Otto 0day dal valore di 35 milioni di dollari venduti alla Russia da insider USA

L’ex direttore generale di un’azienda appaltatrice della difesa statunitense, Peter Williams, si è dichiarato colpevole di aver venduto “otto cyber-exploit sensibili e protetti” al broker russo di zero-day Operation Zero.

Documenti giudiziari e un’indagine di TechCrunch hanno rivelato come il capo di un’azienda che ha sviluppato exploit e strumenti per le operazioni informatiche dei governi occidentali abbia esportato e rivenduto segretamente i propri sviluppi interni per tre anni.

Secondo gli investigatori, un cittadino australiano di 39 anni, noto ai colleghi con il soprannome “Doogie“, ha rubato otto vulnerabilità zero-day che potrebbero essere utilizzate per hackerare dispositivi e sistemi operativi moderni. I costosi strumenti erano destinati esclusivamente alle agenzie governative statunitensi e ai loro alleati.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Williams ha stimato il valore complessivo degli exploit in 35 milioni di dollari, ma ha ricevuto solo circa 1,3 milioni di dollari in criptovaluta dal broker. Le transazioni sono avvenute tra il 2022 e luglio 2025 tramite canali crittografati.

Documenti interni di L3Harris indicano che Williams deteneva lo status di “superutente” e aveva pieno accesso alla rete sicura di Trenchant con autenticazione a più fattori, dove venivano archiviati codice sorgente, strumenti e registri delle attività. L’accesso all’infrastruttura era concesso solo a un numero limitato di specialisti.

Grazie ai suoi privilegi amministrativi, poteva monitorare tutto il traffico, le attività degli sviluppatori e i progetti interni senza restrizioni. I colleghi lo descrivevano come una persona “altamente affidabile” e non soggetta a controlli interni.

Sfruttò questa fiducia. Williams copiò exploit e materiali correlati su un disco rigido esterno, li rimosse dagli uffici dell’azienda a Sydney e Washington e li trasferì su dispositivi personali. Quindi trasferì i dati a un intermediario tramite canali crittografati e app di messaggistica istantanea, utilizzando lo pseudonimo “John Taylor” e servizi di posta elettronica anonimi.

Secondo i materiali del caso, il primo acquirente fu un broker identificato nei documenti come “Società n. 3”. In seguito, i procuratori chiarirono che dietro questo nome in codice si celava la piattaforma Operation Zero, un marketplace che offriva fino a 20 milioni di dollari per exploit iOS e Android. Nel settembre 2023, Operation Zero pubblicò un annuncio che aumentava la ricompensa da 200.000 a 20 milioni di dollari per strumenti di hacking unici: fu questo post che gli investigatori identificarono come prova corrispondente nella corrispondenza di Williams.

Il primo accordo gli fruttò 240.000 dollari, incluso un bonus per il supporto al codice e gli aggiornamenti. Le parti concordarono un totale di 4 milioni di dollari, ma lui ne ricevette solo 1,3 milioni. Dopo aver consegnato gli exploit, Williams notò persino che parte del suo codice veniva utilizzato da un broker sudcoreano, sebbene ufficialmente lo avesse venduto a un altro Paese: l’origine di questa rivendita rimane poco chiara.

Nell’ottobre 2024, Trenchant scoprì una fuga di notizie su uno dei suoi prodotti: un componente software era finito nelle mani di una terza parte non autorizzata. Williams fu nominato responsabile dell’indagine interna e dichiarò che non c’erano prove di un attacco informatico, ma che un “ex dipendente” avrebbe connesso senza autorizzazione un dispositivo isolato a Internet.

Nel febbraio 2025, licenziò lo sviluppatore, accusandolo di “doppio gioco” e di furto di exploit per Chrome, nonostante lavorasse esclusivamente sulle vulnerabilità di iOS. In seguito, lo sviluppatore ricevette una notifica da Apple riguardo a un tentativo di hackerare il suo iPhone utilizzando uno spyware a pagamento. In un’intervista, lo sviluppatore dichiarò di sospettare che Williams lo avesse intenzionalmente incastrato per coprire le proprie azioni.

L’FBI rintracciò Williams nell’estate del 2025. Durante l’interrogatorio, suggerì di poter rubare prodotti da una rete protetta scaricandoli su un “air gap device”, ovvero un computer senza accesso a Internet. Come si scoprì in seguito, era esattamente ciò che aveva fatto. Ad agosto, dopo essere stato messo a confronto con le prove, Williams confessò il furto e la cessione degli strumenti a terzi.

Il Dipartimento di Giustizia degli Stati Uniti ha stimato le perdite di L3Harris in 35 milioni di dollari, osservando che il trasferimento di strumenti così sofisticati avrebbe potuto consentire a governi stranieri di condurre attacchi informatici contro “numerose vittime ignare”. Ogni accusa prevede una pena massima di 10 anni di carcere e una multa fino a 250.000 dollari o il doppio dell’importo dei profitti illeciti. Sulla base delle linee guida federali, il giudice imporrà una pena detentiva da sette anni e tre mesi a nove anni. Williams sarà inoltre condannato a pagare una multa fino a 300.000 dollari e a un risarcimento di 1,3 milioni di dollari. È agli arresti domiciliari fino a gennaio 2026, data prevista per la sentenza.

Ex dipendenti di Trenchant hanno definito le sue azioni un tradimento degli interessi statunitensi e un duro colpo alla fiducia nel settore. Un ingegnere ha affermato che il trasferimento di tali strumenti in un altro Paese “mina le fondamenta della sicurezza informatica occidentale e potrebbe essere utilizzato contro le stesse entità per cui questi sviluppi sono stati creati”.

La storia di Williams è diventata un evento di grande risonanza per l’intera comunità della sicurezza offensiva. Molti esperti riconoscono che questo incidente ha messo in luce le debolezze del sistema di controllo degli accessi interno per gli sviluppi classificati e ha dimostrato che anche un elevato livello di fiducia non protegge dalle minacce interne .

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.