Um veterano executivo de segurança cibernética que, segundo os promotores, “traiu” os Estados Unidos, passará pelo menos os próximos sete anos atrás das grades, depois de se declarar culpado de roubar e vender ferramentas de hacking e vigilância a uma empresa russa.
Peter Williams, ex-executivo da empresa de defesa dos EUA L3Harris, foi condenado na terça-feira a 87 meses de prisão por vazar os segredos comerciais de sua antiga empresa em troca de US$ 1,3 milhão em criptografia entre 2022 e 2025. Williams vendeu as explorações para a Operação Zero, que o governo dos EUA chama de “um dos corretores de exploração mais nefastos do mundo”.
A condenação bem-sucedida de Williams segue-se a um dos vazamentos mais notórios de ferramentas de hacking sensíveis fabricadas no Ocidente nos últimos anos. Mesmo agora que o caso está encerrado, ainda há perguntas sem resposta.
Williams, um cidadão australiano de 39 anos que residia em Washington, DC, era o gerente geral da Trenchant, a divisão da L3Harris que desenvolve ferramentas de hacking e vigilância para o governo dos EUA e seus parceiros de inteligência globais mais próximos. Os promotores dizem que Williams aproveitou o “acesso total” às redes seguras da empresa para baixar as ferramentas de hacking em um disco rígido portátil e, posteriormente, em seu computador. Williams contatou a Operação Zero sob um pseudônimo, então não está claro se a Operação Zero algum dia conheceu a verdadeira identidade de Williams.
Trenchant é uma equipe de hackers e caçadores de bugs que se aprofundam em outros softwares populares feitos por empresas como Google e Apple, identificam falhas nesses milhões de linhas de código e, em seguida, desenvolvem técnicas para transformar essas falhas em explorações viáveis que podem ser usadas para hackear esses produtos de maneira confiável. Essas ferramentas são normalmente chamadas de explorações de dia zero porque aproveitam falhas de software desconhecidas por seu desenvolvedor, que podem valer milhões de dólares.
O Departamento de Justiça dos EUA alegou que as ferramentas de hacking vendidas por Williams poderiam ter permitido que quem as utilizasse “acessasse potencialmente milhões de computadores e dispositivos em todo o mundo”.
Nos últimos meses, tenho conversado com fontes e relatado a história de Williams antes que surgisse a notícia de que ele havia sido preso. Mas o que ouvi foi uma mistura de retalhos e, às vezes, conflitante. Eu tinha ouvido falar que alguém havia sido preso, mas dada a natureza secreta do trabalho envolvido no desenvolvimento de exploits, seria um desafio provar isso.
Contate-nos
Você tem mais informações sobre este caso e o suposto vazamento de ferramentas de hacking Trenchant? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram, Keybase e Wire @lorenzofb, ou por e-mail.
Quando ouvi falar de Williams pela primeira vez, não tinha certeza se tinha acertado o nome dele. Naquele ponto, sua história era um boato, passando por boatos secretos de desenvolvedores, vendedores e pessoas com vínculos com a comunidade de inteligência de exploits de dia zero.
Ouvi dizer que talvez ele se chamasse John, ou talvez Duggan? Ou todas as diferentes maneiras de soletrar isso em inglês.
Alguns dos primeiros rumores que ouvi eram contraditórios. Aparentemente, ele roubou zero-days de Trenchant e talvez os tenha vendido para a Rússia, ou talvez para outro inimigo dos Estados Unidos e seus aliados, como a Coreia do Norte ou a China?
Demorou semanas apenas para confirmar que havia realmente alguém que se enquadrava nessa descrição. (Descobriu-se que o nome do meio de Williams é John, e Doogie é seu apelido nos círculos hackers.)
Então, com o passar das semanas de reportagens, as coisas começaram a ficar muito mais claras.
