Batı hükümetleri için kritik gözetim ve siber saldırı araçları geliştiren savunma devi L3Harris’in bir alt kuruluşu olan Trenchant, tarihindeki en büyük güvenlik ihanetiyle sarsıldı. Trenchant’ın eski genel müdürü Peter Williams, şirketten çaldığı son derece hassas siber güvenlik açıklarını (zero-day'leri) Rus bir aracıya sattığını itiraf ederek geçtiğimiz hafta suçunu kabul etti. Avustralya vatandaşı olan 39 yaşındaki Williams’ın eylemleri, hem Batı ulusal güvenlik aygıtlarına yönelik büyük bir ihanet hem de siber güvenlik topluluğunda deprem etkisi yarattı.

Çalınan Teknoloji ve Milyon Dolarlık Ticaret

Williams, savcılara verdiği ifadede, yazılım üreticisi tarafından bilinmeyen ve dolayısıyla hedeflerin cihazlarına sızmak için son derece değerli olan sekiz adet 'zero-day' açığı çaldığını ve sattığını kabul etti. Bu açıklar, siber saldırı pazarında en pahalı ve etkili araçlar olarak kabul ediliyor. Mahkeme belgelerine göre, Williams’ın kendi şirketinden çaldığı bu zero-day’lerin piyasa değeri 35 milyon dolar olarak hesaplanırken, kendisi Rus brokerdan kripto para birimi cinsinden yalnızca 1.3 milyon dolar alabildi. Williams, bu satışları 2022 ile Temmuz 2025 arasında, birkaç yıla yayılan bir süreçte gerçekleştirdi.

Yüksek Güvenin Kötüye Kullanılması ve Erişim İhlali

Williams'ın bu kadar hassas bilgilere erişimi, Trenchant'taki üst düzey konumu sayesinde oldu. Mahkeme belgelerinde belirtildiği üzere, Williams, şirket içi, çok faktörlü kimlik doğrulamasıyla korunan ve yalnızca “bilmesi gereken” çalışanların erişebildiği güvenli ağlara “süper kullanıcı” erişimini sürdürüyordu. Bu geniş yetki, ona tüm ağ aktivitesini, günlükleri ve tabii ki şirketin kritik siber araçlarını görüntüleme izni veriyordu.

Williams, bu yetkisini kötüye kullanarak, Sydney, Avustralya ve Washington D.C.'deki Trenchant ofislerindeki güvenli ağlardan harici, taşınabilir bir sabit disk aracılığıyla zero-day’leri kişisel cihazına aktardı. Daha sonra çalınan bu araçları şifreli kanallar üzerinden Rus broker'a gönderdi. Eski meslektaşları, Williams'ın şirket içinde “suçlanamaz” olarak görüldüğünü ve kıdemli liderlik ekibinin bir parçası olarak kendisine neredeyse sınırsız yetki verildiğini belirtiyor.

Eski bir Trenchant çalışanı, “Genel kanı, genel müdürün her şeye sınırsız erişime sahip olacağı yönündeydi. Kimse onu denetlemiyordu.” sözleriyle şirket içi kontrol eksikliğine dikkat çekti. Bu durum, siber güvenlik şirketlerinin dahi iç tehditlere karşı ne kadar savunmasız olabileceğini gösteriyor.

Kendi Soruşturmasını Yönetti ve Geliştiriciyi Suçladı

Skandalın en çarpıcı detaylarından biri, sızıntının 2024 yılının Ekim ayında ortaya çıkmasının ardından Williams’ın sızıntı soruşturmasının başına getirilmesi oldu. Williams, soruşturmada şirket ağının hacklenmediği sonucuna vardı ancak haksız yere 'air-gapped' (internet bağlantısı olmayan) bir cihazdan internete erişen eski bir çalışanın tespit edildiğini öne sürdü.

Dahası, Williams'ın Şubat 2025'te bir Trenchant geliştiricisini çifte istihdam nedeniyle kovduğu, ancak kovulan bu çalışanın daha sonra Chrome zero-day’lerini çalmakla suçlandığını öğrendiği bildirildi. Bu geliştirici, Williams'ın kendi eylemlerini örtbas etmek için kendisini hedef gösterdiğine inanıyordu. Bu iddia, Williams’ın yalnızca hırsızlık yapmakla kalmayıp, aynı zamanda suçunu başka bir çalışanın üzerine yıkarak şirketi manipüle etmeye çalıştığını gösteriyor.

