Peter Williams, fostul director general al Trenchant, o divizie a contractorului de apărare L3Harris care dezvoltă instrumente de supraveghere și hacking pentru guvernele occidentale, a pledat vinovat săptămâna trecută pentru furtul unora dintre aceste instrumente și vânzarea lor unui broker rus.
Un document al instanței depus în acest caz, precum și reportaje exclusive de la TechCrunch și interviuri cu foștii colegi ai lui Williams, au explicat modul în care Williams a reușit să fure exploit-urile extrem de valoroase și sensibile de la Trenchant.
Williams, un cetățean australian de 39 de ani, cunoscut în interiorul companiei sub numele de „Doogie”, a recunoscut în fața procurorilor că a furat și a vândut opt exploit-uri, sau „zero-days”, care sunt defecte de securitate în software care sunt necunoscute producătorului acestuia și sunt extrem de valoroase pentru a pătrunde în dispozitivele unei ținte. Williams a spus că unele dintre aceste exploit-uri, pe care le-a furat de la propria sa companie, Trenchant, valorau 35 de milioane de dolari, dar a primit doar 1,3 milioane de dolari în criptomonedă de la brokerul rus.
Williams a vândut cele opt exploit-uri pe parcursul mai multor ani, între 2022 și iulie 2025.
Datorită poziției și vechimii sale la Trenchant, conform documentului instanței, Williams „a menținut acces ‘super-utilizator’” la „rețeaua securizată internă, cu acces controlat și autentificare multi-factor” a companiei, unde erau stocate instrumentele sale de hacking și la care aveau acces doar angajații cu „nevoie să știe”. Ca „super-utilizator”, Williams putea vizualiza toată activitatea, jurnalele și datele asociate cu rețeaua securizată a lui Trenchant, inclusiv exploit-urile sale, notează documentul instanței.
Accesul lui Williams la rețeaua companiei i-a oferit „acces complet” la informațiile proprietare și secretele comerciale ale lui Trenchant. Abuzând de acest acces larg, Williams a folosit un hard disk extern portabil pentru a transfera exploit-urile din rețelele securizate din birourile Trenchant din Sydney, Australia și Washington D.C., și apoi pe un dispozitiv personal. În acel moment, Williams a trimis instrumentele furate prin canale criptate brokerului rus, conform documentului instanței.
Un fost angajat Trenchant cu cunoștințe despre sistemele IT interne ale companiei a declarat pentru TechCrunch că Williams „era în eșalonul foarte înalt de încredere” în cadrul companiei, ca parte a echipei de conducere superioare. Williams a lucrat la companie timp de ani de zile, inclusiv înainte de achiziția Azimuth și Linchpin Labs de către L3Harris, două startup-uri surori care au fuzionat în Trenchant.
„În opinia mea, era perceput ca fiind deasupra oricărei suspiciuni”, a spus fostul angajat, care a cerut să rămână anonim, deoarece nu era autorizat să vorbească despre munca sa la Trenchant. „Nimeni nu-l supraveghea deloc. I se permitea să facă lucrurile așa cum voia”, au spus ei.
Un alt fost angajat, care a cerut, de asemenea, să nu fie numit, a spus că „conștientizarea generală este că oricine este [directorul general] ar avea acces nelimitat la tot.”
Înainte de achiziție, Williams a lucrat la Linchpin Labs și, înainte de asta, la Australian Signals Directorate, agenția de informații a țării însărcinată cu interceptarea digitală și electronică, potrivit podcastului de securitate cibernetică Risky Business.
Sara Banda, o purtătoare de cuvânt a L3Harris, nu a răspuns la o cerere de comentarii.
’Daune grave’
În octombrie 2024, Trenchant „a fost alertată” că unul dintre produsele sale a fost divulgat și se afla în posesia „unui broker de software neautorizat”, conform documentului instanței. Williams a fost pus la conducerea investigației privind scurgerea, care a exclus un atac asupra rețelei companiei, dar a constatat că un fost angajat „a accesat în mod necorespunzător internetul de pe un dispozitiv air-gapped”, conform documentului instanței.
