INTRODUÇÃO: O governo dos Estados Unidos anunciou nesta terça-feira sanções contra duas empresas especializadas na aquisição e revenda de explorações zero-day, vulnerabilidades de software desconhecidas pelos desenvolvedores que podem ser usadas para hackear sistemas. As medidas visam combater ameaças à segurança nacional, política externa e economia americana, conforme explicaram autoridades do Tesouro.
DESENVOLVIMENTO: A primeira empresa sancionada é a Operation Zero, firma russa fundada em 2021 que ganhou notoriedade em 2023 ao oferecer até US$ 20 milhões por zero-days em dispositivos Android e iPhone, e posteriormente US$ 4 milhões por vulnerabilidades no Telegram. A empresa afirma trabalhar exclusivamente com o governo russo e organizações locais, mas o Escritório de Controle de Ativos Estrangeiros (OFAC) alerta que seus clientes poderiam usar essas ferramentas para ataques de ransomware ou outras atividades maliciosas.
O fundador da Operation Zero, Sergey Zelenyuk, também foi sancionado, acusado de vender explorações para agências de inteligência estrangeiras e buscar desenvolver tecnologias de spyware e hacking. Segundo o Tesouro, Zelenyuk recrutou hackers e estabeleceu relações com essas agências através de redes sociais. A empresa adquiriu pelo menos oito ferramentas cibernéticas proprietárias, criadas para uso exclusivo do governo americano e aliados, que foram roubadas de uma empresa dos EUA e vendidas a usuários não autorizados.
CONCLUSÃO: As sanções representam um esforço coordenado do governo americano para conter o mercado negro de vulnerabilidades zero-day, que representa um risco crescente para a segurança global. A ação coincide com uma investigação do FBI sobre outro indivíduo ligado ao setor, reforçando o compromisso dos EUA em proteger seus ativos tecnológicos e combater ameaças cibernéticas patrocinadas por estados.
