Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il Mercato Sotterraneo degli Exploit 0day: Intermediari, PSOA e la Corsa agli Armamenti Cibernetici

Redazione RHC : 8 Febbraio 2025 16:59

Negli ultimi anni, il commercio di vulnerabilità informatiche è diventato un settore estremamente redditizio, al punto da essere considerato una vera e propria industria parallela alla cybersecurity. Il mercato underground degli exploit 0day vulnerabilità sconosciute e non ancora patchate – è un ecosistema complesso in cui si muovono attori di vario tipo: hacker indipendenti, broker specializzati, gruppi criminali organizzati e governi che investono milioni di dollari per ottenere accesso a questi strumenti.

Dalla vendita di exploit nei forum underground alle acquisizioni da parte di società come Zerodium e Crowdfense, fino agli attacchi sponsorizzati da Stati con operazioni come Stuxnet, il mercato degli 0day è diventato il nuovo campo di battaglia della guerra cibernetica globale.

Indice dei contenuti nascondi
1. Gli Exploit 0day: Cosa Sono e Perché Sono Così Preziosi?
2. Dai Forum Underground ai Broker 0day: Il Business della Vendita
3. EternalBlue: L’Exploit Trafugato dalla NSA e la Sua Eredità Distruttiva
4. 0day e Guerra Cibernetica: Un’Industria in Espansione
5. Conclusioni: 0day, Il Mercato Delle Nuove Armi
Un acquirente in un mercato underground chiuso in lingua russa cerca exploit 0day RCE e offre fino a 10 milioni di dollari.

Gli Exploit 0day: Cosa Sono e Perché Sono Così Preziosi?

Un exploit zero-day (0day) è una vulnerabilità software sconosciuta agli sviluppatori e, quindi, senza una patch disponibile. Questi bug possono essere utilizzati per compromettere sistemi informatici, rubare dati, spiare individui o causare danni irreparabili alle infrastrutture critiche di uno stato avversario.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Le vulnerabilità 0day si dividono principalmente in due categorie:

    • Exploit infrastrutturali: Colpiscono server, sistemi operativi e librerie utilizzate su larga scala, come nel caso di Log4Shell, che ha messo a rischio milioni di dispositivi a livello globale.
    • Exploit su dispositivi consumer (0-click e 1-click): Target primari degli spyware e dei gruppi di sorveglianza, mirano ad applicazioni di largo utilizzo come WhatsApp, iMessage, Android e iOS, permettendo l’accesso ai dispositivi senza alcuna interazione da parte dell’utente.

    Dai Forum Underground ai Broker 0day: Il Business della Vendita

    L’immagine sopra riportata è un chiaro esempio di come funziona il mercato degli exploit. Il threat actor, pubblica un annuncio in cui si dice disposto a comprare exploit 0day RCE per cifre fino a 10 milioni di dollari.

    Questo dimostra non solo l’enorme valore degli 0day, ma anche il fatto che spesso gli acquirenti diretti non sono gli utilizzatori finali. Chi compra vulnerabilità di questo tipo?

    Listino prezzi aggiornato al 08/02/2025 di Crowdfense, noto broker 0day
    1. Intermediari e Broker 0day
      • Alcuni hacker indipendenti scoprono vulnerabilità e le mettono in vendita in forum underground o su marketplace specializzati. Tuttavia, la maggior parte di questi bug non viene venduta direttamente, ma passa attraverso broker come Zerodium o Crowdfense, aziende che acquistano vulnerabilità per poi rivenderle (anche su base asta) a entità governative o aziendali.
      • I prezzi per questi exploit sono esorbitanti: fino a 2,5 milioni di dollari per un 0day 0-click su iOS, prima che Zerodium decidesse di rimuovere il listino prezzi pubblico, probabilmente per alzare ulteriormente il valore delle offerte.
    2. Private Sector Offensive Actors (PSOA)
      • Gli PSOA, ovvero attori offensivi del settore privato, sono entità legate a governi che operano nel settore della sorveglianza e della sicurezza informatica offensiva. Aziende come NSO Group (Pegasus), Cytrox (Predator) e altre realtà meno conosciute operano come fornitori di exploit e malware per agenzie governative e forze dell’ordine. Si parla di queste due aziende, anche quelle che vengono riportate al livello main stream è solo la punta dell’iceberg del fenomeno.
      • Gli spyware come Pegasus e Predator fanno ampio uso di exploit 0day 0-click per prendere il controllo di smartphone di giornalisti, attivisti e oppositori politici senza lasciare tracce evidenti.
    3. Governi e Operazioni Cibernetiche
      • Stati Uniti, Cina, Russia, Israele e altri Paesi investono massicciamente nel settore degli 0day per scopi di intelligence e guerra cibernetica.
      • Un esempio storico è Stuxnet, il malware sviluppato da USA e Israele nell’ambito dell’operazione “Giochi Olimpici”, utilizzato per sabotare il programma nucleare iraniano nella centrale di Natanz. Questo attacco è stato il primo a dimostrare come gli exploit 0day possano essere utilizzati come vere armi cibernetiche.

