Un tribunale federale degli Stati Uniti ha condannato un ex dirigente della sicurezza informatica al carcere federale dopo averlo condannato per aver venduto una vulnerabilità software critica ad acquirenti che agivano per conto del governo russo, hanno riferito i procuratori. Le azioni dell’imputato riguardavano un exploit zero-day che le autorità hanno detto essere stato usato per compromettere i sistemi informatici.
Il tribunale ha emesso la sentenza dopo una dichiarazione di colpevolezza in cui l’esecutivo ha ammesso di aver scambiato l’exploit software fino ad allora sconosciuto con intermediari ritenuti rappresentare interessi di intelligence russi. I pubblici ministeri hanno affermato che l’exploit prende di mira software di rete ampiamente utilizzati e potrebbe permettere agli attaccanti remoti di eseguire codice e prendere il controllo dei sistemi interessati senza essere rilevati.
Nel condannarla, il giudice ha citato le gravi implicazioni per la sicurezza nazionale del trasferimento di una potente vulnerabilità informatica a un avversario straniero. La pena detentiva ordinata dal tribunale rientrava nelle linee guida federali per i reati che coinvolgono l’esportazione di malware e strumenti informatici illeciti.
L’exploit zero-day in questione non era stato reso pubblico al momento della sua vendita, il che significava che sviluppatori e difensori software non ne erano a conoscenza e non potevano correggere i prodotti interessati. I pubblici ministeri hanno detto al tribunale che l’imputato comprendeva il potenziale impatto dell’exploit e si era volontariamente impegnato nella sua vendita a rappresentanti legati a attori statali russi.
Le autorità federali hanno dichiarato che l’indagine ha coinvolto la cooperazione tra diverse forze dell’ordine statunitensi, tra cui il Federal Bureau of Investigation e il Dipartimento di Giustizia. Il caso è stato intentato secondo leggi statunitensi che vietano l’esportazione di armi o vulnerabilità informatiche a governi stranieri designati senza licenza.
Il team legale dell’imputato ha sostenuto una pena minore, citando la sua precedente esperienza professionale e i contributi alla ricerca sulla cybersecurity difensiva. Il tribunale ha riconosciuto questi fattori ma ha stabilito che la vendita deliberata di un exploit zero-day ad agenti di un governo straniero giustificava una pena detentiva.
I funzionari non hanno rilasciato informazioni dettagliate su come l’exploit sia stato successivamente utilizzato nelle operazioni informatiche, ma i pubblici ministeri hanno affermato che il trasferimento della vulnerabilità ad attori ostili ha ostacolato gli sforzi globali più ampi per difendere le reti e proteggere le infrastrutture critiche.