سيقضي مسؤول تنفيذي مخضرم في مجال الأمن السيبراني، قال ممثلو الادعاء إنه “خان” الولايات المتحدة، السنوات السبع المقبلة على الأقل خلف القضبان، بعد اعترافه بالذنب في سرقة وبيع أدوات القرصنة والمراقبة لشركة روسية.
حُكم على بيتر ويليامز، المدير التنفيذي السابق في شركة L3Harris لمقاول الدفاع الأمريكي، يوم الثلاثاء بالسجن لمدة 87 شهرًا بتهمة تسريب الأسرار التجارية لشركته السابقة مقابل 1.3 مليون دولار من العملات المشفرة بين عامي 2022 و2025. وباع ويليامز هذه الثغرات إلى Operation Zero، التي تصفها الحكومة الأمريكية بأنها “واحدة من أخطر وسطاء الاستغلال في العالم”.
وتأتي إدانة ويليامز الناجحة في أعقاب واحدة من أبرز التسريبات لأدوات القرصنة الحساسة المصنوعة في الغرب في السنوات الأخيرة. وحتى الآن بعد أن انتهت القضية، لا تزال هناك أسئلة دون إجابة.
ويليامز، وهو مواطن أسترالي يبلغ من العمر 39 عامًا ويقيم في واشنطن العاصمة، كان المدير العام لشركة Trenchant، قسم L3Harris الذي يطور أدوات القرصنة والمراقبة للحكومة الأمريكية وأقرب شركائها الاستخباراتيين العالميين. ويقول ممثلو الادعاء إن ويليامز استغل “الوصول الكامل” إلى الشبكات الآمنة للشركة لتنزيل أدوات القرصنة على محرك أقراص ثابت محمول، ثم على جهاز الكمبيوتر الخاص به لاحقًا. اتصل ويليامز بالعملية Zero تحت اسم مستعار، لذلك من غير الواضح ما إذا كانت العملية Zero تعرف هوية ويليامز الحقيقية.
Trenchant عبارة عن طاقم من المتسللين وصائدي الأخطاء الذين يتعمقون في البرامج الشائعة الأخرى التي تنتجها شركات مثل Google وApple، ويحددون العيوب في ملايين الأسطر من التعليمات البرمجية، ثم يبتكرون تقنيات لتحويل تلك العيوب إلى عمليات استغلال عملية يمكن استخدامها لاختراق تلك المنتجات بشكل موثوق. تُسمى هذه الأدوات عادةً بثغرات يوم الصفر لأنها تستفيد من عيوب برمجية غير معروفة لمطورها، والتي يمكن أن تصل قيمتها إلى ملايين الدولارات.
وزعمت وزارة العدل الأمريكية أن أدوات القرصنة التي باعها ويليامز كان من الممكن أن تسمح لمن يستخدمها “بالوصول المحتمل إلى ملايين أجهزة الكمبيوتر والأجهزة حول العالم”.
على مدى الأشهر القليلة الماضية، كنت أتحدث إلى مصادر وأكتب قصة ويليامز قبل ظهور الأخبار عن اعتقاله. لكن ما سمعته كان خليطًا ومتضاربًا في بعض الأحيان. لقد سمعت أنه تم القبض على شخص ما، ولكن نظرًا للطبيعة السرية للعمل الذي ينطوي عليه تطوير برمجية إكسبلويت، فإن إثبات ذلك سيكون أمرًا صعبًا.
اتصل بنا
هل لديكم المزيد من المعلومات حول هذه القضية والتسريب المزعوم لأدوات القرصنة ترينشانت؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase وWire@lorenzofb، أو عبر البريد الإلكتروني.
عندما سمعت لأول مرة عن ويليامز، لم أكن متأكدًا من أنني حصلت على اسمه بشكل صحيح. في تلك المرحلة، كانت قصته عبارة عن شائعة، تنتقل عبر كرمة العنب الصامتة لمطوري برامج استغلال الثغرات الأمنية، والبائعين، والأشخاص الذين لهم علاقات بمجتمع الاستخبارات.