A conexão russa
Como revelei pela primeira vez em outubro, Trenchant demitiu um funcionário depois que Williams, que ainda era chefe da Trenchant, acusou o funcionário de roubar e vazar o Chrome zero-days. A história foi ainda mais intrigante porque o funcionário me contou que, depois de ser demitido, a Apple o notificou de que alguém havia atacado seu iPhone pessoal.
O que aprendi foi apenas a ponta do iceberg. Eu tinha ouvido mais de minhas fontes, mas ainda estávamos juntando partes da história.
Pouco depois, os procuradores fizeram a sua primeira acusação formal contra um homem chamado Peter Williams por roubo de segredos comerciais, que veio à tona pela primeira vez no sistema judicial público dos EUA. Nesse primeiro documento judicial, os promotores confirmaram que o comprador desses segredos comerciais era um comprador na Rússia.
No entanto, não houve referência explícita ao L3Harris nem ao Trenchant, nem ao fato de que os segredos comerciais que Williams roubou eram de dia zero. Crucialmente, ainda não conseguimos confirmar com certeza se era o mesmo Peter Williams, que pensávamos que teria acesso a explorações altamente confidenciais como chefe de Trenchant, e não algum caso terrível de erro de identidade.
Nós ainda não estavam lá.
Por palpite e sem nada a perder, contactámos o Departamento de Justiça para perguntar se confirmariam que a pessoa constante do documento era de facto Peter Williams, antigo chefe da L3Harris Trenchant. Um porta-voz confirmou.
Finalmente, a história foi divulgada. Uma semana depois, Williams se declarou culpado.
Quando ouvi falar de sua história pela primeira vez, embora confiasse em minhas fontes, permaneci cético. Por que alguém como Williams faria o que diziam os rumores? Mas ele o fez, e o fez por dinheiro, alegam os promotores, que Williams usou para comprar uma casa, joias e relógios de luxo.
Foi uma notável queda em desgraça para Williams, antes visto como um hacker talentoso e brilhante, e especialmente para alguém que anteriormente trabalhou na principal agência de espionagem estrangeira da Austrália e serviu nas forças armadas do país.
O que aconteceu com as explorações roubadas?
Ainda não sabemos especificamente quais explorações e ferramentas de hacking Williams roubou e vendeu. Trenchant estimou uma perda de US$ 35 milhões, de acordo com documentos judiciais. Mas os advogados de Williams disseram que as ferramentas roubadas não foram classificadas como segredo do governo.
Podemos obter alguns insights com base nas circunstâncias do caso.
Dado que o Departamento de Justiça disse que as ferramentas roubadas poderiam ser usadas para hackear “milhões de computadores e dispositivos”, é provável que as ferramentas se refiram a dias zero em software de consumo popular, como dispositivos Android, iPhones e iPads da Apple e navegadores da web.
Há algumas evidências apontando em sua direção. Durante uma audiência no ano passado, os promotores leram em voz alta uma postagem publicada no X pela Operação Zero, de acordo com o repórter independente de segurança cibernética Kim Zetterque compareceu à audiência.
“Devido à alta demanda no mercado, estamos aumentando os pagamentos para explorações móveis de alto nível”, dizia o post, que mencionava especificamente o Android e o iOS. “Como sempre, o usuário final é um país não pertencente à OTAN.”
A Operação Zero oferece milhões de dólares para detalhes de vulnerabilidades de segurança em dispositivos Android e iPhones, aplicativos de mensagens como o Telegram, bem como outros tipos de softwarecomo Microsoft Windows, e fornecedores de hardware, como diversas marcas de servidores e roteadores.
Operação Zero reivindicações para trabalhar com o governo russo. Na altura em que Williams vendeu as façanhas ao corretor russo, a invasão em grande escala da Ucrânia por Putin já estava em curso.
No mesmo dia em que Williams foi condenado, o Tesouro dos EUA anunciou que impôs sanções contra a Operação Zero e o seu fundador, Sergey Zelenyuk, chamando a empresa de uma ameaça à segurança nacional. Esta foi a primeira confirmação do governo de que Williams havia vendido as façanhas para a Operação Zero.
