Trenchant 是國防承包商 L3Harris 的一個部門,為西方政府開發監控和黑客工具,該公司的前董事總經理彼得·威廉姆斯 (Peter Williams) 上周承認竊取其中一些工具並將其出售給俄羅斯中間人。
本案提交的法庭文件以及 TechCrunch 的獨家報導以及對 Williams 前同事的採訪,解釋了 Williams 如何從 Trenchant 竊取高價值且敏感的漏洞。
威廉姆斯是一名 39 歲的澳大利亞公民,在公司內被稱為“Doogie”,他向檢察官承認,他竊取並出售了八個漏洞,即“零日漏洞”,這些漏洞是軟件製造商未知的安全漏洞,對於侵入目標設備非常有價值。威廉姆斯表示,他從自己的公司 Trenchant 竊取的一些漏洞價值 3500 萬美元,但他只從俄羅斯經紀人那裡收到了 130 萬美元的加密貨幣。威廉姆斯在 2022 年至 2025 年 7 月期間出售了他的八項功績。
法庭文件顯示,由於威廉姆斯在 Trenchant 的職位和任期,他“保留了對公司“內部、訪問控制、多因素身份驗證”安全網絡的“超級用戶”訪問權限,該網絡存儲了其黑客工具,並且只有“需要知道”的員工才能訪問。
法庭文件稱,作為“特權用戶”,Williams 可以查看與安全 Trenchant 網絡相關的所有活動、日誌和數據,包括其漏洞。通過訪問 Williams 的公司網絡,他可以“完全訪問”Trenchant 的私人信息和商業秘密。
利用這種廣泛的訪問權限,Williams 使用外部便攜式硬盤將漏洞從澳大利亞悉尼和華盛頓特區 Trenchant 辦公室的安全網絡傳輸到個人設備。根據法庭文件,威廉姆斯當時通過加密渠道將被盜工具發送給俄羅斯中間人。
一位了解公司內部 IT 系統的前 Trenchant 員工告訴 TechCrunch,作為高級領導團隊的一員,Williams 在公司內部“受到了最高程度的信任”。 Williams 已在該公司工作多年,包括在被 L3Harris 收購之前 方位角f 軸 實驗室,兩姐妹開始 併入Trenchant。
“在我看來,他是無可懷疑的,”這位前僱員說,他要求匿名,因為他無權談論他們在 Trenchant 的工作。
“根本沒有人對他進行任何監督。他被允許按照他想要的方式做事,”他們說。
聯繫我們
您是否了解有關此案以及涉嫌洩露 Trenchant 黑客工具的更多信息?在非工作設備上,您可以通過 Signal(電話 +1 917 257 1382)、通過 Telegram、Keybase、Wire@lorenzofb 或電子郵件安全地聯繫 Lorenzo Franceschi-Bicchierai。
另一位要求匿名的前員工表示:“人們普遍認為,無論是誰(總經理)都可以不受限制地接觸一切。”
據《衛報》報導,在收購之前,威廉姆斯曾在 Linchpin Labs 工作,此前曾在澳大利亞信號局工作,該機構是澳大利亞負責數字和電子竊聽的情報機構。 網絡安全播客風險業務。
L3Harris 的發言人 Sarah Panda 沒有回應置評請求。
“嚴重受損”
根據法庭文件,2024 年 10 月,Trenchant 收到“警報”,稱其一款產品已洩露,並由“未經授權的軟件中介機構”擁有。法庭文件顯示,威廉姆斯負責此次洩密調查,排除了對公司網絡的黑客攻擊,但發現一名前僱員“通過牆上的洞設備不當訪問互聯網”。
正如 TechCrunch 此前獨家報導的那樣,Williams 在指控 Trenchant 開發人員雙重職責後於 2025 年 2 月解雇了他。這名被解僱的員工後來從一些前同事那裡得知,威廉姆斯指控他竊取了 Chrome 零日軟件,但由於他正在為 iPhone 和 iPad 開發漏洞,因此他無法訪問該軟件。到了 3 月份,蘋果公司通知這位前員工,他的 iPhone 已成為“僱傭間諜軟件攻擊”的目標。
在接受 TechCrunch 採訪時,這位前 Trenchant 開發者表示,他相信 Williams 陷害他是為了掩蓋他的行為。目前尚不清楚前開發商是否是法庭文件中提到的同一名員工。
7 月,聯邦調查局採訪了威廉姆斯,他告訴特工,從安全網絡中竊取產品的“最有可能的方式”是讓有權訪問該網絡的人將產品下載到“通風設備……例如手機或外部驅動器”。 (硬連線設備是無法訪問 Internet 的計算機或服務器。)
事實證明,這正是威廉姆斯八月份在面對犯罪證據後向聯邦調查局承認的事實。威廉姆斯告訴聯邦調查局,在他將代碼賣給俄羅斯經紀人後,他意識到自己的代碼被一名韓國經紀人使用。然而,目前還不清楚 Trenchant 代碼最終是如何落入韓國經紀商手中的。
威廉姆斯在與俄羅斯中介機構交互時使用了外國電子郵件提供商的別名“約翰·泰勒”和未指定的加密應用程序,可能是“零號行動”。這是一家總部位於俄羅斯的經紀商,提供高達 2000 萬美元的 Android 和 iPhone 黑客工具,並稱其僅向“俄羅斯私人和政府組織”出售這些工具。
《連線》率先報導 威廉姆斯很可能將被盜工具賣給了“零號行動”,因為法庭文件引用了 2023 年 9 月的社交媒體帖子,宣布“向未透露姓名的中間人支付的報酬從 20 萬美元增加到 2000 萬美元”,這與 X 上的零號行動 當時。
零號行動沒有回應 TechCrunch 的置評請求。
Williams 以 240,000 美元的價格出售了第一個漏洞,並承諾在確認該工具的性能後提供額外付款,並提供後續技術支持以保持該工具的更新。根據法庭文件,在首次出售之後,威廉姆斯又出售了 7 個漏洞,同意支付總計 400 萬美元,但他最終只收到了 130 萬美元。
幾位業內人士表示,威廉姆斯的案件震驚了網絡安全界,有關他被捕的傳言已成為該界討論的話題數週。
一些業內人士認為威廉姆斯的行為造成了嚴重損害。
“這是對西方國家安全機構的背叛,也是對我們現在面臨的最嚴重威脅的背叛,即俄羅斯,”這位熟悉該公司 IT 系統的前 Trenchant 員工告訴 TechCrunch。
“因為這些秘密已經交給了對手,他肯定會削弱我們的能力,並可能利用它們來攻擊其他目標。”