    EternalBlue: L’Exploit Trafugato dalla NSA e la Sua Eredità Distruttiva

    EternalBlue è uno degli exploit più famosi nella storia della cybersecurity, non solo per la sua efficacia devastante, ma anche per il modo in cui è stato reso pubblico. Originariamente sviluppato dalla National Security Agency (NSA) degli Stati Uniti, l’exploit faceva parte di un arsenale di cyber weapons segrete utilizzate per attività di intelligence e operazioni offensive. Tuttavia, nel 2017, un misterioso gruppo noto come The Shadow Brokers pubblicò un’enorme quantità di strumenti di hacking trafugati dai server della NSA nella fuga “Lost In Translation”, inclusi exploit avanzati come EternalBlue. Questa fuga di dati rivelò al mondo intero alcune delle tecniche più sofisticate usate dall’intelligence americana, sollevando gravi preoccupazioni sulla sicurezza e sulla gestione delle vulnerabilità.

    Prima di essere reso pubblico, EternalBlue era un’arma segreta impiegata dalla NSA per almeno cinque anni. Questo exploit prendeva di mira una vulnerabilità critica nel protocollo SMBv1 di Windows, consentendo l’accesso remoto e l’esecuzione di codice arbitrario su qualsiasi sistema non patchato. Il fatto che l’agenzia statunitense abbia mantenuto questa vulnerabilità segreta per anni, senza segnalarla a Microsoft, dimostra come le agenzie di intelligence considerino spesso le vulnerabilità software come strumenti strategici, piuttosto che falle da correggere immediatamente per proteggere gli utenti.

    Quando EternalBlue venne reso pubblico, Microsoft si trovò costretta a reagire rapidamente. La gravità della falla era tale che l’azienda rilasciò una patch d’emergenza non solo per le versioni supportate di Windows, ma anche per sistemi operativi ormai considerati “End of Life”, come Windows XP. Questo è un evento estremamente raro nella storia della sicurezza informatica e dimostra quanto fosse critica la vulnerabilità. Tuttavia, nonostante la disponibilità della patch, molti sistemi rimasero esposti a causa della scarsa applicazione degli aggiornamenti di sicurezza, aprendo la strada a una serie di attacchi devastanti.

    Uno dei primi gruppi a sfruttare EternalBlue dopo la sua fuoriuscita fu Lazarus, un gruppo di cybercriminali legato alla Corea del Nord. Utilizzando l’exploit, Lazarus creò WannaCry, uno dei ransomware più distruttivi della storia. Nel maggio 2017, WannaCry si diffuse rapidamente in tutto il mondo, infettando oltre 230.000 computer in 150 paesi. Il ransomware bloccava i sistemi infetti e chiedeva un riscatto in Bitcoin per decriptare i file, colpendo ospedali, aziende, enti governativi e persino infrastrutture critiche. Questo attacco mise in evidenza quanto potessero essere pericolosi gli exploit di livello governativo una volta finiti nelle mani sbagliate.

    Park Jin Hyok, presumibilmente associato al gruppo APT Lazarus ritenuto il colpevole della scrittura del malware wannacry

    Se WannaCry fu un disastro globale, NotPetya rappresentò un ulteriore passo avanti nella guerra cibernetica. Apparentemente simile a un ransomware, NotPetya in realtà non aveva l’obiettivo di generare profitti, ma di distruggere i sistemi colpiti. Questo attacco, avvenuto nel giugno 2017, prese di mira aziende e infrastrutture in Ucraina, ma si diffuse rapidamente colpendo multinazionali come Maersk e FedEx, causando danni stimati in oltre 10 miliardi di dollari. NotPetya dimostrò come un exploit come EternalBlue potesse essere trasformato in un’arma geopolitica, usata per destabilizzare interi settori economici.

