L’ex direttore generale di un’azienda appaltatrice della difesa statunitense, Peter Williams, si è dichiarato colpevole di aver venduto “otto cyber-exploit sensibili e protetti” al broker russo di zero-day Operation Zero.

Documenti giudiziari e un’indagine di TechCrunch hanno rivelato come il capo di un’azienda che ha sviluppato exploit e strumenti per le operazioni informatiche dei governi occidentali abbia esportato e rivenduto segretamente i propri sviluppi interni per tre anni.

Secondo gli investigatori, un cittadino australiano di 39 anni, noto ai colleghi con il soprannome “Doogie“, ha rubato otto vulnerabilità zero-day che potrebbero essere utilizzate per hackerare dispositivi e sistemi operativi moderni. I costosi strumenti erano destinati esclusivamente alle agenzie governative statunitensi e ai loro alleati.

Williams ha stimato il valore complessivo degli exploit in 35 milioni di dollari, ma ha ricevuto solo circa 1,3 milioni di dollari in criptovaluta dal broker. Le transazioni sono avvenute tra il 2022 e luglio 2025 tramite canali crittografati.

Documenti interni di L3Harris indicano che Williams deteneva lo status di “superutente” e aveva pieno accesso alla rete sicura di Trenchant con autenticazione a più fattori, dove venivano archiviati codice sorgente, strumenti e registri delle attività. L’accesso all’infrastruttura era concesso solo a un numero limitato di specialisti.

Grazie ai suoi privilegi amministrativi, poteva monitorare tutto il traffico, le attività degli sviluppatori e i progetti interni senza restrizioni. I colleghi lo descrivevano come una persona “altamente affidabile” e non soggetta a controlli interni.

Sfruttò questa fiducia. Williams copiò exploit e materiali correlati su un disco rigido esterno, li rimosse dagli uffici dell’azienda a Sydney e Washington e li trasferì su dispositivi personali. Quindi trasferì i dati a un intermediario tramite canali crittografati e app di messaggistica istantanea, utilizzando lo pseudonimo “John Taylor” e servizi di posta elettronica anonimi.

Secondo i materiali del caso, il primo acquirente fu un broker identificato nei documenti come “Società n. 3”. In seguito, i procuratori chiarirono che dietro questo nome in codice si celava la piattaforma Operation Zero, un marketplace che offriva fino a 20 milioni di dollari per exploit iOS e Android. Nel settembre 2023, Operation Zero pubblicò un annuncio che aumentava la ricompensa da 200.000 a 20 milioni di dollari per strumenti di hacking unici: fu questo post che gli investigatori identificarono come prova corrispondente nella corrispondenza di Williams.

Il primo accordo gli fruttò 240.000 dollari, incluso un bonus per il supporto al codice e gli aggiornamenti. Le parti concordarono un totale di 4 milioni di dollari, ma lui ne ricevette solo 1,3 milioni. Dopo aver consegnato gli exploit, Williams notò persino che parte del suo codice veniva utilizzato da un broker sudcoreano, sebbene ufficialmente lo avesse venduto a un altro Paese: l’origine di questa rivendita rimane poco chiara.

Nell’ottobre 2024, Trenchant scoprì una fuga di notizie su uno dei suoi prodotti: un componente software era finito nelle mani di una terza parte non autorizzata. Williams fu nominato responsabile dell’indagine interna e dichiarò che non c’erano prove di un attacco informatico, ma che un “ex dipendente” avrebbe connesso senza autorizzazione un dispositivo isolato a Internet.

Nel febbraio 2025, licenziò lo sviluppatore, accusandolo di “doppio gioco” e di furto di exploit per Chrome, nonostante lavorasse esclusivamente sulle vulnerabilità di iOS. In seguito, lo sviluppatore ricevette una notifica da Apple riguardo a un tentativo di hackerare il suo iPhone utilizzando uno spyware a pagamento. In un’intervista, lo sviluppatore dichiarò di sospettare che Williams lo avesse intenzionalmente incastrato per coprire le proprie azioni.

L’FBI rintracciò Williams nell’estate del 2025. Durante l’interrogatorio, suggerì di poter rubare prodotti da una rete protetta scaricandoli su un “air gap device”, ovvero un computer senza accesso a Internet. Come si scoprì in seguito, era esattamente ciò che aveva fatto. Ad agosto, dopo essere stato messo a confronto con le prove, Williams confessò il furto e la cessione degli strumenti a terzi.

Il Dipartimento di Giustizia degli Stati Uniti ha stimato le perdite di L3Harris in 35 milioni di dollari, osservando che il trasferimento di strumenti così sofisticati avrebbe potuto consentire a governi stranieri di condurre attacchi informatici contro “numerose vittime ignare”. Ogni accusa prevede una pena massima di 10 anni di carcere e una multa fino a 250.000 dollari o il doppio dell’importo dei profitti illeciti. Sulla base delle linee guida federali, il giudice imporrà una pena detentiva da sette anni e tre mesi a nove anni. Williams sarà inoltre condannato a pagare una multa fino a 300.000 dollari e a un risarcimento di 1,3 milioni di dollari. È agli arresti domiciliari fino a gennaio 2026, data prevista per la sentenza.

Ex dipendenti di Trenchant hanno definito le sue azioni un tradimento degli interessi statunitensi e un duro colpo alla fiducia nel settore. Un ingegnere ha affermato che il trasferimento di tali strumenti in un altro Paese “mina le fondamenta della sicurezza informatica occidentale e potrebbe essere utilizzato contro le stesse entità per cui questi sviluppi sono stati creati”.

La storia di Williams è diventata un evento di grande risonanza per l’intera comunità della sicurezza offensiva. Molti esperti riconoscono che questo incidente ha messo in luce le debolezze del sistema di controllo degli accessi interno per gli sviluppi classificati e ha dimostrato che anche un elevato livello di fiducia non protegge dalle minacce interne .

L'articolo Otto 0day dal valore di 35 milioni di dollari venduti alla Russia da insider USA proviene da Red Hot Cyber.