Een federale rechtbank in de Verenigde Staten veroordeelde een voormalige cybersecurity-executive tot een federale gevangenis nadat hij was veroordeeld voor het verkopen van een kritieke softwarekwetsbaarheid aan kopers die namens de Russische overheid handelden, aldus aanklagers. De acties van de verdachte betroffen een zero-day exploit waarvan de autoriteiten zeiden dat die werd gebruikt om computersystemen te compromitteren.
De rechtbank sprak het vonnis uit na een schuldbekentenis waarin de bestuurder toegaf de tot dan toe onbekende softwareexploit te hebben geruild aan tussenpersonen die vermoedelijk Russische inlichtingendiensten vertegenwoordigden. Aanklagers zeiden dat de exploit zich richtte op veelgebruikte netwerksoftware en het mogelijk maakt dat externe aanvallers code kunnen uitvoeren en de controle over getroffen systemen kunnen overnemen zonder ontdekking.
Bij het opleggen van de veroordeling verwees de rechter naar de ernstige nationale veiligheidsimplicaties van het overdragen van een krachtige cyberkwetsbaarheid aan een buitenlandse tegenstander. De gevangenisstraf die door de rechtbank werd opgelegd, viel binnen de federale strafrichtlijnen voor misdrijven waarbij malware en illegale cybertools worden uitgevoerd.
De betreffende zero-day exploit was op het moment van verkoop niet openbaar gemaakt, wat betekent dat softwareontwikkelaars en verdedigers niet op de hoogte waren van het bestaan ervan en de getroffen producten niet konden patchen. Aanklagers vertelden de rechtbank dat de verdachte de mogelijke impact van de exploit begreep en vrijwillig de verkoop ervan aan vertegenwoordigers verbonden aan Russische staatsactoren uitvoerde.
Federale autoriteiten zeiden dat het onderzoek samenwerking betrof tussen meerdere Amerikaanse wetshandhavingsinstanties, waaronder de Federal Bureau of Investigation en het Department of Justice. De zaak werd aangespannen op basis van Amerikaanse wetten die het exporteren van cyberwapens of kwetsbaarheden aan aangewezen buitenlandse regeringen zonder vergunning verbieden.
Het juridische team van de verdachte pleitte voor een lagere straf, onder verwijzing naar zijn eerdere professionele ervaring en bijdragen aan defensief cybersecurityonderzoek. De rechtbank erkende deze factoren, maar oordeelde dat de opzettelijke verkoop van een zero-day exploit aan agenten van een buitenlandse overheid een gevangenisstraf rechtvaardigde.
Functionarissen gaven geen gedetailleerde informatie vrij over hoe de exploit vervolgens werd gebruikt in cyberoperaties, maar aanklagers zeiden dat het overdragen van de kwetsbaarheid aan vijandige actoren bredere wereldwijde inspanningen om netwerken te beschermen en kritieke infrastructuur te beschermen, belemmerde.