Byli Skazańcy Hakerzy Zwolnieni - W ciągu kilku minut wymazali 96 baz danych rządowych

Byli Skazańcy Hakerzy Zwolnieni - W ciągu kilku minut wymazali 96 baz danych rządowych

Uwaga dla pracodawców: Kiedy odkryjesz, że twoi bracia-pracownicy to byli skazańcy, którzy odsiedzieli wyrok za włamanie do Departamentu Stanu USA, i zamierzasz ich zwolnić, upewnij się, że całkowicie zablokowałeś im dostęp.

Luty 2025, bliźniacy Muneeb i Sohaib Akhter zamienili rutynowe zwolnienie z pracy w jeden z najbardziej zuchwałych incydentów sabotażu wewnętrznego w najnowszej historii rządu USA. Kilka minut po zwolnieniu z Opexus - firmy z okolic Waszyngtonu, która dostarcza krytyczne oprogramowanie do zarządzania sprawami dla ponad 45 agencji federalnych - bracia rzekomo rozpoczęli szybki atak cyfrowy, który usunął około 96 baz danych rządowych zawierających poufne rekordy FOIA, akta śledztwa i dane podatników.
Muneeb i Sohaib Akhter

Szczególnie szokujący był wcześniejszy historia braci: obaj odbyli karę więzienia za włamanie do systemów federalnych dekadę wcześniej.

Dziesięcioletnia historia kryminalna

Bracia Akhter, obaj w wieku 34 lat i pochodzący z Aleksandrii w Wirginii, mieli przeszłość kryminalną, której Opexus całkowicie nie zauważył - co, biorąc pod uwagę ich pracę, nie jest dobre. W 2015 roku, pracując jako wykonawcy, przyznali się do spisku w celu popełnienia oszustwa komputerowego, spisku w celu uzyskania nieautoryzowanego dostępu do chronionych komputerów i powiązanych zarzutów. Ich przestępstwa obejmowały włamanie do systemów Departamentu Stanu USA i prywatnej firmy, kradzież danych osobowych współpracowników, znajomych, a nawet federalnego śledczego.

Muneeb otrzymał wyrok 39 miesięcy więzienia; Sohaib otrzymał 24 miesiące. Obaj odbyli swoje kary i zostali zwolnieni.

A jednak...

Do 2023-2024 roku bracia znaleźli zatrudnienie na stanowiskach inżynierskich w Opexus (wcześniej znanej jako AINS), firmie specjalizującej się w platformach do zarządzania sprawami z certyfikatem FedRAMP. Jej flagowe produkty - FOIAXpress i pakiet eCASE - pomagają agencjom przetwarzać wnioski o informacje na mocy Ustawy o wolności informacji, audyty, dochodzenia, skargi EEO i korespondencję kongresową. Systemy Opexus przechowują poufne dane rządowe na serwerach w Ashburn w Wirginii.

Firma przeprowadziła standardowe sprawdzenia przeszłości obejmujące około siedmiu lat - co nie uwzględniło wyroków z 2015 roku. Opexus później przyznał, że "należało zastosować dodatkową staranność" i że osoby odpowiedzialne za zatrudnienie bliźniaków nie pracują już w firmie.

Niezauważone przez Opexus w momencie zwolnienia, bracia przez tygodnie nadużywali swojego dostępu. Muneeb zebrał około 5400 nazw użytkowników i haseł z sieci firmy i stworzył niestandardowe skrypty do testowania ich przeciwko zewnętrznym stronom (w tym Marriott i DocuSign). Z powodzeniem logował się do kont, a w niektórych przypadkach wykorzystywał mile lotnicze ofiar.

1 lutego 2025 r. - ponad dwa tygodnie przed zwolnieniem - Muneeb poprosił Sohaiba o hasło w postaci czystego tekstu osoby, która złożyła skargę za pośrednictwem Portalu Publicznego EEOC. Sohaib wykonał zapytanie do bazy danych i je dostarczył; Muneeb następnie wykorzystał dane uwierzytelniające do nieautoryzowanego dostępu do poczty elektronicznej skarżącego. Ten incydent stał się później centralnym punktem zarzutu o handel hasłami dla Sohaiba.

