Утечка эксплойтов: экс-менеджер L3Harris признал вину
Бывший генеральный менеджер подразделения Trenchant компании L3Harris, специализирующегося на разработке инструментов для наблюдения и взлома, Питер Уильямс признал себя виновным в краже и продаже конфиденциальных эксплойтов российскому брокеру. Информация об этом стала известна из судебных документов, эксклюзивных материалов TechCrunch и показаний бывших коллег Уильямса.
nn39-летний гражданин Австралии, известный в компании как «Дюги», признался, что похитил и продал восемь эксплойтов, или «zero-day» уязвимостей. Эти уязвимости, неизвестные разработчикам программного обеспечения, представляют огромную ценность для взлома устройств. Уильямс заявил, что некоторые из украденных им эксплойтов стоили 35 миллионов долларов, однако он получил от российского брокера лишь 1.3 миллиона долларов в криптовалюте. Продажа эксплойтов осуществлялась в течение нескольких лет, с 2022 по июль 2025 года.
nnБлагодаря своему положению и стажу работы в Trenchant, Уильямс имел «суперпользовательский доступ» к защищенной сети компании. Эта сеть, с многофакторной аутентификацией, была предназначена для хранения инструментов взлома и доступна только сотрудникам с разрешением «необходимость знать». Имея статус «суперпользователя», Уильямс мог отслеживать всю активность, журналы и данные в сети, включая эксплойты, что давало ему полный доступ к проприетарной информации и коммерческим тайнам Trenchant.
nnЗлоупотребляя своим обширным доступом, Уильямс использовал внешний портативный жесткий диск для переноса эксплойтов из защищенных сетей офисов Trenchant в Сиднее и Вашингтоне. Затем он передавал украденные инструменты российскому брокеру через зашифрованные каналы.
nnБывший сотрудник Trenchant, осведомленный о внутренних IT-системах компании, сообщил, что Уильямс входил в «высший эшелон доверия» и являлся членом команды старшего руководства. Он проработал в компании много лет, в том числе до приобретения L3Harris стартапов Azimuth и Linchpin Labs, которые затем объединились в Trenchant. По словам анонимного источника, Уильямс «воспринимался как безупречный», и за ним «никто не осуществлял никакого надзора», позволяя ему действовать по своему усмотрению.
nnЕще один бывший сотрудник отметил, что «общее понимание заключалось в том, что генеральный менеджер имел неограниченный доступ ко всему».
nnДо приобретения L3Harris, Уильямс работал в Linchpin Labs, а до этого — в Управлении радиотехнической разведки Австралии (Australian Signals Directorate), занимающемся цифровым и электронным прослушиванием.
nnВ октябре 2024 года Trenchant получила уведомление о том, что один из ее продуктов был утерян и попал в руки «неавторизованного программного брокера». Уильямс возглавил расследование инцидента, которое исключило факт взлома сети, но выявило, что бывший сотрудник «неправомерно получил доступ к интернету с изолированного устройства».
nnРанее TechCrunch эксклюзивно сообщал, что в феврале 2025 года Уильямс уволил разработчика Trenchant, обвинив его в двойной занятости. Уволенный сотрудник позже узнал от коллег, что Уильямс обвинил его в краже эксплойтов для Chrome, к которым у него не было доступа, так как он занимался разработкой эксплойтов для iPhone и iPad. В марте Apple уведомила бывшего сотрудника о том, что его iPhone стал целью «нападения шпионского ПО».
nnВ интервью TechCrunch бывший разработчик Trenchant выразил уверенность, что Уильямс подставил его, чтобы скрыть собственные действия. Неясно, является ли этот разработчик тем же лицом, что упоминается в судебных документах.
nnВ июле ФБР допросило Уильямса, который заявил агентам, что «наиболее вероятным способом» кражи продуктов из защищенной сети было бы скачивание их на «изолированное устройство, такое как мобильный телефон или внешний диск», лицом, имеющим доступ к этой сети. Именно в этом Уильямс сознался ФБР в августе, будучи представленным доказательствам своих преступлений. Он сообщил, что узнал свой код, используемый южнокорейским брокером, после того как продал его российскому. Однако остается неясным, как код Trenchant вообще оказался у южнокорейского брокера.
nnПри взаимодействии с российским брокером, предположительно Operation Zero, Уильямс использовал псевдоним «Джон Тейлор», иностранный почтовый сервис и зашифрованные приложения. Operation Zero — российский брокер, предлагающий до 20 миллионов долларов за инструменты для взлома Android- и iPhone-устройств, которые, как заявляется, продаются только «российским частным и государственным организациям».
nnWired первым сообщил, что Уильямс, вероятно, продал украденные инструменты Operation Zero, учитывая, что в судебном документе упоминается сентябрьская публикация в социальной сети о повышении «выплат за находки» брокера с 200 000 до 20 000 000 долларов, что совпадает с публикацией Operation Zero в X в то время.
nnOperation Zero не ответила на запрос TechCrunch о комментарии.
nnУильямс продал первый эксплойт за 240 000 долларов с обещанием дополнительных выплат после подтверждения эффективности инструмента и оказания технической поддержки для его обновления. После этой первой продажи он продал еще семь эксплойтов, договорившись об общей сумме в 4 миллиона долларов, хотя в итоге получил только 1.3 миллиона долларов.
nnДело Уильямса вызвало резонанс в сообществе специалистов по наступательной кибербезопасности, где слухи о его аресте обсуждались неделями. Некоторые инсайдеры отрасли считают действия Уильямса нанесшими «серьезный ущерб».
nn«Это предательство западного аппарата национальной безопасности и предательство по отношению к самому опасному типу злоумышленников, с которым мы имеем дело сегодня, — России», — заявил бывший сотрудник Trenchant, осведомленный об IT-системах компании. «Эти секреты были переданы противнику, который, несомненно, подорвет наши возможности и, возможно, даже использует их против других целей».
Комментарии
Комментариев пока нет.