سمعت أنه ربما كان يُدعى جون، أو ربما دوغان؟ أو بكل الطرق المختلفة التي يمكنك من خلالها تهجئة ذلك باللغة الإنجليزية.
بعض الشائعات الأولى التي سمعتها كانت متناقضة. ويبدو أنه سرق أيام الصفر من ترينشانت، وربما باعها لروسيا، أو ربما لعدو آخر للولايات المتحدة وحلفائها، مثل كوريا الشمالية أو الصين؟
استغرق الأمر أسابيع فقط للتأكد من وجود شخص ينطبق عليه هذا الوصف. (اتضح أن الاسم الأوسط لويليامز هو جون، ودوجي هو لقبه في دوائر القراصنة.)
وبعد ذلك، مع مرور أسابيع إعداد التقارير، بدأت الأمور تصبح أكثر وضوحًا.
الاتصال الروسي
كما كشفت لأول مرة في أكتوبر، قامت شركة Trenchant بطرد أحد الموظفين بعد أن اتهم ويليامز، الذي كان لا يزال في ذلك الوقت رئيسًا لشركة Trenchant، الموظف بسرقة وتسريب Chrome بدون أيام. وكانت القصة أكثر إثارة للاهتمام لأن الموظف أخبرني أنه بعد فصله، أبلغته شركة آبل بأن شخصًا ما استهدف جهاز iPhone الشخصي الخاص به.
وما تعلمته كان مجرد غيض من فيض. لقد سمعت المزيد من مصادري، لكننا مازلنا نجمع أجزاء من القصة معًا.
وبعد فترة وجيزة، وجه المدعون أول اتهام رسمي لهم ضد رجل يدعى بيتر ويليامز لسرقة أسرار تجارية، والتي ظهرت لأول مرة في نظام المحاكم العامة في الولايات المتحدة. وفي وثيقة المحكمة الأولى، أكد ممثلو الادعاء أن مشتري هذه الأسرار التجارية كان مشتريًا في روسيا.
ومع ذلك، لم تكن هناك إشارة صريحة إلى L3Harris ولا Trenchant، ولا حقيقة أن الأسرار التجارية التي سرقها ويليامز كانت صفر يوم. والأهم من ذلك، أننا لا نزال غير قادرين على التأكد على وجه اليقين من أنه هو نفسه بيتر ويليامز، الذي اعتقدنا أنه سيتمكن من الوصول إلى مآثر حساسة للغاية باعتباره رئيس ترينشانت، وليس بعض الحالات الفظيعة للهوية الخاطئة.
نحن ما زال لم تكن هناك.
بناءً على حدسنا وليس لدينا ما نخسره، اتصلنا بوزارة العدل لنسأل عما إذا كانوا سيؤكدون أن الشخص الموجود في الوثيقة هو في الواقع بيتر ويليامز، الرئيس السابق لشركة L3Harris Trenchant. وأكد متحدث باسم.
وأخيرا، خرجت القصة. وبعد أسبوع، اعترف ويليامز بالذنب.
عندما سمعت بقصته لأول مرة، رغم ثقتي بمصادري، بقيت متشككة. لماذا يفعل شخص مثل ويليامز ما تزعمه الشائعات؟ لكنه فعل ذلك، وفعل ذلك من أجل المال، كما يزعم المدعون، والذي استخدمه ويليامز بعد ذلك لشراء منزل ومجوهرات وساعات فاخرة.
لقد كان ذلك سقوطًا ملحوظًا بالنسبة لوليامز، الذي كان يُنظر إليه ذات يوم على أنه قرصان كمبيوتر بارع ورائع، وخاصة بالنسبة لشخص عمل سابقًا في أكبر وكالة تجسس أجنبية في أستراليا وخدم في الجيش الأسترالي.
