Ex-Hacker-Zwillinge gefeuert - löschen 96 Regierungsdatenbanken in Minuten

Ex-Hacker-Zwillinge gefeuert - löschen 96 Regierungsdatenbanken in Minuten

Hinweis für Arbeitgeber: Wenn Sie feststellen, dass Ihre Zwillingsbrüder Angestellte sind, die vorbestrafte Hacker sind und wegen des Eindringens in das US-Außenministerium im Gefängnis waren, und Sie sie entlassen wollen, stellen Sie sicher, dass Sie ihren Zugang vollständig deaktivieren.

Im Februar 2025 verwandelten die Zwillingsbrüder Muneeb und Sohaib Akhter eine routinemäßige Kündigung in einen der dreistesten Sabotagefälle von Insidern in der jüngeren Geschichte der US-Regierung. Nur wenige Minuten nach ihrer Entlassung bei Opexus – einem Auftragnehmer im Großraum Washington, D.C., der über 45 Bundesbehörden mit kritischer Fallmanagement-Software versorgt – starteten die Brüder angeblich einen schnellen digitalen Angriff, der rund 96 Regierungsdatenbanken mit sensiblen FOIA-Aufzeichnungen, Ermittlungsakten und Steuerzahlerdaten löschte.
Muneeb und Sohaib Akhter

Besonders schockierend an dem Fall war die Vorgeschichte der Brüder: Beide hatten ein Jahrzehnt zuvor wegen des Hackens von Bundessystemen eine Gefängnisstrafe verbüßt.

Eine zehn Jahre alte kriminelle Vergangenheit

Die Akhter-Brüder, beide 34 Jahre alt und aus Alexandria, Virginia, hatten eine kriminelle Vergangenheit, die Opexus völlig übersehen hatte – was angesichts ihrer Tätigkeit nicht gerade gut ist. Im Jahr 2015 bekannten sie sich als Auftragnehmer schuldig wegen Verschwörung zum Drahtbetrug, Verschwörung zum unbefugten Zugriff auf geschützte Computer und damit zusammenhängender Anklagepunkte. Ihre Verbrechen umfassten das Hacken von Systemen des US-Außenministeriums und eines privaten Unternehmens, wobei sie persönliche Daten von Kollegen, Bekannten und sogar einem Bundesermittler stahlen.

Muneeb erhielt eine Haftstrafe von 39 Monaten; Sohaib erhielt 24 Monate. Beide verbüßten ihre Strafe und wurden entlassen.

Und doch...

Bis 2023-2024 hatten die Brüder Ingenieurpositionen bei Opexus (früher bekannt als AINS) erhalten, einem Unternehmen, das sich auf FedRAMP-zertifizierte Fallmanagement-Plattformen spezialisiert hat. Seine Flaggschiffprodukte – FOIAXpress und die eCASE-Suite – helfen Behörden bei der Bearbeitung von Anträgen nach dem Freedom of Information Act, Audits, Ermittlungen, EEO-Beschwerden und Korrespondenz mit dem Kongress. Opexus-Systeme hosten sensible Regierungsdaten auf Servern in Ashburn, Virginia.

Das Unternehmen führte Standard-Hintergrundüberprüfungen durch, die etwa sieben Jahre abdeckten – was die Verurteilungen von 2015 übersah. Opexus räumte später ein, dass „zusätzliche Sorgfalt hätte angewendet werden müssen“ und dass die für die Einstellung der Zwillinge verantwortlichen Personen nicht mehr im Unternehmen tätig sind.

Ohne Wissen von Opexus hatten die Brüder ihren Zugang wochenlang missbraucht. Muneeb hatte rund 5.400 Benutzernamen und Passwörter aus dem Netzwerk des Unternehmens gesammelt und benutzerdefinierte Skripte erstellt, um sie gegen externe Websites (einschließlich Marriott und DocuSign) zu testen. Er loggte sich erfolgreich in Konten ein und nutzte in einigen Fällen die Flugmeilen der Opfer.

Am 1. Februar 2025 – mehr als zwei Wochen vor ihrer Entlassung – bat Muneeb Sohaib um das Klartextpasswort einer Person, die eine Beschwerde über das EEOC Public Portal eingereicht hatte. Sohaib führte eine Datenbankabfrage durch und gab es weiter; Muneeb nutzte dann die Anmeldedaten, um unbefugt auf die E-Mail des Beschwerdeführers zuzugreifen. Dieser Vorfall wurde später zentral für Sohaibs Anklage wegen Passwort-Handels.

