Pīters Viljamss, bijušais aizsardzības darbuzņēmēja L3Harris nodaļas Trenchant ģenerālmenedžeris, kas izstrādā novērošanas un uzlaušanas rīkus Rietumu valdībām, pagājušajā nedēļā atzina savu vainu dažu šo rīku nozagšanā un pārdošanu Krievijas brokerim.
Lietā iesniegtajā tiesas dokumentā, kā arī TechCrunch ekskluzīvajos ziņojumos un intervijās ar Viljamsa bijušajiem kolēģiem tika paskaidrots, kā Viljamss spēja nozagt ļoti vērtīgos un sensitīvos Trenčanta varoņdarbus.
39 gadus vecais Austrālijas pilsonis Viljamss, kurš uzņēmumā bija pazīstams kā “Doogie”, prokuroriem atzina, ka ir nozadzis un pārdevis astoņas darbības jeb “nulles dienas”, kas ir programmatūras drošības trūkumi, kas nav zināmi tās ražotājam un ir ārkārtīgi vērtīgi, lai uzlauztu mērķa ierīces. Viljamss sacīja, ka daži no šiem varoņdarbiem, ko viņš nozaga no viņa paša uzņēmuma Trenchant, bija 35 miljonu dolāru vērtībā, taču viņš no Krievijas brokera saņēma tikai 1,3 miljonus dolāru kriptovalūtā. Viljamss pārdeva astoņus ekspluatācijas veidus vairāku gadu laikā no 2022. gada līdz 2025. gada jūlijam.
Pateicoties savam amatam un pilnvarām Trenčānā, saskaņā ar tiesas dokumentu Viljamss “saglabāja “superlietotāju” piekļuvi uzņēmuma “iekšējam, piekļuves kontrolētam, daudzfaktoru autentificētam” drošajam tīklam, kurā tika glabāti uzlaušanas rīki un kuram bija piekļuve tikai darbiniekiem ar “nepieciešamību zināt”.
Kā “superlietotājs” Viljamss varēja skatīt visas darbības, žurnālus un datus, kas saistīti ar Trenchant drošo tīklu, tostarp tā izmantošanu, norādīts tiesas dokumentā. Viljamsa uzņēmuma tīkla piekļuve sniedza viņam “pilnu piekļuvi” Trenchant patentētajai informācijai un komercnoslēpumiem.
Ļaunprātīgi izmantojot šo plašo piekļuvi, Viljamss izmantoja pārnēsājamu ārējo cieto disku, lai pārsūtītu ekspluatācijas datus no drošajiem tīkliem Trenčanta birojos Sidnejā, Austrālijā un Vašingtonā, un pēc tam uz personīgo ierīci. Tajā brīdī Viljamss nozagtos rīkus pa šifrētiem kanāliem nosūtīja Krievijas brokerim saskaņā ar tiesas dokumentu.
Bijušais Trenchant darbinieks ar zināšanām par uzņēmuma iekšējām IT sistēmām TechCrunch pastāstīja, ka Viljamss kā augstākās vadības komandas daļa uzņēmumā “atradās ļoti augstā uzticības ešelonā”. Viljamss bija strādājis uzņēmumā vairākus gadus, tostarp pirms L3Harris iegādes Azimuta un Linčpina laboratorijasdivi māsas jaunuzņēmumi, kas apvienojās Trenčantā.
“Manuprāt, viņš tika uztverts kā nepārspējams,” sacīja bijušais darbinieks, kurš lūdza palikt anonīms, jo viņiem nebija tiesību runāt par savu darbu Trenčantā.
“Nevienam nebija nekādas uzraudzības pār viņu vispār. Viņam sava veida tika atļauts darīt lietas tā, kā viņš gribēja,” viņi teica.
Sazinieties ar mums
Vai jums ir vairāk informācijas par šo lietu un iespējamo Trenchant hakeru rīku noplūdi? No ierīces, kas nedarbojas, varat droši sazināties ar Lorenzo Franceschi-Bicchierai, izmantojot signālu pa tālruni +1 917 257 1382 vai izmantojot Telegram, Keybase un Wire @lorenzofb vai e-pastu.
Cits bijušais darbinieks, kurš arī lūdza neatklāt savu vārdu, sacīja, ka “vispārējā apziņa ir tāda, ka kāds ir [general manager] būtu neierobežota piekļuve visam.
Pirms iegādes Viljamss strādāja Linchpin Labs, wager pirms tam plkst Austrālijas signālu direktorātsvalsts izlūkošanas aģentūra, kuras uzdevums ir digitālā un elektroniskā noklausīšanās, liecina kiberdrošības aplāde Risky Business.
Sāra Banda, L3Harris pārstāve, neatbildēja uz komentāru pieprasījumu.
