俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金

图片

一家名为 “零行动”（Operation Zero）的俄罗斯漏洞利用经纪公司公开宣布，对在 Telegram（电报）应用程序中发现的零日漏洞悬赏高达 400 万美元，这一举措表明，由国家支持的针对这款广受欢迎的即时通讯应用的攻击意图正愈发强烈。

这家公司专门为俄罗斯政府及当地机构提供服务，目前正在寻找可在 Telegram 的安卓、iOS 和 Windows 版本上实现远程代码执行（RCE）的漏洞利用方法。赏金会根据漏洞利用的复杂程度而定。

漏洞利用定价和目标

“零行动” 采用分级定价模式，具体如下：

图片

“全链” 漏洞利用指的是在成功入侵 Telegram 后，通过多个阶段的攻击进而获取设备操作系统访问权限的手段。

图片

在 X 平台上的声明

业内消息人士指出，这些悬赏价格可能低于市场行情，因为漏洞贩子通常会以收购成本 2 到 3 倍的价格将漏洞转售给各国政府。

Telegram 的加密和文件处理机制屡遭审查

• 安卓端：2024 年 7 月出现的 “EvilVideo” 零日漏洞，攻击者能将恶意的 APK 文件伪装成视频，利用 Telegram 的自动下载功能进行传播。该漏洞在 10.14.5 版本中得到修复，不过它需要用户进行交互操作，但也凸显了默认设置存在的风险。
• Windows 端：2024 年，一个因拼写错误引发的漏洞（将文件错误标记为 “.pyzw”）导致 Python 脚本能够被执行，后来通过在可疑文件后添加 “.untrusted” 后缀缓解了这一问题。
• 历史问题：过去的漏洞还包括 2017 年的一个 Unicode 漏洞，该漏洞可通过伪装文件传播加密货币挖矿恶意软件。

安全专家指出，Telegram 的加密技术落后于 Signal 和 WhatsApp。默认聊天模式缺乏端到端加密保护，且使用的是未经审计的协议。

这些安全漏洞，再加上 Telegram 拥有超过 10 亿用户，尤其是在俄罗斯和乌克兰地区，使其成为与国家相关行为者眼中极具价值的攻击目标。

“零行动” 公开悬赏的行为，让外界得以罕见地了解俄罗斯在漏洞采购方面的重点方向。此前，乌克兰在 2024 年以存在俄罗斯黑客渗透风险为由，禁止政府设备使用 Telegram。

行业分析师推测，此次悬赏反映出俄罗斯相关机构对具备监控或网络战能力工具的迫切需求。

尽管 “零行动” 宣称只服务俄罗斯客户，但地下论坛显示，漏洞交易活动更为广泛。同样是 “EvilVideo” 漏洞，在 2024 年 6 月修复之前，就已在俄罗斯黑客论坛上被兜售，这凸显了国家支持的漏洞市场与犯罪漏洞市场之间界限的模糊性。

像 “零行动” 这样的零日漏洞经纪公司推动了规模达 120 亿美元的全球监控产业发展。Telegram 在跨平台领域占据主导地位，使其一直都是攻击目标。专家敦促用户关闭自动下载功能、手动开启加密，并定期更新应用程序。