Cum a ajuns un șef al contractorului american L3Harris să vândă rușilor instrumente de hacking de milioane de dolari

Un fost executiv de top în domeniul securității cibernetice, despre care procurorii spun că a „trădat” Statele Unite, va petrece cel puțin următorii șapte ani în închisoare, după ce a pledat vinovat că a furat și a vândut unor intermediari ruși instrumente de hacking și supraveghere.

Peter Williams, fost director executiv al contractorului american de apărare L3Harris, a fost condamnat marți la 87 de luni de detenție pentru că a divulgat secrete comerciale ale fostei sale companii, în schimbul a 1,3 milioane de dolari în criptomonede, între 2022 și 2025. Williams a vândut exploatările către Operation Zero, pe care guvernul SUA o descrie drept „unul dintre cei mai nefaste brokeri de exploatări din lume”.

Condamnarea lui Williams încheie unul dintre cele mai mediatizate cazuri de scurgere de instrumente sensibile de hacking occidentale din ultimii ani. Chiar și acum, după finalizarea procesului, rămân încă multe întrebări fără răspuns.

Williams, cetățean australian în vârstă de 39 de ani, care locuia la Washington, D.C., era director general al Trenchant, divizia L3Harris care dezvoltă instrumente de hacking și supraveghere pentru guvernul SUA și cei mai apropiați parteneri globali de informații. Potrivit procurorilor, Williams a profitat de „accesul deplin” la rețelele securizate ale companiei pentru a descărca instrumentele de hacking pe un hard disk portabil, apoi pe computerul său. El a contactat Operation Zero sub un pseudonim, astfel că nu este clar dacă această firmă a știut vreodată adevărata sa identitate.

Trenchant este o echipă de hackeri și vânători de vulnerabilități care analizează în profunzime programe populare realizate de companii precum Google și Apple. Ei identifică defecte în milioanele de linii de cod și apoi concep tehnici prin care aceste defecte pot fi transformate în exploatări funcționale, capabile să compromită în mod fiabil acele produse. Astfel de instrumente sunt numite, de regulă, exploatări de tip „zero-day”, pentru că se bazează pe vulnerabilități necunoscute dezvoltatorului software și pot valora milioane de dolari.

Departamentul de Justiție al SUA a susținut că instrumentele de hacking vândute de Williams ar fi putut permite celui care le folosea să „accesese potențial milioane de computere și dispozitive din întreaga lume”.

Timp de câteva luni, autorul relatării a discutat cu surse și a documentat cazul lui Williams, înainte ca în spațiul public să apară știrea arestării acestuia. Informațiile obținute erau fragmentare și uneori contradictorii. Se știa că cineva fusese arestat, însă, având în vedere natura secretă a activității de dezvoltare a exploatărilor, era dificil de demonstrat ceva concret.

La început, nici măcar nu era clar dacă numele „Williams” fusese reținut corect. Povestea lui circula doar ca un zvon, într-o rețea discretă de dezvoltatori și vânzători de exploatări zero-day și persoane cu legături în comunitatea de informații. Se zvonea că poate îl chema John sau, poate, Duggan, ori alte variante apropiate de aceste nume în limba engleză.

Primele zvonuri erau puternic contradictorii. Se spunea că a furat zero-day-uri de la Trenchant. Că le-a vândut Rusiei. Sau, după alte versiuni, unui alt adversar al Statelor Unite și al aliaților lor, cum ar fi Coreea de Nord sau China.

A fost nevoie de săptămâni doar pentru a confirma existența unei persoane care să corespundă descrierii. S-a dovedit ulterior că al doilea prenume al lui Williams este John, iar „Doogie” este porecla lui în cercurile de hackeri.

Pe măsură ce săptămânile de documentare au trecut, lucrurile au început să se clarifice. În octombrie, a fost dezvăluit că Trenchant concediase un angajat după ce Williams, pe atunci încă șef al diviziei, îl acuzase că a furat și a scurs exploatări zero-day pentru Chrome. Povestea devenea și mai surprinzătoare când acel angajat a declarat că, după concediere, a primit de la Apple o notificare conform căreia cineva îi vizase iPhone-ul personal.

