Питер Уильямс, бывший генеральный менеджер Trenchant, подразделения оборонного подрядчика L3Harris, которое разрабатывает инструменты для слежки и взлома для западных правительств, на прошлой неделе признал себя виновным в краже некоторых из этих инструментов и продаже их российскому посреднику.
Судебный документ, поданный по делу, а также эксклюзивный репортаж TechCrunch и интервью с бывшими коллегами Уильямса объясняют, как Уильямсу удалось украсть у Тренчанта чрезвычайно ценные и конфиденциальные эксплойты.
Уильямс, 39-летний гражданин Австралии, известный в компании под псевдонимом «Doogie», признался прокурорам, что украл и продал восемь эксплойтов, или уязвимостей «нулевого дня», которые представляют собой уязвимости безопасности программного обеспечения, неизвестные его создателю и чрезвычайно ценные для взлома устройств жертвы. Уильямс заявил, что некоторые из этих эксплойтов, украденных им у собственной компании Trenchant, стоили 35 миллионов долларов, но он получил от российского брокера только 1,3 миллиона долларов в криптовалюте. Уильямс продал эти восемь эксплойтов в течение нескольких лет, с 2022 по июль 2025 года.
Согласно судебному документу, благодаря своей должности и работе в Trenchant Уильямс «сохранял права «суперпользователя» к «внутренней, контролируемой, многофакторной аутентификации» защищенной сети компании, где хранились ее хакерские инструменты и к которой имели доступ только сотрудники, которым «это было необходимо».
В качестве «суперпользователя» Уильямс мог просматривать всю активность, журналы и данные, связанные с защищённой сетью Trenchant, включая её эксплойты, отмечается в судебном документе. Доступ Уильямса к корпоративной сети давал ему «полный доступ» к конфиденциальной информации и коммерческим секретам Trenchant.
Пользуясь этим широким доступом, Уильямс использовал портативный внешний жёсткий диск для переноса эксплойтов из защищённых сетей офисов Тренчанта в Сиднее (Австралия) и Вашингтоне (округ Колумбия), а затем на персональное устройство. После этого Уильямс отправил украденные инструменты по зашифрованным каналам российскому брокеру, согласно судебному документу.
Бывший сотрудник Trenchant, знакомый с внутренними IT-системами компании, рассказал TechCrunch, что Уильямс «находился в очень высоком эшелоне доверия» в компании, входя в команду высшего руководства. Уильямс работал в компании много лет, в том числе до приобретения L3Harris Azimuth и Linchpin Labs, двух родственных стартапов, которые объединились в Trenchant.
«По моему мнению, он был безупречен», — сказал бывший сотрудник, пожелавший остаться анонимным, поскольку он не был уполномочен рассказывать о своей работе в Trenchant.
«За ним вообще никто не следил. Ему как бы позволяли делать всё, что он хотел», — сказали они.
Связаться с нами
Есть ли у вас дополнительная информация об этом деле и предполагаемой утечке хакерских инструментов Trenchant? С нерабочего устройства вы можете связаться с Лоренцо Франчески-Биккьераи по безопасному номеру Signal +1 917 257 1382, через Telegram, Keybase и Wire @lorenzofb или по электронной почте.
Другой бывший сотрудник, также пожелавший остаться анонимным, сказал, что «все понимают, что любой, кто является [генеральным менеджером], будет иметь неограниченный доступ ко всему».
По данным подкаста о кибербезопасности Risky Business, до приобретения Уильямс работал в Linchpin Labs, а еще раньше — в Австралийском управлении радиоэлектронной разведки — разведывательном агентстве страны, которому поручено цифровое и электронное прослушивание.
Сара Банда, представитель L3Harris, не ответила на просьбу прокомментировать ситуацию.
«Серьёзный ущерб»
В октябре 2024 года компания Trenchant «получила уведомление» об утечке одного из своих продуктов, который оказался во владении «неавторизованного посредника по распространению программного обеспечения», говорится в судебном документе. Уильямс был назначен ответственным за расследование утечки. Расследование исключило взлом сети компании, но установило, что бывший сотрудник «несанкционированно получил доступ к интернету с устройства, изолированного от сети», говорится в судебном документе.
Как ранее сообщал TechCrunch, Уильямс уволил разработчика Trenchant в феврале 2025 года, обвинив его в двойной занятости. Позже уволенный сотрудник узнал от некоторых своих бывших коллег, что Уильямс обвинил его в краже уязвимостей нулевого дня Chrome, к которым у него не было доступа, поскольку он работал над разработкой эксплойтов для iPhone и iPad. К марту Apple уведомила бывшего сотрудника, что его iPhone подвергся «атаке с использованием шпионского ПО наёмников».
В интервью TechCrunch бывший разработчик Trenchant заявил, что, по его мнению, Уильямс подставил его, чтобы скрыть свои действия. Неясно, является ли бывший разработчик тем же сотрудником, о котором говорится в судебном документе.
В июле ФБР допросило Уильямса, который сообщил агентам, что «наиболее вероятным способом» кражи продуктов из защищённой сети будет загрузка продуктов кем-либо, имеющим доступ к этой сети, на «изолированное устройство… например, мобильный телефон или внешний накопитель». (Изолированное устройство — это компьютер или сервер, не имеющий доступа к Интернету.)
Как выяснилось, именно в этом Уильямс признался ФБР в августе, когда ему предъявили доказательства его преступлений. Уильямс сообщил ФБР, что узнал, что его код использовался южнокорейским брокером после того, как он продал его российскому брокеру; однако остаётся неясным, как код Тренчанта вообще оказался у южнокорейского брокера.
Уильямс использовал псевдоним «Джон Тейлор», иностранный провайдер электронной почты и неуказанные зашифрованные приложения для взаимодействия с российским брокером, вероятно, Operation Zero. Этот российский брокер предлагает до 20 миллионов долларов за инструменты для взлома телефонов Android и iPhone, которые, по его словам, продаются «только российским частным и государственным организациям».
Издание Wired первым сообщило, что Уильямс, вероятно, продал украденные инструменты компании Operation Zero, поскольку в судебном документе упоминается пост в социальных сетях от сентября 2023 года, в котором сообщалось об увеличении «выплат вознаграждения» неназванного брокера с 200 000 до 20 000 000 долларов США, что соответствует посту Operation Zero на сайте X того же времени.
Operation Zero не отреагировала на просьбу TechCrunch прокомментировать ситуацию.
Уильямс продал первый эксплойт за 240 000 долларов, пообещав дополнительные выплаты после подтверждения работоспособности инструмента, а также техническую поддержку для его обновления. После этой первой продажи Уильямс продал ещё семь эксплойтов, согласившись на общую сумму в 4 миллиона долларов, хотя в итоге получил только 1,3 миллиона долларов, согласно судебному документу.
По словам многочисленных людей, работающих в этой отрасли, дело Уильямса всколыхнуло сообщество специалистов по кибербезопасности, где слухи о его аресте обсуждались на протяжении нескольких недель.
Некоторые из этих инсайдеров отрасли считают, что действия Уильямса наносят серьезный ущерб.
«Это предательство по отношению к западному аппарату национальной безопасности, а также по отношению к наихудшему источнику угроз, с которым мы сталкиваемся сейчас, то есть к России», — заявил изданию TechCrunch бывший сотрудник Trenchant, знакомый с ИТ-системами компании.
«Потому что эти секреты были переданы противнику, который, несомненно, намерен подорвать наши возможности и потенциально может даже использовать их против других целей».
Источник: techcrunch.com