ماذا حدث للمآثر المسروقة؟
ما زلنا لا نعرف على وجه التحديد ما هي أدوات الاستغلال وأدوات القرصنة التي سرقها ويليامز وباعها. وقدر ترينشانت خسارة قدرها 35 مليون دولار، وفقا لوثائق المحكمة. لكن محامي ويليامز قالوا إن الأدوات المسروقة لم تصنف على أنها سر حكومي.
يمكننا استخلاص بعض الأفكار بناءً على ظروف القضية.
وبالنظر إلى أن وزارة العدل قالت إن الأدوات المسروقة يمكن استخدامها لاختراق “ملايين أجهزة الكمبيوتر والأجهزة”، فمن المحتمل أن تشير الأدوات إلى “يوم الصفر” في البرامج الاستهلاكية الشائعة، مثل أجهزة Android، وأجهزة iPhone وiPad من Apple، ومتصفحات الويب.
وهناك بعض الأدلة التي تشير إلى اتجاههم. خلال جلسة استماع العام الماضي، قرأ المدعون بصوت عالٍ منشورًا نشرته عملية Zero على X، وفقًا لمراسل الأمن السيبراني المستقل كيم زيتر، الذي حضر الجلسة.
“نظرًا لارتفاع الطلب في السوق، فإننا نعمل على زيادة المدفوعات لبرامج استغلال الأجهزة المحمولة من الدرجة الأولى،” هذا ما جاء في المنشور، الذي ذكر على وجه التحديد نظامي التشغيل Android وiOS. “كما هو الحال دائمًا، فإن المستخدم النهائي هو دولة غير عضو في الناتو.”
تقدم عملية Zero ملايين الدولارات للحصول على تفاصيل حول الثغرات الأمنية في أجهزة Android وiPhone، وتطبيقات المراسلة مثل Telegram، بالإضافة إلى أنواع أخرى من البرامج، مثل Microsoft Windows، وبائعي الأجهزة، مثل العديد من العلامات التجارية للخوادم وأجهزة التوجيه.
تدعي عملية الصفر أنها تعمل مع الحكومة الروسية. وفي الوقت الذي باع فيه ويليامز هذه المآثر للوسيط الروسي، كان غزو بوتين الشامل لأوكرانيا جارياً بالفعل.
وفي نفس اليوم الذي حُكم فيه على ويليامز، أعلنت وزارة الخزانة الأمريكية أنها فرضت عقوبات على شركة Operation Zero ومؤسسها سيرجي زيلينيوك، واصفة الشركة بأنها تهديد للأمن القومي. كان هذا أول تأكيد من الحكومة بأن ويليامز قد باع هذه الثغرات إلى عملية الصفر.
وقالت وزارة الخزانة في بيانها إن الوسيط “باع تلك الأدوات المسروقة إلى مستخدم واحد غير مصرح به على الأقل”. في هذه المرحلة لا نعرف من هو هذا المستخدم. يمكن أن يكون المستخدم جهاز استخبارات أجنبي، أو يمكن أن يكون عصابة برامج فدية، نظرًا لأن وزارة الخزانة فرضت أيضًا عقوبات على أوليغ فياتشيسلافوفيتش كوتشيروف، وهو عضو مزعوم في عصابة Trickbot، والذي يُزعم أنه عمل أيضًا مع عملية Zero.
وفي وثيقة المحكمة، قال ممثلو الادعاء إن L3Harris تمكنت من اكتشاف أن “بائعًا غير مصرح به كان يبيع مكونًا” من أحد الأسرار التجارية المسروقة “من خلال مقارنة بيانات البائع الخاصة بالشركة والتي تم العثور عليها في مكون مسروق مطابق”.
