجنو: “لا أستطيع أن أخبرك ما إذا كان أحد عملاءنا وما إذا كان قد توقف عن كونه عميلاً لنا”. “ومع ذلك، بالنسبة لي الآن، في هذه اللحظة، لا يمكن أن تكون Intellexa عميلاً لنا.”

وفي مارس/آذار، أعلنت الحكومة الأمريكية عن فرض عقوبات على مؤسس شركة Intellexa، تال ديليان، بالإضافة إلى شريك تجاري له، وهي المرة الأولى التي تفرض فيها الحكومة عقوبات على أفراد متورطين في صناعة برامج التجسس. كما فرضت الولايات المتحدة عقوبات على شركة Intellexa والشركة الشريكة لها Cytrox، مما جعل من الصعب على الشركات، وكذلك الأشخاص الذين يديرونها، مواصلة ممارسة الأعمال التجارية.

وتسببت هذه العقوبات في إثارة القلق في صناعة برامج التجسس، حسبما أفاد موقع TechCrunch.

تم الإبلاغ عن استخدام برنامج التجسس Intellexa ضد عضو الكونجرس الأمريكي مايكل ماكول، والسيناتور الأمريكي جون هوفن، ورئيسة البرلمان الأوروبي روبرتا ميتسولا، من بين آخرين.

ورفض دي جريجوريو، مؤسس شركة Zeronomicon، الإفصاح عن الجهة التي تبيع لها الشركة. ونشرت الشركة على موقعها مدونة لأخلاقيات العمل، والتي تتضمن فحص العملاء بهدف تجنب التعامل مع “كيانات معروفة بانتهاك حقوق الإنسان”، واحترام ضوابط التصدير.