Jumeaux ex-détenus hackers licenciés - Procèdent à l'effacement de 96 bases de données gouvernementales en quelques minutes

Jumeaux ex-détenus hackers licenciés - Procèdent à l'effacement de 96 bases de données gouvernementales en quelques minutes

Note aux employeurs : Lorsque vous découvrez que vos employés jumeaux sont des ex-détenus qui ont purgé une peine pour piratage du Département d'État américain, et que vous décidez de les licencier, assurez-vous de désactiver complètement leur accès.

Février 2025, les frères jumeaux Muneeb et Sohaib Akhter ont transformé un licenciement de routine en l'un des incidents de sabotage interne les plus audacieux de l'histoire récente du gouvernement américain. Quelques minutes après avoir été licenciés d'Opexus - un sous-traitant de la région de Washington, D.C. qui fournit des logiciels essentiels de gestion de cas à plus de 45 agences fédérales - les frères auraient lancé une attaque numérique rapide qui a supprimé environ 96 bases de données gouvernementales contenant des dossiers sensibles FOIA, des fichiers d'enquête et des données fiscales.
Muneeb et Sohaib Akhter

Ce qui a rendu l'affaire particulièrement choquante, c'est le passé des frères : tous deux avaient purgé une peine de prison pour piratage de systèmes fédéraux une décennie plus tôt.

Un casier judiciaire vieux de dix ans

Les frères Akhter, tous deux âgés de 34 ans et originaires d'Alexandria, en Virginie, avaient un passé criminel qu'Opexus avait complètement manqué - ce qui, compte tenu de ce qu'ils font, n'est pas idéal. En 2015, alors qu'ils travaillaient comme sous-traitants, ils ont plaidé coupable de complot en vue de commettre une fraude électronique, de complot en vue d'accéder à des ordinateurs protégés sans autorisation, et d'autres chefs d'accusation. Leurs crimes impliquaient le piratage des systèmes du Département d'État américain et d'une entreprise privée, le vol de données personnelles de collègues, de connaissances et même d'un enquêteur fédéral.

Muneeb a reçu une peine de prison de 39 mois ; Sohaib a reçu 24 mois. Tous deux ont purgé leur peine et ont été libérés.

Et pourtant...

En 2023-2024, les frères avaient décroché des postes d'ingénieurs chez Opexus (anciennement connu sous le nom d'AINS), une entreprise spécialisée dans les plateformes de gestion de cas certifiées FedRAMP. Ses produits phares - FOIAXpress et la suite eCASE - aident les agences à traiter les demandes de Freedom of Information Act, les audits, les enquêtes, les plaintes EEO et la correspondance du Congrès. Les systèmes Opexus hébergent des données gouvernementales sensibles sur des serveurs à Ashburn, en Virginie.

L'entreprise a effectué des vérifications d'antécédents standard couvrant environ sept ans - ce qui a manqué les condamnations de 2015. Opexus a ensuite admis que "une diligence supplémentaire aurait dû être appliquée" et que les personnes responsables de l'embauche des jumeaux ne travaillent plus pour l'entreprise.

À l'insu d'Opexus au moment de leur licenciement, les frères avaient abusé de leur accès pendant des semaines. Muneeb avait collecté environ 5 400 noms d'utilisateur et mots de passe sur le réseau de l'entreprise et avait créé des scripts personnalisés pour les tester sur des sites externes (y compris Marriott et DocuSign). Il s'est connecté avec succès à des comptes et, dans certains cas, a utilisé les miles aériens des victimes.

Le 1er février 2025 - plus de deux semaines avant leur licenciement - Muneeb a demandé à Sohaib le mot de passe en clair d'une personne qui avait déposé une plainte via le portail public de l'EEOC. Sohaib a exécuté une requête de base de données et l'a fournie ; Muneeb a ensuite utilisé les identifiants pour accéder sans autorisation à l'e-mail du plaignant. Cet incident est devenu plus tard central dans l'accusation de trafic de mots de passe de Sohaib.