    Il caso di EternalBlue e dei suoi utilizzi successivi dimostra come gli exploit sviluppati dai governi siano vere e proprie cyber weapons, capaci di generare danni su scala globale se non gestiti con estrema cautela. Le agenzie di intelligence di tutto il mondo possiedono arsenali di vulnerabilità 0day pronte per essere utilizzate in campagne di spionaggio, sabotaggio e cyber warfare. Il mercato di questi exploit è vastissimo e coinvolge sia attori statali sia broker privati come Zerodium e Crowdfense, che acquistano vulnerabilità per milioni di dollari.

    Il caso di EternalBlue ci insegna che la gestione delle cyber weapons è un tema critico della sicurezza internazionale e che il rischio di fuoriuscite incontrollate è sempre presente, con conseguenze potenzialmente catastrofiche.

    0day e Guerra Cibernetica: Un’Industria in Espansione

    Il mercato degli 0day non è più un semplice spazio di nicchia per hacker e cybercriminali, ma un’industria multimilionaria che si muove nell’ombra. Alcuni punti chiave mostrano come questa realtà stia crescendo:

    • Aumento degli attacchi mirati: Governi e gruppi di cybercriminali stanno diventando sempre più selettivi nell’uso degli 0day, scegliendo obiettivi precisi per massimizzare l’impatto.
    • Crescente domanda di exploit 0-click: Gli attacchi più avanzati non richiedono interazione dell’utente e sono ideali per operazioni di sorveglianza di alto livello.
    • Meno vulnerabilità pubbliche, più vulnerabilità vendute nel mercato nero: Nonostante il numero di vulnerabilità con CVSS >9,5 sembri stabile o in lieve calo, ciò non significa che il software sia più sicuro. Piuttosto, molte vulnerabilità critiche finiscono direttamente nel mercato underground invece di essere divulgate pubblicamente.

    Conclusioni: 0day, Il Mercato Delle Nuove Armi

    Se un tempo la sicurezza informatica era vista come un settore tecnico di nicchia, oggi è chiaro che il cyberspazio è il nuovo campo di battaglia globale e geopolitico dell’era moderna. Il commercio di exploit 0day è diventato l’equivalente della corsa agli armamenti nucleari durante la Guerra Fredda: chi possiede i migliori strumenti ha il controllo strategico sulle operazioni di intelligence e della guerra cibernetica.

    D’altra parte, agire nell’ombra all’interno della zona grigia consente agli Stati di condurre operazioni di interferenza, influenza e spionaggio industriale con un livello di discrezione molto più elevato. Inoltre, offre sempre la possibilità di negare il coinvolgimento diretto, scaricando la responsabilità su gruppi di hacker affiliati o milizie informatiche, creando così un velo di plausibile negabilità.

    La crescita del mercato degli 0day, il ruolo sempre più dominante dei broker specializzati e l’interesse delle agenzie governative dimostrano che il cyberspazio è ora il nuovo fronte della geopolitica globale. Mentre le vulnerabilità più critiche non vengono più segnalate pubblicamente, il mercato sotterraneo continua a espandersi, lasciando sempre più spazio a nuovi attori e consolidando il dominio di chi ha accesso alle armi digitali più potenti.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    Crazyhunter: il nuovo ransomware con il “Sistema di Annientamento Dati Tridimensionale”

    Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...

    Due mesi alla RHC Conference 2025! Grazie ai nostri Sponsor per aver reso questo evento possibile!

    Mancano solo due mesi alla quarta edizione della Red Hot Cyber Conference 2025, l’evento annuale gratuito organizzato dalla community di Red Hot Cyber. La conferenza si terrà a Roma, come ...

    Siti Italiani Presi di Mira! Il Deface di !FAKESITE e il Lato Oscuro dell’Hacktivismo

    Negli ultimi giorni, diversi siti web italiani sono stati presi di mira da un attacco di defacement, una tecnica utilizzata per modificare il contenuto di una pagina web senza il consenso del propriet...

    Italiani Nel Mirino: 464.508 Record Compromessi nei Forum underground in 2 giorni

    Negli ultimi giorni, il panorama della cybersecurity italiana è stato scosso da una serie di massicci data leak che hanno esposto centinaia di migliaia di informazioni sensibili di cittadini e az...

    La Terza Capture The Flag (CTF) di RHC è Pronta! Tra AI, Reti 4G e Stati Nazionali. Sei pronto?

    Red Hot Cyber, come ogni anno all’interno della RHC Conference, ospiterà la nuova Capture The Flag realizzata in collaborazione con CyberSecurityUP e Hackmageddon e Fondazione Bruno Kessle...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006