Die Entlassung und der 56-minütige Amoklauf

Am 18. Februar 2025 identifizierte die FDIC Sohaibs frühere Verurteilung während einer Hintergrundüberprüfung für eine mögliche neue Rolle im Büro des Generalinspekteurs der FDIC. Opexus entließ beide Brüder während eines Remote-Meetings über Microsoft Teams/HR, das gegen 16:50-16:55 Uhr endete.

Das Offboarding war fehlerhaft: Muneebs Konto blieb aktiv. ARS Technica hat die Zeitleiste:

Um 16:56 Uhr griff Muneeb auf eine US-Regierungsdatenbank zu, die sein Unternehmen verwaltete. Er „gab Befehle aus, um andere Benutzer am Verbinden oder Ändern der Datenbank zu hindern, und gab dann einen Befehl zur Löschung der Datenbank aus“, so die Regierung.

Um 16:58 Uhr löschte er eine Datenbank des Ministeriums für Innere Sicherheit mit dem Befehl „DROP DATABASE dhsproddb“.

Um 16:59 Uhr fragte er ein KI-Tool: „Wie lösche ich Systemprotokolle von SQL-Servern nach dem Löschen von Datenbanken?“ Später fragte er: „Wie löscht man alle Ereignis- und Anwendungsprotokolle von Microsoft Windows Server 2012?“

Innerhalb einer Stunde löschte Muneeb rund 96 Datenbanken mit US-Regierungsinformationen. Er lud 1.805 Dateien herunter, die dem EEOC gehörten, und lagerte sie auf einem USB-Stick. Dann griff er auf Bundessteuerinformationen für mindestens 450 Personen zu.

Die Brüder diskutierten den Angriff in Echtzeit. Sohaib beobachtete, wie Muneeb „ihre Datenbank-Backups bereinigte“. Sie fragten sogar ein KI-Tool, wie man SQL-Server-Protokolle und Windows-Ereignisprotokolle löscht. Später installierten sie die Betriebssysteme auf ihren Firmenlaptops neu, um Beweise zu vernichten.

Und was haben sie noch getan?

Basierend auf den Gerichtsunterlagen (Superseding Indictment + Muneeb Akhters detaillierte Statement of Facts aus seinem Plea Deal vom April 2026) trieben die Brüder eine Menge Unfug.

Massive zusätzliche Datenerfassung (1,2 Millionen Zeilen): Muneeb stahl nicht nur ~5.400 Benutzernamen/Passwörter von Opexus. Er besaß auch eine separate Datei mit ~1,2 Millionen Zeilen vollständiger Namen, E-Mail-Adressen, Telefonnummern, physischer Adressen und Passwort-Hashes. Diese wurde auf seinem persönlichen Laptop, Android-Telefon, externer Festplatte und Cloud-Konten gespeichert.

Der Missbrauch von Anmeldeinformationen dauerte 10 Monate nach ihrer Entlassung an: Die Datenbanklöschungen fanden am 18. Februar 2025 statt, aber Muneeb nutzte die gestohlenen Anmeldeinformationen aktiv von Mai 2025 bis zu seiner Verhaftung am 3. Dezember 2025 weiter. Er schrieb benutzerdefinierte Python-Skripte (eines mit dem Namen marriott_checker.py), führte Credential-Stuffing-Angriffe auf Hotels, Fluggesellschaften und Banken durch und loggte sich erfolgreich in Hunderte von Konten der Opfer ein.

Fortgeschrittene Kontoübernahmen mit eigenen Domains: Er loggte sich nicht nur ein – er änderte die Wiederherstellungs-E-Mail-Adressen der Opfer bei Fluggesellschaften, Hotels und Banken in Adressen, die er kontrollierte, wie z. B. [VictimName]@wardensys.com oder @wardensystems.com (Domains, die er besaß). Dies ermöglichte es ihm, die tatsächlichen Eigentümer auszusperren und die Konten weiter zu nutzen.