Ceea ce se aflase până atunci era doar vârful aisbergului. Sursele ofereau tot mai multe detalii, însă puzzle-ul era departe de a fi complet.

La scurt timp, procurorii au formulat prima acuzație oficială împotriva unui bărbat numit Peter Williams, pentru furt de secrete comerciale, acuzație consemnată în documentele publice ale unei instanțe americane. În acest prim document, procurorii confirmau că cumpărătorul secretelor comerciale era un client din Rusia.

Totuși, nu era menționată explicit L3Harris sau Trenchant și nici faptul că secretele comerciale furate erau exploatări zero-day. Esențial, nu se putea confirma cu certitudine că era vorba chiar despre acel Peter Williams, despre care se credea că are acces la exploatări extrem de sensibile ca șef al Trenchant, și nu de un caz grav de confuzie de identitate.

Adevărul nu era încă pe deplin stabilit. Autorul a decis, pe baza unei intuiții și fără a avea mare lucru de pierdut, să contacteze Departamentul de Justiție pentru a cere confirmarea că persoana din document este Peter Williams, fostul șef al L3Harris Trenchant. Un purtător de cuvânt a confirmat.

Abia atunci povestea a devenit publică. La o săptămână după aceea, Williams a pledat vinovat.

La începutul investigației, deși sursele păreau de încredere, exista încă un grad de scepticism: de ce ar face cineva ca Williams ceea ce sugerau zvonurile? Potrivit procurorilor, el a făcut-o pentru bani, pe care i-ar fi folosit ulterior pentru a cumpăra o casă, bijuterii și ceasuri de lux.

Este o cădere spectaculoasă pentru Williams, care fusese considerat un hacker strălucit și respectat, și mai ales pentru cineva care lucrase anterior la principala agenție de spionaj extern a Australiei și servise în armata acestei țări.

Nici până acum nu se știe exact ce exploatări și ce instrumente de hacking a furat și a vândut Williams. În documentele depuse în instanță, Trenchant a estimat pierderile la 35 de milioane de dolari, dar a precizat că instrumentele furate nu erau clasificate ca secrete guvernamentale.

Totuși, pe baza circumstanțelor, se pot trage unele concluzii. Având în vedere că Departamentul de Justiție a afirmat că instrumentele furate puteau fi folosite pentru a ataca „milioane de computere și dispozitive”, este probabil ca acestea să fi vizat zero-day-uri în software de larg consum, cum ar fi dispozitive Android, iPhone-uri și iPad-uri de la Apple, precum și browsere web.

Există și indicii punctuale în această direcție. În timpul unei audieri de anul trecut, procurorii au citit cu voce tare o postare publicată pe X de Operation Zero. Postarea spunea: „Din cauza cererii ridicate pe piață, mărim plățile pentru exploatările mobile de top”. Mesajul menționa explicit Android și iOS și adăuga: „Ca întotdeauna, utilizatorul final este o țară non-NATO.”

Operation Zero oferă sume de ordinul milioanelor de dolari pentru detalii despre vulnerabilități de securitate în dispozitive Android și iPhone, în aplicații de mesagerie precum Telegram, dar și în alte tipuri de software, cum ar fi Microsoft Windows, și în produse hardware, inclusiv anumite mărci de servere și routere.

Compania afirmă că lucrează cu guvernul rus. În momentul în care Williams a vândut exploatările brokerului rus, invazia la scară largă a Ucrainei de către Rusia era deja în desfășurare.

În aceeași zi în care Williams a fost condamnat, Trezoreria SUA a anunțat impunerea de sancțiuni împotriva Operation Zero și a fondatorului acesteia, Sergey Zelenyuk, catalogând compania drept o amenințare la adresa securității naționale. Acesta a fost primul moment în care autoritățile americane au confirmat public că Williams a vândut exploatările către Operation Zero.