“Smags kaitējums”
2024. gada oktobrī Trenchant “tika brīdināts”, ka viens no tā produktiem ir noplūdis un saskaņā ar tiesas dokumentu atrodas “neautorizēta programmatūras brokera” īpašumā. Viljamss bija atbildīgs par informācijas noplūdes izmeklēšanu, kas izslēdza uzņēmuma tīkla uzlaušanu, taču atklāja, ka kāds bijušais darbinieks “nepareizi piekļuva internetam no ierīces, kurā ir gaisa sprauga”, teikts tiesas dokumentā.
Kā TechCrunch iepriekš un tikai ziņoja, Viljamss 2025. gada februārī atlaida Trenchant izstrādātāju pēc tam, kad apsūdzēja viņu dubultā darbā. Atlaistais darbinieks vēlāk no dažiem saviem bijušajiem kolēģiem uzzināja, ka Viljamss viņu apsūdzēja Chrome nulles dienu zādzībā, kurām viņam nebija piekļuves, jo viņš strādāja pie iPhone un iPad ierīču izgudrošanas. Līdz martam Apple paziņoja bijušajam darbiniekam, ka viņa iPhone ir bijis “algotņu spiegprogrammatūras uzbrukuma” mērķis.
Intervijā ar TechCrunch bijušais Trenchant izstrādātājs sacīja, ka uzskatīja, ka Viljamss viņu rāmis, lai slēptu savas darbības. Nav skaidrs, vai bijušais izstrādātājs ir tas pats darbinieks, kas minēts tiesas dokumentā.
Jūlijā FIB intervēja Viljamsu, kurš aģentiem teica, ka “visticamākais veids”, kā nozagt produktus no drošā tīkla, būtu, ja kāds, kam ir piekļuve šim tīklam, lejupielādē produktus “ierīcē ar gaisa spraugu. […] piemēram, mobilais tālrunis vai ārējais diskdzinis. (Ierīce ar gaisa spraugu ir dators vai serveris, kuram nav piekļuves internetam.)
Kā izrādījās, tieši tā Viljamss augustā atzinās FIB pēc tam, kad tika sastapta ar pierādījumiem par saviem noziegumiem. Viljamss pastāstīja FIB, ka atpazina, ka viņa kodu izmantojis Dienvidkorejas brokeris pēc tam, kad viņš to pārdeva Krievijas brokerim; Tomēr joprojām nav skaidrs, kā Trenčanta kods nonāca pie Dienvidkorejas brokera.
Viljamss izmantoja aizstājvārdu “Džons Teilors”, ārzemju e-pasta pakalpojumu sniedzējs, un nenorādītas šifrētas lietotnes, mijiedarbojoties ar Krievijas brokeri, iespējams, operāciju Zero. Šis ir Krievijā bāzēts brokeris, kas piedāvā līdz pat 20 miljoniem dolāru Android tālruņu un iPhone tālruņu uzlaušanas rīkiem, ko, pēc tā teiktā, pārdod “tikai Krievijas privātajām un valdības organizācijām”.
Wired bija pirmais, kas ziņoja ka Viljamss, iespējams, pārdeva nozagtos rīkus operācijai Zero, ņemot vērā, ka tiesas dokumentā ir minēts 2023. gada septembra ieraksts sociālajos medijos, kurā tika paziņots par nenosauktā brokera “balvu izmaksu palielināšanu no 200 000 USD līdz 20 000 000 USD”, kas atbilst. operācijas nulles ziņa X tajā laikā.
Operācija Zero neatbildēja uz TechCrunch pieprasījumu sniegt komentārus.
Williams pārdeva pirmo eksploziju par 240 000 USD, solot veikt papildu maksājumus pēc rīka veiktspējas apstiprināšanas un turpmāko tehnisko atbalstu, lai rīks būtu atjaunināts. Pēc šīs sākotnējās pārdošanas Viljamss pārdeva vēl septiņas darbības, piekrītot kopējai samaksai 4 miljonu ASV dolāru apmērā, lai gan saskaņā ar tiesas dokumentu viņš saņēma tikai 1,3 miljonus ASV dolāru.
Viljamsa lieta ir satricinājusi aizskarošu kiberdrošības kopienu, kur, saskaņā ar vairākiem šajā nozarē strādājošiem cilvēkiem, par viņa baumu apcietināšanu bija runāts vairākas nedēļas.
Daži no šiem nozares pārstāvjiem uzskata, ka Viljamsa darbības rada nopietnus zaudējumus.
“Tā ir nodevība pret Rietumu nacionālās drošības aparātu, un tā ir nodevība pret ļaunāko apdraudējuma dalībnieku, kāds mums šobrīd ir, proti, Krieviju,” sarunā ar TechCrunch sacīja bijušais Trenchant darbinieks, kuram ir zināšanas par uzņēmuma IT sistēmām.
“Tāpēc, ka šie noslēpumi ir nodoti pretiniekam, kas noteikti iedragās mūsu spējas un, iespējams, pat izmantos tos pret citiem mērķiem.”