Rus Broker Operation Zero: Ulusal Güvenlik İhaneti

Williams’ın çaldığı açıkları sattığı brokerın, büyük olasılıkla Rusya merkezli ve iPhone ile Android telefonları hacklemek için 20 milyon dolara kadar ödeme teklif eden Operation Zero olduğu düşünülüyor. Williams, broker ile “John Taylor” takma adını ve şifreli uygulamaları kullanarak iletişim kurdu. Operation Zero, bu araçları yalnızca “Rus özel ve devlet kuruluşlarına” sattığını iddia ediyor.

Siber güvenlik uzmanları, Williams’ın bu eylemlerinin “çok ciddi hasara” yol açtığını belirtiyor. Eski bir Trenchant çalışanı, “Bu, Batı ulusal güvenlik aygıtlarına bir ihanettir ve şu anda sahip olduğumuz en kötü tehdit aktörüne (Rusya) karşı yapılmış bir ihanettir,” dedi. Zero-day açıklarının düşman bir gücün eline geçmesi, Batı'nın siber yeteneklerinin baltalanmasına ve potansiyel olarak müttefik hedeflere karşı kullanılmasına neden olabilir. Bu durum, siber savaşın ne kadar kişisel ve iç tehditlere açık olabileceğini gözler önüne seriyor.

Bu iç ihanet vakası, ulus devlet aktörlerinin Batı altyapılarına yönelik sürekli tehditleriyle birlikte değerlendirilmelidir. Örneğin, ABD'nin kritik gözetim kamera ağlarından biri olan Flock Safety, binlerce emniyet teşkilatı tarafından kullanılan ve milyarlarca araç plakası fotoğrafı toplayan sisteminde Çok Faktörlü Kimlik Doğrulama (MFA) uygulamasını zorunlu tutmaması nedeniyle ABD Kongresi tarafından ciddi eleştirilere maruz kaldı. Siber suç forumlarında çalınan kolluk kuvveti giriş bilgilerinin ortaya çıkması, bu devasa veri setinin yabancı istihbarat servislerinin eline geçme potansiyeli nedeniyle Federal Ticaret Komisyonu'nun (FTC) acil soruşturma başlatması çağrısına yol açtı. Bu tür temel güvenlik önlemlerinin eksikliğinin ulusal güvenliği nasıl riske attığı hakkında daha fazla bilgiye **Flock Safety gözetim ağında siber güvenlik açığı, MFA zorunluluğu ve FTC soruşturması** başlıklı içeriğimizden ulaşabilirsiniz. Öte yandan, ABD telekom devi Ribbon, hükümet destekli olduğu düşünülen siber korsanların şirket ağına neredeyse bir yıl boyunca erişim sağladığını kamuoyuyla paylaştı. Ribbon, enerji ve ulaştırma sistemleri gibi kritik altyapı kuruluşlarının yanı sıra Savunma Bakanlığına hizmet vermesi nedeniyle hedef alındı. Bu olay, siber savaşın sadece savunma şirketlerinin araçlarını çalmakla kalmayıp, aynı zamanda temel iletişim hatlarına uzun vadeli sızmalar yoluyla da yürütüldüğünü gösteriyor. ABD telekom devi Ribbon’a yönelik siber saldırı ve kritik altyapı güvenliği konusundaki detaylar, bu tehdidin ciddiyetini vurguluyor.

Öte yandan, siber tehditler sadece savunma sanayii devlerini değil, eğitim kurumlarını da hedef alıyor. Örneğin, ABD'nin önde gelen eğitim kurumlarından Penn Üniversitesi, kısa süre önce yaşadığı siber saldırıda, federal yasaları (FERPA) ihlal etme tehdidiyle karşı karşıya kaldı ve saldırganların bu eylemi, üniversitenin Beyaz Saray tarafından önerilen bir sözleşmeyi reddetmesinin hemen ardından gerçekleşti. Bu durum, siber saldırıların artık yalnızca finansal çıkar sağlamak için değil, aynı zamanda siyasi mesaj vermek için de kullanıldığını gösteriyor. Penn Üniversitesi siber saldırısı, FERPA ihlali ve siyasi mesajlar hakkında daha fazla bilgi edinilebilir.

Peter Williams, kanıtlarla yüzleştirildikten sonra Ağustos ayında FBI'a suçunu itiraf etti. Bu olay, siber güvenlik sektöründe yüksek maaş ve üst düzey güvenin dahi etik sınırları nasıl aşabileceğini gösteren karanlık bir örnektir.

Bu haberin kaynağı ve daha fazla detay için TechCrunch'ta yayınlanan orijinal makaleye başvurulabilir.