पूर्व-कॉन हैकर जुड़वाँ बर्खास्त - मिनटों में 96 सरकारी डेटाबेस को मिटाने के लिए आगे बढ़े

पूर्व-कॉन हैकर जुड़वाँ बर्खास्त - मिनटों में 96 सरकारी डेटाबेस को मिटाने के लिए आगे बढ़े

नियोक्ताओं के लिए नोट: जब आपको पता चले कि आपके जुड़वाँ भाई कर्मचारी पूर्व-अपराधी हैं जिन्होंने हैकिंग के लिए समय बिताया है अमेरिकी विदेश विभाग में, और उन्हें निकालने के लिए जाते हैं, तो सुनिश्चित करें कि आप उनके एक्सेस को पूरी तरह से अक्षम कर दें।

फरवरी 2025, जुड़वाँ भाई मुनीब और सोहैब अख्तर ने एक नियमित नौकरी समाप्ति को हाल के अमेरिकी सरकारी इतिहास की सबसे साहसी अंदरूनी तोड़फोड़ की घटनाओं में से एक में बदल दिया। ओपेक्सस - वाशिंगटन, डी.सी.-क्षेत्र के एक ठेकेदार से निकाले जाने के कुछ ही मिनटों बाद, जो 45 से अधिक संघीय एजेंसियों को महत्वपूर्ण केस-मैनेजमेंट सॉफ्टवेयर प्रदान करता है - भाइयों ने कथित तौर पर एक तेज डिजिटल हमला शुरू किया जिसने लगभग 96 सरकारी डेटाबेस को हटा दिया जिसमें संवेदनशील FOIA रिकॉर्ड, जांच फाइलें और करदाता डेटा शामिल थे।
मुनीब और सोहैब अख्तर

जो बात इस मामले को विशेष रूप से चौंकाने वाली बनाती थी, वह थी भाइयों का पिछला इतिहास: दोनों ने एक दशक पहले संघीय प्रणालियों में हैकिंग के लिए जेल की सजा काटी थी।

एक दशक पुराना आपराधिक रिकॉर्ड

34 वर्षीय अख्तर भाई, दोनों अलेक्जेंड्रिया, वर्जीनिया के रहने वाले थे, उनका एक आपराधिक अतीत था जिसे ओपेक्सस ने पूरी तरह से अनदेखा कर दिया - जो कि वे जो करते हैं उसे देखते हुए, बहुत अच्छा नहीं है। 2015 में, ठेकेदारों के रूप में काम करते हुए, उन्होंने वायर धोखाधड़ी करने की साजिश, अनधिकृत रूप से संरक्षित कंप्यूटरों तक पहुंचने की साजिश, और संबंधित आरोपों के लिए दोषी ठहराया। उनके अपराधों में अमेरिकी विदेश विभाग की प्रणालियों और एक निजी कंपनी में हैकिंग, सहकर्मियों, परिचितों और यहां तक कि एक संघीय जांचकर्ता के व्यक्तिगत डेटा की चोरी शामिल थी।

मुनीब को 39 महीने की जेल की सजा मिली; सोहैब को 24 महीने मिले। दोनों ने अपनी सजा काटी और रिहा हो गए।

और फिर भी...

2023-2024 तक, भाइयों ने ओपेक्सस (जिसे पहले AINS के नाम से जाना जाता था) में इंजीनियरिंग भूमिकाएं हासिल कर ली थीं, जो FedRAMP-प्रमाणित केस-मैनेजमेंट प्लेटफॉर्म में विशेषज्ञता वाली फर्म है। इसके प्रमुख उत्पाद - FOIAXpress और eCASE सुइट - एजेंसियों को सूचना की स्वतंत्रता अधिनियम अनुरोध, ऑडिट, जांच, EEO शिकायतें और कांग्रेस पत्राचार संसाधित करने में मदद करते हैं। ओपेक्सस सिस्टम ऐशबर्न, वर्जीनिया में सर्वर पर संवेदनशील सरकारी डेटा होस्ट करते हैं।