După cum a raportat anterior și exclusiv TechCrunch, Williams a concediat un dezvoltator Trenchant în februarie 2025, după ce l-a acuzat că are un al doilea loc de muncă. Angajatul concediat a aflat ulterior de la unii dintre foștii săi colegi că Williams l-a acuzat că a furat zero-days Chrome, la care nu avea acces, deoarece a lucrat la dezvoltarea de exploit-uri pentru iPhone-uri și iPad-uri. Până în martie, Apple a notificat fostul angajat că iPhone-ul său a fost ținta unui „atac spyware mercenar.”
Într-un interviu cu TechCrunch, fostul dezvoltator Trenchant a spus că crede că Williams l-a înscenat pentru a-și acoperi propriile acțiuni. Nu este clar dacă fostul dezvoltator este același angajat menționat în documentul instanței.
În iulie, FBI l-a intervievat pe Williams, care le-a spus agenților că „cel mai probabil mod” de a fura produse din rețeaua securizată ar fi ca cineva cu acces la acea rețea să descarce produsele pe un „dispozitiv air-gapped […] cum ar fi un telefon mobil sau o unitate externă.” (Un dispozitiv air-gapped este un computer sau un server care nu are acces la internet.)
După cum s-a dovedit, exact asta a mărturisit Williams FBI-ului în august, după ce a fost confruntat cu dovezi ale crimelor sale.
Williams a spus FBI-ului că a recunoscut codul său fiind folosit de un broker sud-coreean după ce l-a vândut brokerului rus; cu toate acestea, rămâne neclar cum a ajuns codul lui Trenchant la brokerul sud-coreean.
Williams a folosit aliasul „John Taylor”, un furnizor de e-mail străin și aplicații criptate nespecificate atunci când a interacționat cu brokerul rus, probabil Operation Zero. Acesta este un broker cu sediul în Rusia, care oferă până la 20 de milioane de dolari pentru instrumente de hacking pentru telefoane Android și iPhone-uri, pe care spune că le vinde doar „organizațiilor private și guvernamentale rusești”.
Wired a fost primul care a raportat că Williams a vândut probabil instrumentele furate către Operation Zero, având în vedere că documentul instanței menționează o postare din septembrie 2023 pe rețelele sociale care anunță o creștere a „plăților de recompensă de la 200.000 de dolari la 20.000.000 de dolari” ale brokerului nenumit, ceea ce se potrivește cu o postare Operation Zero pe X la acea vreme.
Operation Zero nu a răspuns la cererea de comentarii a TechCrunch.
Williams a vândut primul exploit pentru 240.000 de dolari, cu promisiunea de plăți suplimentare după confirmarea performanței instrumentului și pentru asistență tehnică ulterioară pentru a menține instrumentul actualizat. După această vânzare inițială, Williams a vândut alte șapte exploit-uri, acceptând o plată totală de 4 milioane de dolari, deși a ajuns să primească doar 1,3 milioane de dolari, conform documentului instanței.
Cazul lui Williams a zguduit comunitatea de securitate cibernetică ofensivă, unde arestarea sa zvonită a fost un subiect de conversație timp de săptămâni, potrivit mai multor persoane care lucrează în industrie. Unii dintre acești insideri din industrie consideră că acțiunile lui Williams au cauzat daune grave.
„Este o trădare a aparatului de securitate națională occidentală și este o trădare față de cel mai rău tip de actor de amenințare pe care îl avem acum, care este Rusia”, a declarat fostul angajat Trenchant cu cunoștințe despre sistemele IT ale companiei pentru TechCrunch. „Pentru că aceste secrete au fost date unui adversar care cu siguranță ne va submina capacitățile și este posibil chiar să le folosească împotriva altor ținte.”