كيف سرق رئيس L3Harris Trenchant السابق وباع الثغرات السيبرانية إلى روسيا

اعترف بيتر ويليامز، المدير العام السابق لشركة Trenchant، وهي قسم من شركة L3Harris للمقاولات الدفاعية التي تطور أدوات المراقبة والقرصنة للحكومات الغربية، بأنه مذنب الأسبوع الماضي بسرقة بعض هذه الأدوات وبيعها لوسيط روسي.

أوضحت وثيقة المحكمة المرفوعة في هذه القضية، بالإضافة إلى التقارير الحصرية التي أعدتها TechCrunch والمقابلات مع زملاء ويليامز السابقين، كيف تمكن ويليامز من سرقة مآثر ذات قيمة عالية وحساسة من Trenchant.

واعترف ويليامز، وهو مواطن أسترالي يبلغ من العمر 39 عامًا والمعروف داخل الشركة باسم “Doogie”، أمام المدعين العامين بأنه سرق وباع ثمانية ثغرات، أو “Zero-days”، وهي عيوب أمنية في البرامج غير معروفة لصانعها وهي ذات قيمة كبيرة لاختراق أجهزة الهدف. وقال ويليامز إن بعض هذه الثغرات، التي سرقها من شركته الخاصة، ترينشانت، تبلغ قيمتها 35 مليون دولار، لكنه لم يتلق سوى 1.3 مليون دولار من العملات المشفرة من الوسيط الروسي. باع ويليامز مآثره الثمانية على مدار عدة سنوات، بين عامي 2022 ويوليو 2025.

بفضل منصبه وفترة عمله في شركة ترينشانت، وفقًا لوثيقة المحكمة، “حافظ ويليامز على وصول “المستخدم الفائق”” إلى الشبكة الآمنة “الداخلية، والتي يتم التحكم في الوصول إليها، والمصادق عليها متعدد العوامل” للشركة حيث تم تخزين أدوات القرصنة الخاصة بها والتي لا يمكن الوصول إليها إلا للموظفين الذين “بحاجة إلى المعرفة”.

باعتباره “مستخدمًا متميزًا”، يستطيع ويليامز عرض جميع الأنشطة والسجلات والبيانات المرتبطة بشبكة Trenchant الآمنة، بما في ذلك عمليات استغلالها، حسبما تشير وثيقة المحكمة. منحه الوصول إلى شبكة شركة ويليامز “وصولاً كاملاً” إلى المعلومات الخاصة بشركة ترينشانت والأسرار التجارية.

ومن خلال استغلال هذا الوصول واسع النطاق، استخدم ويليامز محرك أقراص ثابتًا خارجيًا محمولاً لنقل الثغرات من الشبكات الآمنة في مكاتب ترينشانت في سيدني، أستراليا، وواشنطن العاصمة، ثم إلى جهاز شخصي. وفي تلك المرحلة، أرسل ويليامز الأدوات المسروقة عبر قنوات مشفرة إلى الوسيط الروسي، وفقًا لوثيقة المحكمة.

قال موظف سابق في شركة Trenchant لديه معرفة بأنظمة تكنولوجيا المعلومات الداخلية للشركة لـ TechCrunch أن ويليامز “كان في أعلى مستويات الثقة” داخل الشركة كجزء من فريق القيادة العليا. عمل ويليامز في الشركة لسنوات، بما في ذلك قبل استحواذ L3Harris على السمت و المحور مختبرات، شقيقتان تبدأان ذلك اندمجت في ترينشانت.

وقال الموظف السابق، الذي طلب عدم الكشف عن هويته لأنه غير مصرح له بالتحدث عن عملهم في ترينشانت: “كان يُنظر إليه، في رأيي، على أنه فوق الشبهات”.

وقالوا: “لم يكن لأحد أي إشراف عليه على الإطلاق. لقد كان مسموحًا له أن يفعل الأشياء بالطريقة التي يريدها”.

وقال موظف سابق آخر، طلب أيضًا عدم ذكر اسمه، إن “الوعي العام هو أنه أيًا كان (المدير العام) فسيكون لديه حق الوصول دون قيود إلى كل شيء”.

قبل الاستحواذ، عمل ويليامز في Linchpin Labs، وقبل ذلك في مديرية الإشارات الأسترالية، وهي وكالة المخابرات الأسترالية المكلفة بالتنصت الرقمي والإلكتروني، وفقًا لما ذكرته صحيفة The Guardian البريطانية. بودكاست الأمن السيبراني الأعمال المحفوفة بالمخاطر.

ولم تستجب سارة باندا، المتحدثة باسم L3Harris، لطلب التعليق.

“أضرار جسيمة”

في أكتوبر 2024، “تم تنبيه” شركة Trenchant بأن أحد منتجاتها قد تسرب وكان في حوزة “وسيط برمجيات غير مصرح به”، وفقًا لوثيقة المحكمة. تم تعيين ويليامز مسؤولاً عن التحقيق في التسريب، الذي استبعد اختراق شبكة الشركة، لكنه وجد أن موظفًا سابقًا “دخل بشكل غير صحيح إلى الإنترنت من جهاز مثقوب بالهواء”، وفقًا لوثيقة المحكمة.