Em seu comunicado, o Tesouro disse que a corretora “vendeu essas ferramentas roubadas a pelo menos um usuário não autorizado”. Neste ponto não sabemos quem é esse usuário. O usuário pode ser um serviço de inteligência estrangeiro ou uma gangue de ransomware, visto que o Tesouro também sancionou Oleg Vyacheslavovich Kucherov, um suposto membro da gangue Trickbot, que também supostamente trabalhou com a Operação Zero.
Num documento judicial, os promotores disseram que a L3Harris conseguiu descobrir que “um fornecedor não autorizado estava vendendo um componente” de um dos segredos comerciais roubados “comparando dados de fornecedores específicos da empresa encontrados em um componente roubado que correspondia”.
Os promotores também disseram que Williams “reconheceu o código que escreveu e vendeu” para a Operação Zero “sendo utilizado por um corretor sul-coreano”, sugerindo ainda que tanto a L3Harris quanto os promotores sabem quais ferramentas foram roubadas e vendidas para a Operação Zero.
Outra pergunta sem resposta é: alguém, seja o governo dos EUA ou a L3Harris, alertou a Apple, o Google ou qualquer empresa de tecnologia que os produtos foram afetados pelas falhas de dia zero, agora que as explorações vazaram?
Qualquer empresa ou desenvolvedor gostaria de saber que alguém poderia ter usado (ou ainda poderia usar) um dia zero contra seus usuários e clientes para que pudessem corrigir as falhas o mais rápido possível. E neste ponto, os dias zero não têm utilidade para a L3Harris e os seus clientes governamentais.
Quando perguntei à Apple e ao Google, nenhuma das empresas respondeu às minhas perguntas. L3Harris também não respondeu.
Quem hackeou o bode expiatório e por quê?
Depois, há o mistério do bode expiatório, que foi demitido depois que Williams o acusou de roubar e vazar código.
Na sentença, os promotores do Departamento de Justiça confirmaram que o funcionário foi demitido, dizendo que Williams “ficou de braços cruzados enquanto outro funcionário da empresa era essencialmente culpado por [his] própria conduta.” Em resposta, o advogado de Williams rejeitou os promotores, alegando que o ex-funcionário “foi demitido por má conduta”, citando alegações de duplo emprego e manuseio impróprio da propriedade intelectual da empresa.
De acordo com um documento judicial apresentado pelos advogados de Williams, como parte da investigação interna da L3Harris, a empresa colocou o funcionário em licença, apreendeu seus dispositivos, transferiu-os para os EUA e “os ofereceu ao FBI”.
Quando contatado para comentar, um porta-voz não identificado do FBI disse que a agência não tinha nada a acrescentar além da declaração do Departamento de Justiça. Comunicado de imprensa.
Depois de ser demitido, esse funcionário, que identificamos com o pseudônimo Jay Gibson, recebeu uma notificação da Apple de que seu iPhone pessoal foi alvo de “um ataque de spyware mercenário”.
A Apple envia essas notificações aos usuários que acredita terem sido alvo de ataques usando ferramentas como as do NSO Group ou Intellexa.
Quem tentou hackear Gibson? Ele recebeu a notificação em 5 de março de 2025, mais de seis meses após o início da investigação do FBI. O FBI “interagiu regularmente com [Williams] no final de 2024 até o verão de 2025”, de acordo com um documento judicial.
Dada a natureza das ferramentas vazadas, é plausível que o FBI, ou talvez até uma agência de inteligência dos EUA, tenha visado Gibson como parte da investigação sobre os vazamentos de Williams. Mas simplesmente não sabemos, e há uma chance de que nem o público, nem Gibson, venham a descobrir.
Atualizado para esclarecer o parágrafo 22 que atribui a falta de classificação das ferramentas aos advogados de Williams.
