پیتر ویلیامز، مدیر کل سابق ترنچنت، بخشی از پیمانکار دفاعی L3Harris که ابزارهای نظارتی و هک را برای دولتهای غربی توسعه میدهد، هفته گذشته به جرم سرقت برخی از این ابزارها و فروش آنها به یک دلال روسی، اعتراف کرد.
یک سند دادگاهی که در این پرونده تنظیم شده، و همچنین گزارش اختصاصی خبرنگار و مصاحبه با همکاران سابق ویلیامز، توضیح میدهد که چگونه ویلیامز توانست این اکسپلویتهای بسیار ارزشمند و حساس را از ترنچنت بدزدد.
ویلیامز، یک شهروند استرالیایی ۳۹ ساله که در داخل شرکت با نام “دوگی” شناخته میشد، به دادستانها اعتراف کرد که هشت اکسپلویت یا “روز صفر” را دزدیده و فروخته است. “روز صفر”ها نقصهای امنیتی در نرمافزار هستند که برای سازنده آن ناشناخته بوده و برای هک کردن دستگاههای هدف بسیار ارزشمند هستند. ویلیامز گفت که ارزش برخی از این اکسپلویتها، که او از شرکت خود ترنچنت دزدیده بود، ۳۵ میلیون دلار بود، اما او فقط ۱.۳ میلیون دلار ارز دیجیتال از دلال روسی دریافت کرد. ویلیامز این هشت اکسپلویت را در طول چندین سال، بین سالهای ۱۳۹۹ تا تیر ۱۴۰۴، فروخت.
بر اساس سند دادگاه، ویلیامز به لطف موقعیت و سابقه خود در ترنچنت، “دسترسی ‘فوق کاربر'” به “شبکه امن داخلی، کنترلشده با دسترسی و احراز هویت چند عاملی” شرکت داشت، جایی که ابزارهای هک آن ذخیره میشدند و فقط کارمندانی که “نیاز به دانستن” داشتند به آن دسترسی داشتند.
همانطور که در سند دادگاه اشاره شده، ویلیامز به عنوان یک “فوق کاربر”، میتوانست تمام فعالیتها، گزارشها و دادههای مرتبط با شبکه امن ترنچنت، از جمله اکسپلویتهای آن را مشاهده کند. دسترسی ویلیامز به شبکه شرکت به او “دسترسی کامل” به اطلاعات اختصاصی و اسرار تجاری ترنچنت را میداد.
ویلیامز با سوء استفاده از این دسترسی گسترده، از یک هارد دیسک خارجی قابل حمل برای انتقال اکسپلویتها از شبکههای امن در دفاتر ترنچنت در سیدنی، استرالیا و واشنگتن دی سی، و سپس به یک دستگاه شخصی استفاده کرد. بر اساس سند دادگاه، ویلیامز در آن نقطه، ابزارهای دزدیده شده را از طریق کانالهای رمزگذاری شده برای دلال روسی ارسال کرد.
یکی از کارمندان سابق ترنچنت که از سیستمهای IT داخلی شرکت اطلاع داشت، به خبرنگار گفت که ویلیامز به عنوان بخشی از تیم رهبری ارشد، “در بالاترین رده اعتماد” در داخل شرکت قرار داشت. ویلیامز سالها در این شرکت کار کرده بود، از جمله قبل از اینکه L3Harris، آزیموت و لینچپین لبز، دو استارتآپ خواهر که در ترنچنت ادغام شدند را خریداری کند.
این کارمند سابق که خواست نامش فاش نشود، زیرا مجاز به صحبت در مورد کار خود در ترنچنت نبود، گفت: “به نظر من، او فراتر از هر گونه ایرادی تلقی میشد.”
آنها گفتند: “هیچکس اصلاً بر او نظارت نداشت. او تا حدی اجازه داشت کارها را به روشی که میخواهد انجام دهد.”
یکی دیگر از کارمندان سابق، که او نیز خواست نامش فاش نشود، گفت که “آگاهی عمومی این است که هر کسی که [مدیر کل] باشد، به همه چیز دسترسی نامحدود خواهد داشت.”
بر اساس پادکست امنیت سایبری Risky Business، ویلیامز قبل از تصاحب، در Linchpin Labs و قبل از آن در اداره سیگنالهای استرالیا، سازمان اطلاعاتی این کشور که وظیفه استراق سمع دیجیتال و الکترونیکی را بر عهده دارد، کار میکرد.
سارا باندا، سخنگوی L3Harris، به درخواست برای اظهار نظر پاسخ نداد.
