VS: miljoenen computers kwetsbaar door zerodays die ex-directeur verkocht

In dit artikel:

Een voormalige directeur van een Amerikaans defensiebedrijf heeft van 2022 tot 2025 zero-day-exploits uit het bedrijfsnetwerk gehaald en verkocht aan een Russische reseller, zo stelt de Amerikaanse openbaar aanklager. De 39-jarige Australische verdachte heeft eind vorig jaar schuld bekend en zou acht zogenaamde "cyber exploit components" hebben doorgesluisd. Volgens de aanklacht waren die tools bedoeld uitsluitend voor gebruik door de Amerikaanse overheid en geselecteerde bondgenoten.

De aanklager waarschuwt dat de gestolen exploits zeer krachtig waren en klanten van de Russische handelaar – waaronder volgens eerdere verklaringen ook de Russische staat – toegang tot miljoenen computers wereldwijd hadden kunnen geven. Mogelijke misbruiken die in de aanklacht worden genoemd variëren van ransomware en fraude tot diefstal en spionage. Precise details over welke kwetsbaarheden werden uitgebuit zijn niet openbaar gemaakt.

Economisch liep de verdachte naar verluidt ongeveer 1,3 miljoen dollar winst op uit de verkoop; de aangekochte exploits en bijbehorende informatie worden in de zaak op een waarde van 35 miljoen dollar geschat. De aanklager eist een gevangenisstraf van negen jaar, een schadevergoeding van 35 miljoen dollar en een boete van 250.000 dollar; de veroordeling staat waarschijnlijk aan het eind van deze maand gepland.

In een brief aan de rechtbank verklaart de verdachte spijt te hebben van zijn handelen en wijt zijn keuzes aan een periode van slecht beoordelingsvermogen, verergerd door ernstige werkstress en uitputting. Ter context: zero-day-exploits benutten onbekende of onbehandelde kwetsbaarheden en zijn daarom bijzonder waardevol voor zowel criminele groepen als staten die cyberoperaties uitvoeren.