Ein US-Bundesgericht verurteilte einen ehemaligen Cybersecurity-Manager zu einem Bundesgefängnis, nachdem er ihn wegen des Verkaufs einer kritischen Softwareschwachstelle an Käufer im Auftrag der russischen Regierung verurteilt hatte, so die Staatsanwälte. Die Handlungen des Angeklagten betrafen einen Zero-Day-Exploit, der laut Behörden zur Kompromittierung von Computersystemen genutzt wurde.
Das Gericht verkündete das Urteil nach einem Schuldbekenntnis, in dem der Manager zugab, den bisher unbekannten Software-Exploit an Vermittler gehandelt zu haben, die russische Geheimdienstinteressen vertreten sollen. Die Staatsanwaltschaft erklärte, dass der Exploit weit verbreitete Netzwerksoftware ins Visier genommen habe und es entfernten Angreifern ermöglichen könnte, Code auszuführen und die Kontrolle über betroffene Systeme zu übernehmen, ohne entdeckt zu werden.
Bei der Urteilsverkündung des Angeklagten verwies der Richter auf die schwerwiegenden nationalen Sicherheitsimplikationen, die eine mächtige Cyber-Schwachstelle an einen ausländischen Widersacher übertragen würden. Die vom Gericht angeordnete Haftstrafe entsprach den bundesstaatlichen Strafrichtlinien für Straftaten mit dem Export von Malware und illegalen Cyber-Tools.
Der betreffende Zero-Day-Exploit war zum Zeitpunkt des Verkaufs noch nicht öffentlich bekanntgegeben worden, was bedeutete, dass Softwareentwickler und Verteidiger nichts von seiner Existenz wussten und die betroffenen Produkte nicht patchen konnten. Die Staatsanwaltschaft teilte dem Gericht mit, dass der Angeklagte die potenziellen Auswirkungen des Exploits verstand und bereitwillig den Verkauf an Vertreter russischer Staatsakteure tätig machte.
Bundesbehörden erklärten, die Untersuchung habe die Zusammenarbeit mehrerer US-Strafverfolgungsbehörden, darunter das Federal Bureau of Investigation und das Justizministerium, beinhaltet. Der Fall wurde nach US-Gesetzen eingereicht, die den Export von Cyberwaffen oder Schwachstellen an bestimmte ausländische Regierungen ohne Lizenz verbieten.
Das Anwaltsteam des Angeklagten plädierte für eine geringere Strafe und verwies auf seine frühere Berufserfahrung und Beiträge zur defensiven Cybersicherheitsforschung. Das Gericht erkannte diese Faktoren an, entschied jedoch, dass der gezielte Verkauf eines Zero-Day-Exploits an Agenten einer ausländischen Regierung eine Haftstrafe rechtfertigte.
Beamte veröffentlichten keine detaillierten Informationen darüber, wie der Exploit anschließend bei Cyberoperationen eingesetzt wurde, aber Staatsanwälte erklärten, dass die Übertragung der Schwachstelle an feindliche Akteure umfassendere globale Bemühungen zur Verteidigung von Netzwerken und zum Schutz kritischer Infrastruktur behinderte.