Nagradni fond od 2,5 miliona dolara nudi se na predstojećem kineskom hakerskom takmičenju za eksploatacije koje ciljaju širok spektar tehnoloških proizvoda, posebno onih napravljenih na Zapadu.
Takmičenje, nazvano Matrix Cup, opisuje se kao „najbolje takmičenje u sajber bezbjednosti istočne hemisfere“. U terminu od 26. do 28. juna, Matrix Cup sponzorišu kineska firma za sajber bezbjednost Qihoo 360 i Peking Huayun’an Information Technology.
Organizatori nude ukupno 20 miliona juana (2,75 miliona dolara) učesnicima, uključujući 18 miliona juana (2,5 miliona dolara) za eksploatacije nultog dana.
Lista ciljeva uključuje Windows, Linux i macOS operativne sisteme; Samsung Galaxy, Google Pixel, iPhone i nekoliko brendova pametnih telefona proizvedenih u Kini; poslovni proizvodi iz Microsofta, Zimbre, F5 i Citrixa; mrežni uređaji Cisco, Juniper Networks, Sonicwall i Linksys; NAS uređaji iz WD, Synology i QNAP; i proizvodi za sajber sigurnost kompanija Fortinet, Checkpoint, Cisco, Ivanti (Pulse Secure) i Kaspersky.
Ciljevi takođe uključuju baze podataka kao što su MariaDB, SQL Server, MySQL i Oracle Database; poslovni alati kao što su Adobe Reader, Microsoft Teams, Zoom i Microsoft Office; web pretraživači Chrome, Firefox, Edge i Safari; VMware, QEMU, Docker, Microsoft i Oracle tehnologije virtuelizacije; HP multifunkcionalni štampač; i Hadoop okvir za skladištenje i obradu podataka.
Organizatori kažu da je cilj rješavanje izazova sajber bezbjednosti koje predstavljaju nove tehnologije, smanjenje nivoa rizika i poboljšanje sigurnosti proizvoda. Čini se da na web stranici na kineskom jeziku koja je postavljena za Matrix Cup nema informacija o tome da li će pokazane ranjivosti biti prijavljene pogođenim dobavljačima.
Kineska hakerska takmičenja često se uspoređuju sa Pwn2Own sa sjedištem u Sjevernoj Americi, koji svake godine isplaćuje značajne količine novca za softver, IoT, ICS i automobilske eksploatacije. Na najnovijem Pwn2Own, učesnici su zaradili ukupno 1,1 milion dolara za svoj rad.
Jedno od najpoznatijih kineskih hakerskih takmičenja je Tianfu kup. Na događaju 2021, učesnici su zaradili ukupno 1,9 miliona dolara za iOS, Chrome, Windows, VMware i druge vrste eksploatacije. Tianfu Cup je napravio pauzu 2022. godine, a događaj 2023. pomjerio je fokus na domaće proizvode kompanija kao što su Huawei, Xiaomi, Tencent i Qihoo 360. Malo je informacija dostupno o rezultatima događaja 2023. godine.
Za razliku od slučaja Pwn2Own, koji jasno kaže da se nalazi odmah prijavljuju pogođenim dobavljačima, detalji u vezi s otkrivanjem eksploata na Tianfu Cupu dobavljačima su mutni. Poznato je da su dobavljači zakrpili nekoliko ranjivosti predstavljenih na Tianfu Cupu, iako u nekim slučajevima mjesecima nakon njihovog otkrivanja.
Kineski zakon nalaže da se ranjivosti nultog dana koje pronađu građani moraju odmah otkriti vladi. Detalji sigurnosne rupe ne mogu se prodati ili dati trećoj strani, osim proizvođaču. Industrija sajber sigurnosti izrazila je zabrinutost da će zakon pomoći kineskoj vladi da napravi zalihe ranjivosti nultog dana.
Zaista, godinu dana nakon što je zakon stupio na snagu, Microsoft je rekao da je doprinio porastu eksploatacije nultog dana. Hakeri za koje se vjeruje da ih sponzoriše kineska vlada redovno koriste ranjivost nultog dana u svojim napadima, uključujući protiv američke vlade i povezanih subjekata.
Izvor:SecurityWeek