कंपनी ने लगभग सात साल तक चलने वाली मानक पृष्ठभूमि जांच की - जिसने 2015 के दोषसिद्धि को छोड़ दिया। ओपेक्सस ने बाद में स्वीकार किया कि "अतिरिक्त सावधानी बरती जानी चाहिए थी" और जुड़वाँ को काम पर रखने के लिए जिम्मेदार व्यक्ति अब कंपनी में नहीं हैं।

निकाले जाने के समय ओपेक्सस को अनजाने में, भाइयों ने हफ्तों से अपने एक्सेस का दुरुपयोग किया था। मुनीब ने कंपनी के नेटवर्क से लगभग 5,400 उपयोगकर्ता नाम और पासवर्ड एकत्र किए थे और उन्हें बाहरी साइटों (मैरियट और डॉक्यूसाइन सहित) के खिलाफ परीक्षण करने के लिए कस्टम स्क्रिप्ट बनाई थी। उसने सफलतापूर्वक खातों में लॉग इन किया और, कुछ मामलों में, पीड़ितों के एयरलाइन मील का उपयोग किया।

1 फरवरी, 2025 - उनकी बर्खास्तगी से दो सप्ताह से अधिक समय पहले - मुनीब ने सोहैब से ईईओसी पब्लिक पोर्टल के माध्यम से शिकायत दर्ज करने वाले व्यक्ति के प्लेनटेक्स्ट पासवर्ड के बारे में पूछा। सोहैब ने एक डेटाबेस क्वेरी चलाई और उसे प्रदान किया; मुनीब ने फिर अनधिकृत रूप से शिकायतकर्ता के ईमेल तक पहुंचने के लिए क्रेडेंशियल्स का इस्तेमाल किया। यह घटना बाद में सोहैब के पासवर्ड-ट्रैफ़िकिंग आरोप का केंद्रीय हिस्सा बन गई।

बर्खास्तगी और 56-मिनट का नरसंहार

18 फरवरी, 2025 को, एफडीआईसी ने एफडीआईसी इंस्पेक्टर जनरल के कार्यालय में एक संभावित नई भूमिका के लिए पृष्ठभूमि जांच के दौरान सोहैब की पिछली दोषसिद्धि को चिह्नित किया। ओपेक्सस ने एक दूरस्थ माइक्रोसॉफ्ट टीम्स/एचआर बैठक के दौरान दोनों भाइयों को निकाल दिया जो लगभग 4:50-4:55 बजे समाप्त हुई।

ऑफबोर्डिंग त्रुटिपूर्ण थी: मुनीब का खाता सक्रिय रहा। एआरएस टेक्नीका के पास समयरेखा है:

शाम 4:56 बजे, मुनीब ने एक अमेरिकी सरकारी डेटाबेस तक पहुँचा जिसे उसकी कंपनी बनाए रखती थी। सरकार ने कहा, "उसने अन्य उपयोगकर्ताओं को डेटाबेस से कनेक्ट करने या परिवर्तन करने से रोकने के लिए कमांड जारी किए, और फिर डेटाबेस को हटाने के लिए एक कमांड जारी किया।"

शाम 4:58 बजे, उसने "DROP DATABASE dhsproddb" कमांड का उपयोग करके एक गृहभूमि सुरक्षा डेटाबेस को मिटा दिया।

शाम 4:59 बजे, उसने एक एआई टूल से पूछा, "डेटाबेस हटाने के बाद एसक्यूएल सर्वर से सिस्टम लॉग कैसे साफ करें?" उसने बाद में पूछा, "आप माइक्रोसॉफ्ट विंडोज सर्वर 2012 से सभी इवेंट और एप्लिकेशन लॉग कैसे साफ करते हैं?"

एक घंटे के भीतर, मुनीब ने अमेरिकी सरकार की जानकारी वाले लगभग 96 डेटाबेस हटा दिए। उसने ईईओसी से संबंधित 1,805 फाइलें डाउनलोड कीं और उन्हें एक यूएसबी ड्राइव पर संग्रहीत किया, फिर कम से कम 450 लोगों के लिए संघीय कर जानकारी प्राप्त की।

भाइयों ने वास्तविक समय में हमले पर चर्चा की। सोहैब ने मुनीब को "उनके डेटाबेस बैकअप को साफ करते हुए" देखा। उन्होंने एसक्यूएल सर्वर लॉग और विंडोज इवेंट लॉग को कैसे साफ करें, इस पर एक एआई टूल से भी पूछताछ की। उन्होंने बाद में सबूत नष्ट करने के लिए अपने कंपनी लैपटॉप पर ऑपरेटिंग सिस्टम को फिर से स्थापित किया।

और उन्होंने और क्या किया?

