O governo dos Estados Unidos anunciou sanções contra duas empresas especializadas na compra e revenda de exploits de dia zero — falhas de segurança ainda desconhecidas pelos desenvolvedores e que podem ser usadas para invadir sistemas. A medida também atinge fundadores e associados das companhias.
Segundo o Departamento do Tesouro dos Estados Unidos, as empresas atuavam como intermediárias de vulnerabilidades críticas que representam ameaça à segurança nacional, à política externa e à economia americana. As informações foram confirmadas por autoridades ao TechCrunch.
Uma das empresas sancionadas é a Operation Zero, criada em 2021 na Rússia. A companhia chamou atenção em 2023 ao anunciar recompensas de até US$ 20 milhões por falhas zero-day em Android e iPhone, além de oferecer até US$ 4 milhões por vulnerabilidades no Telegram. A empresa afirma trabalhar exclusivamente com o governo russo e organizações locais.
O Escritório de Controle de Ativos Estrangeiros (OFAC) alertou que clientes da Operation Zero poderiam usar essas ferramentas para ataques de ransomware e outras ações maliciosas.
O fundador da empresa, Sergey Zelenyuk, também foi alvo de sanções. De acordo com o Tesouro, ele teria vendido exploits a agências de inteligência estrangeiras, recrutado hackers por meio de redes sociais e buscado desenvolver spyware e tecnologias avançadas de invasão.
As sanções estão ligadas a uma investigação conduzida pelo FBI envolvendo Peter Williams, ex-executivo da L3Harris. Em outubro, Williams se declarou culpado por vender ao menos oito projetos confidenciais da empresa a um intermediário russo — posteriormente identificado pelo governo como sendo a própria Operation Zero.
Williams era gerente-geral da Trenchant, divisão da L3Harris que desenvolve ferramentas de hacking e vigilância para o governo dos EUA e parceiros da aliança Five Eyes, formada por Austrália, Canadá, Nova Zelândia e Reino Unido.
Além da Operation Zero, o Tesouro sancionou a empresa sediada nos Emirados Árabes Unidos Special Technology Services, apontada como afiliada, bem como Marina Evgenyevna Vasanovich, Azizjon Makhmudovich Mamashoyev e Oleg Vyacheslavovich Kucherov.
Kucherov é suspeito de integrar o grupo de ransomware TrickBot, já sancionado por EUA e Reino Unido. Mamashoyev é apontado como fundador da Advance Security Solutions, outra corretora de exploits atingida pelas novas medidas.
Criada no ano passado, a Advance Security Solutions oferecia recompensas de até US$ 20 milhões por falhas capazes de comprometer smartphones via mensagem de texto, além de pagar valores elevados por ferramentas de invasão voltadas a sistemas populares como Android, iPhone, Windows e Chrome.
As sanções foram aplicadas com base em uma lei federal de 2022 que autoriza punições a envolvidos em “roubos significativos de segredos comerciais”. Até o momento, os citados não responderam aos pedidos de posicionamento.
