На рынке уязвимостей появился новый крупный игрок: зарегистрированная в ОАЭ компания Advanced Security Solutions объявила о закупке эксплоитов нулевого дня стоимостью до 20 млн долларов. Рекордное вознаграждение предлагается за цепочку атак, способную полностью компрометировать любой современный смартфон через одно текстовое сообщение — без участия пользователя.
В опубликованном прайс-листе указаны и другие суммы. За полноценный взлом Android- и iOS-устройств компания готова платить до 15 млн долларов, за 0-day для Windows и Linux — до 10 млн, для браузера Chrome — до 5 млн, для Safari и Microsoft Edge — до 1 млн. Отдельно отмечена готовность выложить до 2 млн долларов за эксплуатацию мессенджеров Telegram, Signal и WhatsApp.
Кто именно стоит за Advanced Security Solutions, не раскрывается. На сайте говорится лишь, что команда состоит из специалистов с более чем 20-летним опытом работы в «элитных разведподразделениях и частных военных подрядчиках», а клиентами являются более 25 правительств и спецслужб. «Мы помогаем агентствам вести точечные операции на цифровом поле боя», — подчёркивает компания.
Участники рынка, опрошенные TechCrunch, подтверждают, что объявленные расценки соответствуют текущему уровню спроса на 0-day: взламывать защищённые системы становится всё сложнее, а платёжеспособные заказчики готовы компенсировать рост трудозатрат. По словам одного из брокеров, 20 млн сегодня уже не выглядят аномально — «всё зависит от вашей беспринципности».
Прайс обращает внимание на резкий рост цен за последние годы. В 2015-м Zerodium предлагала максимум 1 млн долларов за взлом iPhone, в 2018-м Crowdfense подняла планку до 3 млн, а прошлой весной до 7 млн. В январе 2024 года российская Operation Zero первой озвучила предложение в 20 млн, которое теперь повторила Advanced Security Solutions. Конкуренция между брокерами подогревает рынок и стимулирует охоту за всё более сложными уязвимостями.
Новая компания из Эмиратов не связана с одноимённой охранной фирмой из Чикаго, основанной в 2005 году; речь идёт о другом юридическом лице. Тем не менее само название добавляет ещё чуть больше тумана к и без того непрозрачному бизнесу торговли эксплоитами.