कोर्ट के दस्तावेजों (सुपरसीडिंग इंडिक्टमेंट + अप्रैल 2026 के उनके प्ली डील से मुनीब अख्तर का विस्तृत फैक्ट स्टेटमेंट) के आधार पर, भाइयों ने बहुत सारी शरारतें कीं।

बड़े पैमाने पर अतिरिक्त डेटा की चोरी (1.2 मिलियन लाइन): मुनीब ने ओपेक्सस से केवल ~5,400 उपयोगकर्ता नाम/पासवर्ड नहीं चुराए। उसके पास एक अलग फाइल भी थी जिसमें ~1.2 मिलियन लाइनों में पूरे नाम, ईमेल पते, फोन नंबर, भौतिक पते और पासवर्ड हैश थे। यह उसके व्यक्तिगत लैपटॉप, एंड्रॉइड फोन, बाहरी हार्ड ड्राइव और क्लाउड खातों में संग्रहीत था।

क्रेडेंशियल का दुरुपयोग निकालने के 10 महीने बाद तक जारी रहा: डेटाबेस को हटाना 18 फरवरी, 2025 को हुआ, लेकिन मुनीब ने मई 2025 से लेकर 3 दिसंबर, 2025 को अपनी गिरफ्तारी तक सक्रिय रूप से चोरी किए गए क्रेडेंशियल्स का उपयोग करना जारी रखा। उसने कस्टम पायथन स्क्रिप्ट लिखी (एक का नाम marriott_checker.py था), होटलों, एयरलाइनों और बैंकों पर क्रेडेंशियल-स्टफिंग हमले चलाए, और सैकड़ों पीड़ितों के खातों में सफलतापूर्वक लॉग इन किया।

अपने स्वयं के डोमेन के साथ परिष्कृत खाता अधिग्रहण: उसने केवल लॉग इन नहीं किया - उसने एयरलाइन, होटल और बैंक खातों पर पीड़ितों के रिकवरी ईमेल पते उन पतों पर बदल दिए जिन्हें वह नियंत्रित करता था, जैसे [VictimName]@wardensys.com या @wardensystems.com (डोमेन जो उसके स्वामित्व में थे)। इससे वह असली मालिकों को बाहर कर सका और खातों का उपयोग जारी रख सका।

हटाने के नरसंहार के दौरान वास्तविक समय में ब्लैकमेल मंथन: 18 फरवरी को ~5:12 बजे - जब मुनीब अभी भी डेटाबेस हटा रहा था - भाइयों ने सचमुच ओपेक्सस को ब्लैकमेल करने पर चर्चा की। सोहैब ने कुछ ऐसा कहा: "आपके पास एक किल स्क्रिप्ट होनी चाहिए थी, जैसे, कुछ पैसे के लिए उन्हें ब्लैकमेल करना..." मुनीब ने इसे खारिज कर दिया, यह कहते हुए कि यह अपराध का स्पष्ट प्रमाण होगा। उन्होंने ग्राहकों से संपर्क करने के बारे में भी बहस की।

"दूसरे घर से चीजें साफ करो": उसी बातचीत के दौरान, सोहैब ने कहा: "हमें दूसरे घर से भी चीजें साफ करनी हैं, यार।" यह दृढ़ता से इंगित करता है कि उनके पास दूसरे स्थान पर सबूत या चोरी का डेटा था।

मुनीब एक सरकारी जारी पीआईवी कार्ड के साथ भाग गया: जब मुनीब 24 फरवरी, 2025 को टेक्सास के लिए ड्राइव कर रहा था, तो उसने अपना व्यक्तिगत लैपटॉप, फोन और एक अमेरिकी सरकारी एजेंसी द्वारा जारी व्यक्तिगत पहचान सत्यापन (पीआईवी) कार्ड लिया। (पीआईवी कार्ड संघीय कर्मचारियों/ठेकेदारों द्वारा सिस्टम एक्सेस के लिए उपयोग किए जाने वाले उच्च-सुरक्षा स्मार्ट कार्ड हैं।)