“خسارت سنگین”
بر اساس سند دادگاه، در مهر ۱۴۰۳، به ترنچنت “هشدار داده شد” که یکی از محصولاتش نشت کرده و در اختیار “یک دلال نرمافزار غیرمجاز” است. ویلیامز مسئولیت تحقیق در مورد این نشت را بر عهده گرفت، که هک شدن شبکه شرکت را رد کرد، اما دریافت که یکی از کارمندان سابق “به طور نامناسب از یک دستگاه جدا از اینترنت به اینترنت دسترسی پیدا کرده است.”
همانطور که خبرنگار قبلاً به طور اختصاصی گزارش داده بود، ویلیامز در بهمن ۱۴۰۳، یک توسعهدهنده ترنچنت را پس از متهم کردن او به داشتن دو شغل، اخراج کرد. کارمند اخراج شده بعداً از برخی از همکاران سابق خود شنید که ویلیامز او را به سرقت روز صفرهای کروم متهم کرده است، که او به آنها دسترسی نداشت زیرا روی توسعه اکسپلویت برای آیفون و آیپد کار میکرد. تا اسفند، اپل به کارمند سابق اطلاع داد که آیفون او توسط “حمله جاسوسی مزدورانه” مورد هدف قرار گرفته است.
کارمند سابق ترنچنت در مصاحبه با خبرنگار گفت که معتقد است ویلیامز برای سرپوش گذاشتن بر اعمال خود، او را متهم کرده است. مشخص نیست که آیا کارمند سابق همان کارمندی است که در سند دادگاه به آن اشاره شده است یا خیر.
در تیرماه، FBI با ویلیامز مصاحبه کرد، ویلیامز به ماموران گفت که “محتملترین راه” برای سرقت محصولات از شبکه امن این است که شخصی با دسترسی به آن شبکه، محصولات را در یک “دستگاه جدا از اینترنت […] مانند یک تلفن همراه یا درایو خارجی” بارگیری کند. (دستگاه جدا از اینترنت، رایانه یا سروری است که به اینترنت دسترسی ندارد.)
همانطور که مشخص شد، این دقیقاً همان چیزی است که ویلیامز پس از مواجهه با شواهد جنایاتش، در مرداد ماه به FBI اعتراف کرد. ویلیامز به FBI گفت که پس از فروش کد خود به دلال روسی، متوجه شد که کد او توسط یک دلال کرهای جنوبی استفاده میشود. اگرچه، هنوز مشخص نیست که چگونه کد ترنچنت در ابتدا به دست دلال کرهای جنوبی رسید.
ویلیامز هنگام تعامل با دلال روسی، احتمالاً Operation Zero، از نام مستعار “جان تیلور”، یک ارائهدهنده ایمیل خارجی و برنامههای رمزگذاری شده نامشخص استفاده کرد. Operation Zero یک دلال مستقر در روسیه است که تا 20 میلیون دلار برای ابزارهای هک تلفنهای اندرویدی و آیفون پیشنهاد میدهد و میگوید آنها را فقط به “سازمانهای خصوصی و دولتی روسیه” میفروشد.
Wired اولین رسانهای بود که گزارش داد ویلیامز احتمالاً ابزارهای دزدیده شده را به Operation Zero فروخته است، زیرا در سند دادگاه به یک پست در شبکههای اجتماعی در شهریور ۱۴۰۲ اشاره شده است که از افزایش “پرداختهای جایزه از 200000 دلار به 20000000 دلار” خبر میدهد، که با پست Operation Zero در X در آن زمان مطابقت دارد.
Operation Zero به درخواست خبرنگار برای اظهار نظر پاسخ نداد.
ویلیامز اولین اکسپلویت را به قیمت 240000 دلار فروخت، با این قول که پس از تأیید عملکرد ابزار و برای پشتیبانی فنی بعدی برای بهروز نگه داشتن ابزار، پرداختهای بیشتری انجام خواهد شد. پس از این فروش اولیه، ویلیامز هفت اکسپلویت دیگر را فروخت و با پرداخت مجموعی 4 میلیون دلار موافقت کرد، اگرچه طبق سند دادگاه، در نهایت تنها 1.3 میلیون دلار دریافت کرد.
پرونده ویلیامز جامعه امنیت سایبری تهاجمی را تکان داده است، جایی که دستگیری شایعه شده او، طبق گفته چندین نفر که در این صنعت کار میکنند، هفتهها موضوع گفتگو بوده است.
برخی از این افراد مطلع در صنعت، اقدامات ویلیامز را باعث خسارت سنگین میدانند.
کارمند سابق ترنچنت که از سیستمهای IT شرکت اطلاع داشت، به خبرنگار گفت: “این یک خیانت به دستگاه امنیت ملی غرب است و خیانت به بدترین نوع بازیگر تهدیدآمیزی است که در حال حاضر داریم، که روسیه است.”
“زیرا این اسرار به یک دشمن داده شده است که قطعاً تواناییهای ما را تضعیف میکند و حتی به طور بالقوه از آنها علیه اهداف دیگر استفاده میکند.”
