Ex-Con Hacker Twins Licenziati - Procedono a Cancellare 96 Database Governativi in Pochi Minuti

Ex-Con Hacker Twins Licenziati - Procedono a Cancellare 96 Database Governativi in Pochi Minuti

Nota per i datori di lavoro: Quando scoprite che i vostri dipendenti gemelli sono ex detenuti che hanno scontato la pena per aver hackerato il Dipartimento di Stato USA, e decidete di licenziarli, assicuratevi di disabilitare completamente il loro accesso.

Febbraio 2025, i fratelli gemelli Muneeb e Sohaib Akhter hanno trasformato un licenziamento di routine in uno degli incidenti di sabotaggio interno più sfacciati nella recente storia del governo USA. Pochi minuti dopo essere stati licenziati da Opexus - un appaltatore dell'area di Washington, D.C. che fornisce software critico di gestione dei casi a oltre 45 agenzie federali - i fratelli avrebbero lanciato un rapido assalto digitale che ha cancellato circa 96 database governativi contenenti registri FOIA sensibili, file investigativi e dati dei contribuenti.
Muneeb e Sohaib Akhter

Ciò che ha reso il caso particolarmente scioccante è stata la storia pregressa dei fratelli: entrambi avevano scontato il carcere per aver hackerato sistemi federali un decennio prima.

Un Casellario Giudiziale Decennale

I fratelli Akhter, entrambi 34enni e residenti ad Alexandria, Virginia, avevano un passato criminale che Opexus aveva completamente trascurato - il che, dato quello che fanno, non è un buon segno. Nel 2015, mentre lavoravano come appaltatori, si sono dichiarati colpevoli di cospirazione per commettere frode telematica, cospirazione per accedere a computer protetti senza autorizzazione e accuse correlate. I loro crimini includevano l'accesso ai sistemi del Dipartimento di Stato USA e di una società privata, rubando dati personali di colleghi, conoscenti e persino di un investigatore federale.

Muneeb ha ricevuto una condanna a 39 mesi di carcere; Sohaib ha ricevuto 24 mesi. Entrambi hanno scontato la pena e sono stati rilasciati.

Eppure...

Nel 2023-2024, i fratelli avevano ottenuto ruoli di ingegnere presso Opexus (precedentemente nota come AINS), un'azienda specializzata in piattaforme di gestione dei casi certificate FedRAMP. I suoi prodotti di punta - FOIAXpress e la suite eCASE - aiutano le agenzie a elaborare richieste di Freedom of Information Act, audit, indagini, reclami EEO e corrispondenza congressuale. I sistemi Opexus ospitano dati governativi sensibili su server ad Ashburn, Virginia.

L'azienda ha condotto controlli standard del background che coprivano circa sette anni - i quali hanno omesso le condanne del 2015. Opexus ha successivamente ammesso che "avrebbe dovuto essere applicata una diligenza aggiuntiva" e che gli individui responsabili dell'assunzione dei gemelli non sono più con l'azienda.

All'insaputa di Opexus al momento del licenziamento, i fratelli avevano abusato del loro accesso per settimane. Muneeb aveva raccolto circa 5.400 nomi utente e password dalla rete dell'azienda e creato script personalizzati per testarli contro siti esterni (inclusi Marriott e DocuSign). È riuscito ad accedere agli account e, in alcuni casi, ha utilizzato i miglia aerei delle vittime.

Il 1° febbraio 2025 - più di due settimane prima del loro licenziamento - Muneeb ha chiesto a Sohaib la password in chiaro di un individuo che aveva presentato un reclamo tramite il Portale Pubblico dell'EEOC. Sohaib ha eseguito una query sul database e l'ha fornita; Muneeb ha quindi utilizzato le credenziali per accedere all'email del denunciante senza autorizzazione. Questo incidente è in seguito diventato centrale per l'accusa di traffico di password di Sohaib.

Il Licenziamento e la Furiosa Aggressione di 56 Minuti

Il 18 febbraio 2025, l'FDIC ha segnalato la precedente condanna di Sohaib durante un controllo del background per un potenziale nuovo ruolo presso l'Ufficio dell'Ispettore Generale dell'FDIC. Opexus ha licenziato entrambi i fratelli durante una riunione remota di Microsoft Teams/HR terminata intorno alle 16:50-16:55.

Il processo di offboarding è stato difettoso: l'account di Muneeb è rimasto attivo. ARS Technica ha la cronologia:

Alle 16:56, Muneeb ha avuto accesso a un database del governo USA che la sua azienda manteneva. Ha "emesso comandi per impedire ad altri utenti di connettersi o apportare modifiche al database, e poi ha emesso un comando per eliminare il database", ha dichiarato il governo.

Alle 16:58, ha cancellato un database del Dipartimento di Sicurezza Interna utilizzando il comando "DROP DATABASE dhsproddb".

Alle 16:59, ha chiesto a uno strumento AI, "Come si cancellano i log di sistema dai server SQL dopo aver eliminato i database?" Successivamente ha chiesto, "Come si cancellano tutti i log di eventi e applicazioni dal server Microsoft Windows 2012?"

Nel giro di un'ora, Muneeb ha cancellato circa 96 database contenenti informazioni del governo USA. Ha scaricato 1.805 file appartenenti all'EEOC e li ha archiviati su un'unità USB, poi ha preso informazioni fiscali federali per almeno 450 persone.

I fratelli hanno discusso dell'attacco in tempo reale. Sohaib ha osservato Muneeb "pulire i loro backup del database". Hanno persino interrogato uno strumento AI su come cancellare i log dei server SQL e i log degli eventi di Windows. Successivamente hanno reinstallato i sistemi operativi sui loro laptop aziendali per distruggere le prove.