În declarația sa, Trezoreria a precizat că brokerul „a vândut acele instrumente furate către cel puțin un utilizator neautorizat”. Deocamdată, identitatea acestui utilizator este necunoscută. Ar putea fi un serviciu de informații străin sau, la fel de bine, o grupare de ransomware, având în vedere că Trezoreria l-a sancționat în același timp și pe Oleg V. Kucherov, presupus membru al grupării Trickbot, despre care se spune că ar fi colaborat cu Operation Zero.

Într-un document de instanță, procurorii au explicat că L3Harris a reușit să constate că „un furnizor neautorizat vindea un component” al unuia dintre secretele comerciale furate, după ce a comparat date interne specifice furnizorilor, identificate într-un modul sustras, care corespundeau cu cele din sistemele companiei.

Procurorii au mai arătat că Williams „a recunoscut cod pe care l-a scris și vândut” către Operation Zero „fiind utilizat de un broker sud-coreean”, sugerând în continuare că atât L3Harris, cât și acuzarea știu care instrumente au fost furate și apoi revândute prin intermediul Operation Zero.

O altă întrebare rămasă în aer este dacă cineva – fie guvernul SUA, fie L3Harris – a avertizat Apple, Google sau alte companii de tehnologie ale căror produse erau vulnerabile la aceste zero-day-uri, odată ce exploatările au scăpat de sub control.

Orice companie sau dezvoltator ar dori să știe dacă cineva ar fi putut folosi (sau încă poate folosi) o zero-day împotriva utilizatorilor și clienților săi, pentru a putea remedia vulnerabilitățile cât mai rapid. În plus, pentru L3Harris și clienții săi guvernamentali, aceste zero-day-uri nu mai au practic utilitate, din moment ce au fost compromise.

Întrebate direct, Apple și Google nu au oferit niciun răspuns. Nici L3Harris nu a comentat.

La fel de tulbure rămâne și episodul „țapului ispășitor” – angajatul concediat după ce Williams l-a acuzat că ar fi furat și divulgat cod.

La pronunțarea sentinței, procurorii Departamentului de Justiție au confirmat concedierea acestui angajat, afirmând că Williams „a stat cu brațele încrucișate în timp ce un alt angajat al companiei a fost practic învinuit pentru propria [sa] conduită”. Avocatul lui Williams a contestat însă această afirmație, susținând că fostul angajat „a fost concediat pentru abatere disciplinară”, invocând acuzații de dublă angajare și gestionare necorespunzătoare a proprietății intelectuale a companiei.

Potrivit unui document depus de avocații lui Williams, în cadrul investigației interne a L3Harris, compania l-a suspendat pe acel angajat, i-a confiscat dispozitivele, le-a transferat în Statele Unite și „le-a pus la dispoziția FBI”.

Contactat pentru comentarii, un purtător de cuvânt al FBI, care a dorit să rămână anonim, a declarat că biroul nu are nimic de adăugat în afara comunicatului de presă emis de Departamentul de Justiție.

După concediere, angajatul – identificat sub pseudonimul Jay Gibson – a primit de la Apple o notificare conform căreia iPhone-ul său personal a fost vizat „cu un atac de tip spyware mercenar”.

Apple trimite astfel de notificări utilizatorilor pe care îi consideră ținte ale unor atacuri realizate cu instrumente similare celor dezvoltate de companii precum NSO Group sau Intellexa.

Rămâne neclar cine a încercat să îl hackuiască pe Gibson. El a primit notificarea pe 5 martie 2025, la mai bine de șase luni după începerea investigației FBI. Biroul „a interacționat regulat cu [Williams] de la sfârșitul lui 2024 până în vara lui 2025”, conform unui document depus în instanță.

Având în vedere natura instrumentelor scurse, este plauzibil ca FBI sau chiar o agenție de informații americană să-l fi vizat pe Gibson ca parte a investigației privind scurgerile provocate de Williams. Totuși, acest lucru nu poate fi demonstrat în prezent și există șanse mari ca nici publicul, nici Gibson să nu afle vreodată adevărul complet.