Le licenciement et le carnage de 56 minutes

Le 18 février 2025, la FDIC a signalé la condamnation antérieure de Sohaib lors d'une vérification d'antécédents pour un rôle potentiel au Bureau de l'Inspecteur Général de la FDIC. Opexus a licencié les deux frères lors d'une réunion à distance sur Microsoft Teams/RH qui s'est terminée vers 16h50-16h55.

La procédure de départ était défectueuse : le compte de Muneeb est resté actif. ARS Technica a le chronologie :

À 16h56, Muneeb a accédé à une base de données du gouvernement américain que son entreprise maintenait. Il "a émis des commandes pour empêcher d'autres utilisateurs de se connecter ou d'apporter des modifications à la base de données, puis a émis une commande pour supprimer la base de données", a déclaré le gouvernement.

À 16h58, il a effacé une base de données du Department of Homeland Security en utilisant la commande "DROP DATABASE dhsproddb".

À 16h59, il a demandé à un outil d'IA : "Comment effacer les journaux système des serveurs SQL après la suppression des bases de données ?" Il a ensuite demandé : "Comment effacer tous les journaux d'événements et d'applications d'un serveur Microsoft Windows 2012 ?"

En l'espace d'une heure, Muneeb a supprimé environ 96 bases de données contenant des informations du gouvernement américain. Il a téléchargé 1 805 fichiers appartenant à l'EEOC et les a stockés sur une clé USB, puis a récupéré des informations fiscales fédérales pour au moins 450 personnes.

Les frères ont discuté de l'attaque en temps réel. Sohaib a observé Muneeb "nettoyer leurs sauvegardes de bases de données". Ils ont même interrogé un outil d'IA sur la manière d'effacer les journaux des serveurs SQL et les journaux d'événements Windows. Ils ont ensuite réinstallé les systèmes d'exploitation sur leurs ordinateurs portables d'entreprise pour détruire les preuves.

Et qu'ont-ils fait d'autre ?

Sur la base des documents judiciaires (Acte d'accusation modificatif + Déclaration de faits détaillée de Muneeb Akhter de son accord de plaidoyer d'avril 2026), les frères étaient impliqués dans pas mal de bêtises.

Massive extraction supplémentaire de données (1,2 million de lignes) : Muneeb n'a pas seulement volé environ 5 400 noms d'utilisateur/mots de passe d'Opexus. Il possédait également un fichier séparé contenant environ 1,2 million de lignes de noms complets, d'adresses e-mail, de numéros de téléphone, d'adresses physiques et de hachages de mots de passe. Ceci était stocké sur son ordinateur portable personnel, son téléphone Android, son disque dur externe et ses comptes cloud.

L'abus d'identifiants a duré 10 mois après leur licenciement : Les suppressions de bases de données ont eu lieu le 18 février 2025, mais Muneeb a continué à utiliser activement les identifiants volés de mai 2025 jusqu'à son arrestation le 3 décembre 2025. Il a écrit des scripts Python personnalisés (dont un nommé marriott_checker.py), a lancé des attaques par bourrage d'identifiants sur des hôtels, des compagnies aériennes et des banques, et s'est connecté avec succès à des centaines de comptes de victimes.

Prises de contrôle de compte sophistiquées avec ses propres domaines : Il ne s'est pas contenté de se connecter - il a modifié les adresses e-mail de récupération des victimes sur les comptes de compagnies aériennes, d'hôtels et de banques pour des adresses qu'il contrôlait, telles que [NomDeLaVictime]@wardensys.com ou @wardensystems.com (domaines qu'il possédait). Cela lui a permis d'exclure les propriétaires légitimes et de continuer à utiliser les comptes.