E Cos'altro Hanno Fatto?

Sulla base dei documenti del tribunale (Superseding Indictment + Dichiarazione dei Fatti dettagliata di Muneeb Akhter dal suo accordo di patteggiamento dell'aprile 2026), i fratelli erano coinvolti in un bel po' di guai.

Massiccio recupero dati aggiuntivo (1,2 milioni di righe): Muneeb non ha solo rubato circa 5.400 nomi utente/password da Opexus. Possedeva anche un file separato contenente circa 1,2 milioni di righe di nomi completi, indirizzi email, numeri di telefono, indirizzi fisici e hash di password. Questo era archiviato sul suo laptop personale, telefono Android, disco rigido esterno e account cloud.

L'abuso delle credenziali è continuato per 10 mesi dopo il loro licenziamento: Le cancellazioni dei database sono avvenute il 18 febbraio 2025, ma Muneeb ha continuato a utilizzare attivamente le credenziali rubate da maggio 2025 fino al suo arresto il 3 dicembre 2025. Ha scritto script Python personalizzati (uno chiamato letteralmente marriott_checker.py), ha eseguito attacchi di credential stuffing contro hotel, compagnie aeree e banche, ed è riuscito ad accedere a centinaia di account delle vittime.

Sophisticated account takeovers con i propri domini: Non si è limitato ad accedere - ha modificato gli indirizzi email di recupero delle vittime sugli account di compagnie aeree, hotel e banche con indirizzi da lui controllati, come [NomeVittima]@wardensys.com o @wardensystems.com (domini di sua proprietà). Questo gli ha permesso di bloccare i legittimi proprietari e continuare a utilizzare gli account.

Brainstorming sul ricatto in tempo reale durante la furia di cancellazione: Alle 16:12 circa del 18 febbraio - mentre Muneeb stava ancora cancellando i database - i fratelli hanno letteralmente discusso di ricattare Opexus. Sohaib ha detto qualcosa del tipo: "avresti dovuto avere uno script di spegnimento, tipo, ricattarli per dei soldi..." Muneeb l'ha respinto, rispondendo che sarebbe stata una prova ovvia di colpevolezza. Hanno anche discusso se contattare i clienti.

"Pulire le cose dall'altra casa": Durante la stessa conversazione, Sohaib ha detto: "Dobbiamo anche pulire le cose dall'altra casa, amico." Questo implica fortemente che avessero prove o dati rubati in una seconda località.

Muneeb è fuggito con una carta PIV emessa dal governo: Quando Muneeb è partito in auto per il Texas il 24 febbraio 2025, ha portato con sé il suo laptop personale, il telefono e una carta di verifica dell'identità personale (PIV) emessa da un'agenzia del governo USA. (Le carte PIV sono le smart card ad alta sicurezza che i dipendenti/appaltatori federali utilizzano per l'accesso ai sistemi.)

Altri piccoli ma selvaggi dettagli

Un "complice" (identità non specificata nei documenti pubblici) ha cancellato entrambi i laptop aziendali reinstallando il sistema operativo il 21-22 febbraio.
Muneeb ha utilizzato miglia rubate di American Airlines due volte: 29.000 miglia per un volo reale che ha effettivamente preso (SLC → DC il 29 novembre 2025) e 14.500 miglia per un altro biglietto che ha prenotato ma non ha utilizzato.
Muneeb aveva un conteggio separato di furto d'identità aggravato dall'agosto 2022 (pre-Opexus) che coinvolgeva il passaporto e le informazioni personali di qualcuno.
Anche le armi!

Un mandato di perquisizione federale eseguito nella casa di Sohaib ad Alexandria il 12 marzo 2025 ha scoperto sette armi da fuoco (inclusi fucili M1 e M1A, un fucile Ruger .22 Model 60, una pistola Ruger .22 e un revolver Colt .38 Special) più circa 378 colpi di munizioni calibro .30. Secondo la legge della Virginia all'epoca, queste armi e le munizioni erano perfettamente legali per una persona non proibita da possedere - nessun divieto di armi d'assalto, nessun limite ai caricatori, nessuna restrizione sui modelli specifici. L'unica proibizione era lo status di Sohaib come criminale condannato, che rendeva il possesso illegale secondo la legge federale (18 U.S.C. § 922(g)).

I fratelli sono stati arrestati il 3 dicembre 2025. Muneeb si è infine dichiarato colpevole di accuse gravi, tra cui frode informatica e distruzione di documenti. Sohaib è andato a processo.

Il 7 maggio 2026, una giuria federale ad Alexandria ha condannato Sohaib Akhter per tre capi d'accusa: cospirazione per commettere frode informatica, traffico di password e possesso di un'arma da fuoco da parte di una persona proibita. Rischia un massimo di 21 anni di carcere ed è prevista la sua condanna il 9 settembre 2026. Muneeb affronta accuse aggiuntive e potenziali pene fino a 45 anni.

Quindi, ops...

A parte, ricordate quando i Democratici della Camera hanno lasciato che gli Awan Brothers facessero quello che volevano nella loro rete per 13 anni, sono stati licenziati per sospetto accesso non autorizzato ai server, irregolarità negli acquisti e possibile esfiltrazione di dati, e uno di loro è stato in grado di dichiararsi colpevole di un capo d'accusa di aver fatto una dichiarazione falsa su una domanda di prestito e condannato al tempo scontato - solo per poi ricevere un risarcimento di 850.000 dollari per licenziamento illegittimo dai cinque lavoratori tecnologici pakistano-americani coinvolti nella saga? Pazzesco!

Tyler Durden
Mer, 13/05/2026 - 14:30