Zwolnienie i 56-minutowa Rzeź

18 lutego 2025 r. FDIC oznaczył wcześniejsze skazanie Sohaiba podczas sprawdzania przeszłości pod kątem potencjalnej nowej roli w Biurze Inspektora Generalnego FDIC. Opexus zwolnił obu braci podczas zdalnego spotkania Microsoft Teams/HR, które zakończyło się około 16:50-16:55.

Proces wyrejestrowania był wadliwy: konto Muneeba pozostało aktywne. ARS Technica ma oś czasu:

O 16:56 Muneeb uzyskał dostęp do bazy danych rządu USA, którą utrzymywała jego firma. "Wydał polecenia uniemożliwiające innym użytkownikom połączenie lub wprowadzenie zmian w bazie danych, a następnie wydał polecenie usunięcia bazy danych", podała prokuratura.

O 16:58 wymazał bazę danych Departamentu Bezpieczeństwa Wewnętrznego za pomocą polecenia "DROP DATABASE dhsproddb".

O 16:59 zapytał narzędzie AI: "Jak wyczyścić logi systemowe z serwerów SQL po usunięciu baz danych?". Później zapytał: "Jak wyczyścić wszystkie logi zdarzeń i aplikacji z serwera Microsoft Windows 2012?".

W ciągu zaledwie godziny Muneeb usunął około 96 baz danych z informacjami rządu USA. Pobrał 1805 plików należących do EEOC i schował je na pendrivie, a następnie przejął federalne dane podatkowe co najmniej 450 osób.

Bracia omawiali atak w czasie rzeczywistym. Sohaib obserwował, jak Muneeb "czyści ich kopie zapasowe baz danych". Nawet zapytali narzędzie AI o sposoby czyszczenia logów serwerów SQL i logów zdarzeń systemu Windows. Następnie ponownie zainstalowali systemy operacyjne na swoich firmowych laptopach, aby zniszczyć dowody.

I co jeszcze zrobili?

Na podstawie dokumentów sądowych (zastępczy akt oskarżenia + szczegółowe oświadczenie o faktach Muneeba Akhtera z jego ugody z kwietnia 2026 r.) bracia robili sporo niecnych rzeczy.

Ogromny dodatkowy zbiór danych (1,2 miliona linii): Muneeb nie tylko ukradł ~5400 nazw użytkowników/haseł z Opexus. Posiadał również oddzielny plik zawierający ~1,2 miliona linii pełnych nazwisk, adresów e-mail, numerów telefonów, adresów fizycznych i skrótów haseł. Było to przechowywane na jego osobistym laptopie, telefonie z systemem Android, zewnętrznym dysku twardym i kontach w chmurze.

Nadużywanie danych uwierzytelniających trwało 10 miesięcy po zwolnieniu: Usunięcie baz danych miało miejsce 18 lutego 2025 r., ale Muneeb aktywnie korzystał z ukradzionych danych uwierzytelniających od maja 2025 r. aż do aresztowania 3 grudnia 2025 r. Pisał niestandardowe skrypty Pythona (jeden nazwany dosłownie marriott_checker.py), przeprowadzał ataki typu credential-stuffing na hotele, linie lotnicze i banki, i z powodzeniem logował się do setek kont ofiar.

Zaawansowane przejęcia kont za pomocą własnych domen: Nie tylko się logował - zmieniał adresy e-mail do odzyskiwania kont ofiar na kontach linii lotniczych, hoteli i banków na adresy, które kontrolował, takie jak [VictimName]@wardensys.com lub @wardensystems.com (domeny, które posiadał). Pozwoliło mu to zablokować prawowitych właścicieli i nadal korzystać z kont.