وقال ممثلو الادعاء أيضًا إن ويليامز “تعرف على الكود الذي كتبه وباعه” لعملية صفر “يستخدمه وسيط كوري جنوبي”، مما يشير أيضًا إلى أن كلاً من L3Harris والمدعين العامين يعرفون الأدوات التي تمت سرقتها وبيعها لعملية صفر.
سؤال آخر بلا إجابة هو: هل قام أي شخص، سواء حكومة الولايات المتحدة أو L3Harris، بتنبيه شركة Apple أو Google أو أي شركة تكنولوجية أخرى تأثرت منتجاتها بثغرة يوم الصفر، بعد أن تسربت الثغرات الآن؟
قد ترغب أي شركة أو مطور في معرفة أنه كان من الممكن أن يستخدم شخص ما (أو لا يزال بإمكانه استخدام) يوم الصفر ضد مستخدميه وعملائه حتى يتمكن من تصحيح العيوب في أسرع وقت ممكن. وفي هذه المرحلة، لن تكون أيام الصفر ذات فائدة لشركة L3Harris وعملائها الحكوميين.
عندما سألت أبل وجوجل، لم ترد أي من الشركتين على استفساراتي. ولم يستجب L3Harris أيضًا.
من الذي اخترق كبش الفداء، ولماذا؟
ثم هناك لغز كبش الفداء الذي طُرد بعد أن اتهمه ويليامز بسرقة وتسريب الرموز.
عند النطق بالحكم، أكد ممثلو الادعاء بوزارة العدل أن الموظف طُرد، قائلين إن ويليامز “وقف مكتوف الأيدي بينما تم إلقاء اللوم بشكل أساسي على موظف آخر في الشركة”. [his] السلوك الخاص.” رداً على ذلك، رفض محامي ويليامز الادعاء، مدعياً أن الموظف السابق “تم فصله بسبب سوء السلوك”، مستشهداً بادعاءات العمل المزدوج والتعامل غير السليم مع الملكية الفكرية للشركة.
وفقًا لوثيقة المحكمة التي قدمها محامو ويليامز، كجزء من التحقيق الداخلي في قضية L3Harris، منحت الشركة الموظف إجازة، وصادرت أجهزته، ونقلتها إلى الولايات المتحدة، و”عرضتها على مكتب التحقيقات الفيدرالي”.
وعندما تم التواصل معه للتعليق، قال متحدث باسم مكتب التحقيقات الفيدرالي، لم يذكر اسمه، إن المكتب ليس لديه ما يضيفه باستثناء البيان الصحفي لوزارة العدل.
وبعد طرده، تلقى ذلك الموظف، الذي عرفناه بالاسم المستعار جاي جيبسون، إشعارًا من شركة أبل مفاده أن جهاز iPhone الشخصي الخاص به قد تم استهدافه “بهجوم ببرامج تجسس مرتزقة”.
ترسل Apple هذه الإشعارات إلى المستخدمين الذين تعتقد أنهم كانوا هدفًا للهجمات باستخدام أدوات مثل تلك التي قامت بها NSO Group أو Intellexa.
من حاول اختراق جيبسون؟ تلقى الإخطار في 5 مارس 2025، بعد أكثر من ستة أشهر من بدء تحقيق مكتب التحقيقات الفيدرالي. مكتب التحقيقات الفيدرالي “يتفاعل بانتظام مع [Williams] في أواخر عام 2024 حتى صيف 2025، وفقًا لوثيقة المحكمة.
ونظراً لطبيعة الأدوات المسربة، فمن المعقول أن يكون مكتب التحقيقات الفيدرالي، أو ربما حتى وكالة استخبارات أمريكية، قد استهدف جيبسون كجزء من التحقيق في تسريبات ويليامز. لكننا لا نعرف، وهناك احتمال ألا يعرف الجمهور ولا جيبسون ذلك أبدًا.
تم التحديث لتوضيح الفقرة 22 التي تنسب عدم تصنيف الأدوات إلى محامي ويليامز.