Brainstorming de chantage en temps réel pendant le carnage de suppression : Vers 17h12 le 18 février - alors que Muneeb supprimait encore des bases de données - les frères ont littéralement discuté du chantage d'Opexus. Sohaib a dit quelque chose comme : "tu aurais dû avoir un script d'arrêt, genre, les faire chanter pour de l'argent..." Muneeb a rejeté l'idée, répondant que ce serait une preuve évidente de culpabilité. Ils ont également débattu de la question de savoir s'il fallait contacter les clients.

"Nettoyer les choses de l'autre maison" : Au cours de la même conversation, Sohaib a dit : "Il faut aussi nettoyer les choses de l'autre maison, mec." Cela implique fortement qu'ils avaient des preuves ou des données volées dans un second lieu.

Muneeb s'est enfui avec une carte PIV délivrée par le gouvernement : Lorsque Muneeb s'est rendu au Texas le 24 février 2025, il a emporté son ordinateur portable personnel, son téléphone et une carte d'identification personnelle (PIV) délivrée par une agence gouvernementale américaine. (Les cartes PIV sont les cartes à puce de haute sécurité que les employés/sous-traitants fédéraux utilisent pour l'accès aux systèmes.)

Autres pépites plus petites mais sauvages

Un "co-conspirateur" (identité non spécifiée dans les documents publics) a effacé les deux ordinateurs portables de l'entreprise en réinstallant le système d'exploitation les 21-22 février.
Muneeb a utilisé deux fois des miles American Airlines volés : 29 000 miles pour un vrai vol qu'il a réellement effectué (SLC → DC le 29 novembre 2025) et 14 500 miles pour un autre billet qu'il a réservé mais n'a pas utilisé.
Muneeb avait un autre chef d'accusation de vol d'identité aggravé datant d'août 2022 (avant Opexus) impliquant le passeport et les informations personnelles de quelqu'un.
Des armes aussi !

Un mandat de perquisition fédéral exécuté au domicile de Sohaib à Alexandria le 12 mars 2025 a permis de découvrir sept armes à feu (y compris des fusils M1 et M1A, un fusil Ruger Glenfield Model 60 .22, un pistolet Ruger .22 et un revolver Colt .38 Special) ainsi qu'environ 378 cartouches de calibre .30. En vertu de la loi de Virginie à l'époque, ces armes et munitions étaient parfaitement légales pour une personne non interdite de posséder - pas d'interdiction d'armes d'assaut, pas de limites de chargeur, pas de restrictions sur les modèles spécifiques. La seule interdiction était le statut de Sohaib en tant que criminel condamné, ce qui rendait la possession illégale en vertu de la loi fédérale (18 U.S.C. § 922(g)).

Les frères ont été arrêtés le 3 décembre 2025. Muneeb a finalement plaidé coupable de chefs d'accusation majeurs, notamment fraude informatique et destruction de documents. Sohaib a été jugé.

Le 7 mai 2026, un jury fédéral à Alexandria a déclaré Sohaib Akhter coupable de trois chefs d'accusation : complot en vue de commettre une fraude informatique, trafic de mots de passe et possession d'une arme à feu par une personne interdite. Il encourt une peine maximale de 21 ans de prison et sa sentence est prévue pour le 9 septembre 2026. Muneeb fait face à des accusations supplémentaires et à des peines potentielles allant jusqu'à 45 ans.

Alors, oups...

Soit dit en passant, vous vous souvenez quand les démocrates de la Chambre ont laissé les frères Awan faire ce qu'ils voulaient dans leur réseau pendant 13 ans, ont été licenciés pour suspicion d'accès non autorisé aux serveurs, irrégularités d'approvisionnement et possible exfiltration de données, et que l'un d'eux a pu plaider coupable d'une accusation de fausse déclaration sur une demande de prêt et a été condamné à une peine purgée - pour ensuite recevoir un règlement de 850 000 $ pour licenciement abusif par les cinq travailleurs technologiques pakistano-américains impliqués dans cette saga ? Fou !

Tyler Durden
Mer, 13/05/2026 - 14:30