Brainstorming für Erpressung in Echtzeit während des Löschungs-Amoklaufs: Um ca. 17:12 Uhr am 18. Februar – während Muneeb noch Datenbanken löschte – diskutierten die Brüder buchstäblich die Erpressung von Opexus. Sohaib sagte sinngemäß: „Du hättest ein Kill-Skript haben sollen, so nach dem Motto, sie für Geld zu erpressen…“ Muneeb lehnte ab und antwortete, dass dies ein offensichtlicher Beweis für Schuld wäre. Sie stritten sich auch darüber, ob sie Kunden kontaktieren sollten.

„Zeug vom anderen Haus aufräumen“: Während desselben Gesprächs sagte Sohaib: „Wir müssen auch Zeug vom anderen Haus aufräumen, Mann.“ Dies deutet stark darauf hin, dass sie Beweise oder gestohlene Daten an einem zweiten Ort hatten.

Muneeb floh mit einer von der Regierung ausgestellten PIV-Karte: Als Muneeb am 24. Februar 2025 nach Texas fuhr, nahm er seinen persönlichen Laptop, sein Telefon und eine Personal Identity Verification (PIV)-Karte mit, die von einer US-Regierungsbehörde ausgestellt wurde. (PIV-Karten sind die Hochsicherheits-Smartcards, die Bundesangestellte/Auftragnehmer für den Systemzugriff verwenden.)

Andere kleinere, aber wilde Nuggets

Ein „Mitverschwörer“ (Identität in den öffentlichen Dokumenten nicht spezifiziert) löschte beide Firmenlaptops, indem er am 21.-22. Februar das Betriebssystem neu installierte.
Muneeb nutzte gestohlene American Airlines Meilen zweimal: 29.000 Meilen für einen echten Flug, den er tatsächlich antrat (SLC → DC am 29. November 2025), und 14.500 Meilen für ein weiteres Ticket, das er buchte, aber nicht nutzte.
Muneeb hatte eine separate Anklage wegen schwerer Identitätsdiebstahls vom August 2022 (vor Opexus) im Zusammenhang mit dem Reisepass und persönlichen Daten einer Person.
Auch Waffen!

Bei der Durchsuchung von Sohaibs Haus in Alexandria am 12. März 2025 wurden sieben Schusswaffen gefunden (darunter M1- und M1A-Gewehre, ein Glenfield Model 60 .22-Gewehr, eine Ruger .22-Pistole und ein Colt .38 Special Revolver) sowie rund 378 Schuss Munition im Kaliber .30. Nach dem damaligen Recht von Virginia waren diese Waffen und die Munition für eine nicht-verbotene Person legal zu besitzen – kein Verbot von Sturmgewehren, keine Magazinbeschränkungen, keine Beschränkungen für die spezifischen Modelle. Das einzige Verbot war Sohaibs Status als verurteilter Straftäter, der den Besitz nach Bundesgesetz (18 U.S.C. § 922(g)) illegal machte.

Die Brüder wurden am 3. Dezember 2025 verhaftet. Muneeb bekannte sich schließlich zu schwerwiegenden Anklagepunkten schuldig, darunter Computerbetrug und Vernichtung von Aufzeichnungen. Sohaib wurde vor Gericht gestellt.

Am 7. Mai 2026 befand eine Bundesjury in Alexandria Sohaib Akhter in drei Anklagepunkten für schuldig: Verschwörung zum Computerbetrug, Passwort-Handel und Besitz einer Schusswaffe durch eine verbotene Person. Er drohen ihm maximal 21 Jahre Haft und die Urteilsverkündung ist für den 9. September 2026 angesetzt. Muneeb sieht sich zusätzlichen Anklagen und potenziellen Strafen von bis zu 45 Jahren gegenüber.

Also, hoppla...

Nebenbei bemerkt, erinnern Sie sich, als die Demokraten im Repräsentantenhaus die Awan-Brüder 13 Jahre lang in ihrem Netzwerk gewähren ließen, wegen mutmaßlichen unbefugten Serverzugriffs, Beschaffungsunregelmäßigkeiten und möglicher Datenexfiltration entlassen wurden und einer von ihnen sich wegen einer falschen Aussage bei einem Kreditantrag schuldig bekennen und zu bereits verbüßter Haft verurteilt werden konnte – nur um dann von den fünf pakistanisch-amerikanischen Tech-Arbeitern, die in die Saga verwickelt waren, eine Entschädigung von 850.000 US-Dollar wegen ungerechtfertigter Kündigung zu erhalten? Verrückt!

Tyler Durden
Mi, 13.05.2026 - 14:30