黑客承包商Aglaya宣称其持有一份未知软件Bug清单
E安全9月17日讯 一家监管承包商通过广告形式发布一系列未知漏洞,亦称为零日漏洞,目前怀疑其可能在为世界各国政府提供与此相关的广泛黑客服务。
作为一家规模不大且知名度有限的印度承包商,Aglaya公司曾出售针对Windows操作系统、微软Word、Android、WiFi设备相关的多种零日漏洞。其漏洞库中甚至包括与监管及数据采集(简称SCADA)网络相关的信息——此类技术用于控制电网乃至核电站等关键性基础设施。
以上为Aglaya公司2014年所流出之宣传册中的部分内容。
过去几年以来,出售未知漏洞已经成为一项利润可观的生意。去年,某知名零日漏洞经销商即建立一家新公司,专门用于从安全研究人员手中购买bug及漏洞,而后将其转售给政府以赚取“溢价”部分。这家名为Zerodium的公司此后又采取大动作,要求研究人员们开发出一串零日漏洞以允许攻击者实现远程iPhone越狱,并承诺支付100万美元。数周之后,Zerodium方面证实已经有开发者获得了这笔报酬。
这一市场同样充满竞争。由于技术企业亦不断推出自己的赏金项目,希望借此鼓励并吸引研究人员直接向其报告漏洞,从而进行针对性修复,因此Zerodium或者Exodus Intelligence这样的漏洞经销商必须拿出更高数额以保证买到安全漏洞。这同时意味着,政府需要承担的安全信息购买成本亦持续高涨。几周之前,苹果公司最终启动了自己的bug赏金计划,Exodus Intelligence则紧随其后表示将集中收购iOS bug,并承诺给出双倍于苹果的收购价格。
Aglaya目录建立于2014年,目前尚不清楚该公司是否仍在销售零日漏洞。Aglaya公司创始人兼CEO Ankur Srivastava在接受采访时表示,该公司已经不再出售黑客产品,相反开始进军防御性安全产品市场。
“没有合法的理由向ICS出售安全漏洞。这显然与法律条款相违背。”
本月早些时候,有媒体披露称Aglaya将其业务宣称为”武器化信息”服务,旨在“污染”互联网搜索结果以及Facebook与Twitter等社交网络,“从而操纵时事趋势”。作为回应,Srivastava表示该公司已经不再涉及此类业务,而且这其中肯定是存在某种误会。
“在这里我得着重强调,我们并不归属于这类市场,也无意发布任何错误的营销宣传信息,”Srivastava解释称。
安全厂商Dragos公司创始人兼基础设施黑客技术专家Robert Lee指出,Aglaya公司出售的西门子设备安全漏洞证明,该公司并未真正理解关键性基础设施的实际含义——因为市场几乎并不需要针对SCADA的零日漏洞。
“根据其表述来看,该公司并不理解与这一领域相关的概述与技术,”Lee在采访中表示。
前美国网络司令部成员兼安全研究员Ryan Duff亦对该公司的信誉表示怀疑。Duff指出,目前最为可疑的状况在于,该公司宣称其将零日漏洞上传到了Virus Total,一套供研究人员进行恶意软件测试的公开存储库。Duff解释称,这将直接导致零日漏洞无法产生作用,因为他人能够在其中获取到相关信息。
“没有哪家销售此类产品的企业会这么做,”Duff在采访中指出。“另外,他们给出的价格相对于产品本身也太过离谱了。”
同样身为情报界从业者的Lee对Aglaya公司提出批评。
“没有合法的理由向ICS出售安全漏洞。这显然与法律条款相违背,”Lee表示。“在我看来,这家公司的行为真的非常卑鄙。”
无论这份零日漏洞目录是否已经过时,但当前趋势已经非常明确:世界各地的企业都在竞相为政府提供入侵他人计算机与手机的技术方案。随着个人通信设备当中所使用加密技术的日趋复杂,警方的传统调查技术将被快速淘汰,而各国政府显然需要更为强大的入侵手段作为补充。
相关阅读:印度公司提供“网络武器化服务” 100万欧元购买“网络战服务”
E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。