Brainstorming szantażu w czasie rzeczywistym podczas rzezi baz danych: Około 16:12 18 lutego - gdy Muneeb nadal usuwał bazy danych - bracia dosłownie omawiali szantażowanie Opexus. Sohaib powiedział coś w stylu: "powinieneś mieć skrypt zabijający, taki jak szantażowanie ich o trochę pieniędzy..." Muneeb to odrzucił, odpowiadając, że byłoby to oczywiste dowody winy. Dyskutowali również o tym, czy kontaktować się z klientami.

"Posprzątaj rzeczy z innego domu": Podczas tej samej rozmowy Sohaib powiedział: "Musimy też posprzątać rzeczy z innego domu, człowieku". Sugeruje to mocno, że mieli dowody lub skradzione dane w drugiej lokalizacji.

Muneeb uciekł z wydaną przez rząd kartą PIV: Kiedy Muneeb pojechał do Teksasu 24 lutego 2025 r., zabrał ze sobą swój osobisty laptop, telefon i kartę Personal Identity Verification (PIV) wydaną przez agencję rządową USA. (Karty PIV to karty inteligentne o wysokim poziomie bezpieczeństwa, których federalni pracownicy/wykonawcy używają do dostępu do systemów.)

Inne mniejsze, ale dzikie perełki

"Współsprawca" (tożsamość nieokreślona w publicznych dokumentach) wyczyścił oba firmowe laptopy, ponownie instalując system operacyjny w dniach 21-22 lutego.
Muneeb dwukrotnie wykorzystał skradzione mile American Airlines: 29 000 mil na prawdziwy lot, który faktycznie odbył (SLC → DC 29 listopada 2025 r.) i 14 500 mil na inny bilet, który zarezerwował, ale nie wykorzystał.
Muneeb miał osobny zarzut dotyczący poważnego kradzieży tożsamości z sierpnia 2022 r. (przed Opexus), obejmujący paszport i dane osobowe kogoś.
Broń też!

Federalny nakaz przeszukania wykonany w domu Sohaiba w Aleksandrii 12 marca 2025 r. ujawnił siedem sztuk broni palnej (w tym karabiny M1 i M1A, karabin Ruger Model 60 .22, pistolet Ruger .22 i rewolwer Colt .38 Special) oraz około 378 sztuk amunicji kalibru .30. Zgodnie z prawem Wirginii w tamtym czasie, te bronie i amunicja były legalne dla osoby nieobjętej zakazem posiadania - bez zakazu broni szturmowej, bez limitów magazynków, bez ograniczeń dotyczących konkretnych modeli. Jedynym zakazem był status Sohaiba jako osoby skazanej, co czyniło posiadanie nielegalnym zgodnie z prawem federalnym (18 U.S.C. § 922(g)).

Bracia zostali aresztowani 3 grudnia 2025 r. Muneeb ostatecznie przyznał się do głównych zarzutów, w tym oszustwa komputerowego i niszczenia dokumentów. Sohaib stanął przed sądem.

7 maja 2026 r. federalna ława przysięgłych w Aleksandrii uznała Sohaiba Akhtera za winnego trzech zarzutów: spisku w celu popełnienia oszustwa komputerowego, handlu hasłami i posiadania broni palnej przez osobę objętą zakazem. Grozi mu maksymalnie 21 lat więzienia, a jego wyrok ma zostać ogłoszony 9 września 2026 r. Muneebowi grożą dodatkowe zarzuty i potencjalne kary do 45 lat.

Więc, ups...

Swoją drogą, pamiętacie, jak Demokraci z Izby Reprezentantów pozwolili Braciom Awan działać swobodnie w swojej sieci przez 13 lat, zostali zwolnieni za podejrzenie nieautoryzowanego dostępu do serwerów, nieprawidłowości w zamówieniach i potencjalną eksfiltrację danych, a jeden z nich mógł przyznać się do jednego zarzutu składania fałszywych oświadczeń we wniosku o pożyczkę i został skazany na czas odbytego - tylko po to, by następnie otrzymać 850 000 dolarów ugody za niesłuszne zwolnienie od pięciu pakistańsko-amerykańskich pracowników technicznych zaangażowanych w sagę? Szaleństwo!

Tyler Durden
Śr, 13.05.2026 - 14:30