अन्य छोटे लेकिन जंगली अंश

एक "सह-षड्यंत्रकारी" (सार्वजनिक दस्तावेजों में पहचान निर्दिष्ट नहीं है) ने 21-22 फरवरी को ओएस को फिर से स्थापित करके दोनों कंपनी लैपटॉप को मिटा दिया।
मुनीब ने चोरी किए गए अमेरिकन एयरलाइंस मील का दो बार इस्तेमाल किया: 29,000 मील एक वास्तविक उड़ान के लिए जो उसने वास्तव में ली थी (एसएसएलसी → डीसी 29 नवंबर, 2025 को) और 14,500 मील एक और टिकट के लिए जिसे उसने बुक किया था लेकिन इस्तेमाल नहीं किया।
मुनीब के पास अगस्त 2022 (पूर्व-ओपेक्सस) से किसी के पासपोर्ट और व्यक्तिगत जानकारी से संबंधित एक अलग गंभीर पहचान चोरी का आरोप था।
बंदूकें भी!

12 मार्च, 2025 को अलेक्जेंड्रिया में सोहैब के घर पर निष्पादित एक संघीय खोज वारंट में सात आग्नेयास्त्र (एम1 और एम1ए राइफल, एक ग्लेनफील्ड मॉडल 60 .22 राइफल, एक रगर .22 पिस्तौल, और एक कोल्ट .38 स्पेशल रिवॉल्वर सहित) और लगभग 378 राउंड .30-कैलिबर गोला-बारूद का पता चला। उस समय वर्जीनिया कानून के तहत, ये बंदूकें और गोला-बारूद एक गैर-निषिद्ध व्यक्ति के लिए पूरी तरह से कानूनी थे - कोई हमला-हथियार प्रतिबंध नहीं, कोई पत्रिका सीमा नहीं, विशिष्ट मॉडलों पर कोई प्रतिबंध नहीं। एकमात्र निषेध सोहैब की दोषी अपराधी के रूप में स्थिति थी, जिसने संघीय कानून (18 यू.एस.सी. § 922 (जी)) के तहत कब्जे को अवैध बना दिया।

भाइयों को 3 दिसंबर, 2025 को गिरफ्तार किया गया था। मुनीब ने अंततः कंप्यूटर धोखाधड़ी और रिकॉर्ड विनाश सहित प्रमुख आरोपों के लिए दोषी ठहराया। सोहैब पर मुकदमा चला।

7 मई, 2026 को, अलेक्जेंड्रिया में एक संघीय जूरी ने सोहैब अख्तर को तीन आरोपों में दोषी ठहराया: कंप्यूटर धोखाधड़ी की साजिश, पासवर्ड की तस्करी, और एक निषिद्ध व्यक्ति द्वारा आग्नेयास्त्र का कब्जा। उसे अधिकतम 21 साल की जेल का सामना करना पड़ता है और उसे 9 सितंबर, 2026 को सजा सुनाई जानी है। मुनीब पर अतिरिक्त आरोप और 45 साल तक की संभावित दंड का सामना करना पड़ता है।

तो, ऊप्स...

एक तरफ, याद रखें कि जब हाउस डेमोक्रेट्स ने अवान भाइयों को 13 वर्षों तक अपने नेटवर्क में बेतहाशा घूमने दिया, संदिग्ध अनधिकृत सर्वर एक्सेस, खरीद अनियमितताओं, और संभावित डेटा एक्सफ़िल्टरेशन के लिए निकाल दिया गया, और उनमें से एक ने ऋण आवेदन पर झूठा बयान देने के एक आरोप के लिए दोषी ठहराया और सेवा किए गए समय की सजा सुनाई - केवल फिर उस गाथा में शामिल पांच पाकिस्तानी-अमेरिकी तकनीकी श्रमिकों द्वारा $850,000 का गलत समाप्ति समझौता प्राप्त करने के लिए? पागल!

टायलर डर्डन
बुध, 05/13/2026 - 14:30