كما ذكرت TechCrunch سابقًا وحصريًا، قام ويليامز بطرد مطور Trenchant في فبراير 2025 بعد اتهامه بالعمل المزدوج. وعلم الموظف المفصول لاحقًا من بعض زملائه السابقين أن ويليامز اتهمه بسرقة برنامج Chrome Zero-Days، وهو الأمر الذي لم يتمكن من الوصول إليه منذ أن كان يعمل على تطوير برامج استغلال لأجهزة iPhone وiPad. وبحلول شهر مارس، أبلغت شركة أبل الموظف السابق بأن جهاز iPhone الخاص به قد تم استهدافه من خلال “هجوم برامج تجسس مرتزقة”.

في مقابلة مع TechCrunch، قال مطور Trenchant السابق إنه يعتقد أن ويليامز قام بتلفيق التهمة له للتغطية على أفعاله. من غير الواضح ما إذا كان المطور السابق هو نفس الموظف المذكور في وثيقة المحكمة.

في يوليو/تموز، أجرى مكتب التحقيقات الفيدرالي مقابلة مع ويليامز، الذي أخبر العملاء أن “الطريقة الأكثر ترجيحاً” لسرقة المنتجات من الشبكة الآمنة هي أن يقوم شخص لديه حق الوصول إلى تلك الشبكة بتنزيل المنتجات على “جهاز مزود بفتحات هوائية… مثل الهاتف المحمول أو محرك أقراص خارجي”. (الجهاز المفصول بالهواء هو جهاز كمبيوتر أو خادم لا يمكنه الوصول إلى الإنترنت.)

وكما تبين فيما بعد، فإن هذا هو بالضبط ما اعترف به ويليامز لمكتب التحقيقات الفيدرالي في أغسطس/آب بعد مواجهته بالأدلة على جرائمه. أخبر ويليامز مكتب التحقيقات الفيدرالي أنه تعرف على الكود الخاص به الذي يستخدمه وسيط كوري جنوبي بعد أن باعه للوسيط الروسي. ومع ذلك، لا يزال من غير الواضح كيف انتهى الأمر بشفرة Trenchant إلى الوسيط الكوري الجنوبي في البداية.

استخدم ويليامز الاسم المستعار “جون تايلور”، وهو مزود بريد إلكتروني أجنبي، وتطبيقات مشفرة غير محددة عند التفاعل مع الوسيط الروسي، على الأرجح “العملية صفر”. وهو وسيط مقره روسيا يقدم ما يصل إلى 20 مليون دولار مقابل أدوات اختراق هواتف أندرويد وآيفون، والتي يقول إنه يبيعها إلى “المنظمات الروسية الخاصة والحكومية فقط”.

كان Wired أول من أبلغ من المحتمل أن ويليامز باع الأدوات المسروقة إلى Operation Zero، نظرًا لأن وثيقة المحكمة تشير إلى منشور في سبتمبر 2023 على وسائل التواصل الاجتماعي يعلن عن زيادة في “دفعات المكافأة للوسيط الذي لم يذكر اسمه من 200000 دولار إلى 20000000 دولار”، وهو ما يطابق منشور Operation Zero على X في ذلك الوقت.

لم تستجب عملية Zero لطلب TechCrunch للتعليق.

باع ويليامز الثغرة الأولى بمبلغ 240 ألف دولار، مع وعد بدفع مبالغ إضافية بعد التأكد من أداء الأداة، وللدعم الفني اللاحق للحفاظ على تحديث الأداة. بعد هذا البيع الأولي، باع ويليامز سبع برمجيات إكسبلويت أخرى، ووافق على دفع إجمالي قدره 4 ملايين دولار، على الرغم من أنه حصل في النهاية على 1.3 مليون دولار فقط، وفقًا لوثيقة المحكمة.

هزت قضية ويليامز مجتمع الأمن السيبراني الهجومي، حيث كانت شائعات اعتقاله موضوعًا للنقاش لأسابيع، وفقًا للعديد من الأشخاص الذين يعملون في الصناعة.

يرى بعض المطلعين على الصناعة أن تصرفات ويليامز تسببت في أضرار جسيمة.

قال الموظف السابق في شركة Trenchant، الذي لديه معرفة بأنظمة تكنولوجيا المعلومات في الشركة، لـ TechCrunch: “إنها خيانة لجهاز الأمن القومي الغربي، وخيانة تجاه أسوأ أنواع التهديدات التي لدينا الآن، وهي روسيا”.

“لأن هذه الأسرار قد أعطيت لخصم سيقوض بالتأكيد قدراتنا ومن المحتمل أن يستخدمها ضد أهداف أخرى.”