Ex-Con Hacker Twins Demitidos - Procedem à Limpeza de 96 Bancos de Dados Governamentais em Minutos

Ex-Gêmeos Hackers Demitidos - Procedem para Apagar 96 Bancos de Dados do Governo em Minutos

Nota aos empregadores: Ao descobrir que seus irmãos gêmeos funcionários são ex-presidiários que cumpriram pena por invadir o Departamento de Estado dos EUA e decidir demiti-los, certifique-se de desativar completamente o acesso deles.

Em fevereiro de 2025, os irmãos gêmeos Muneeb e Sohaib Akhter transformaram uma demissão rotineira em um dos incidentes de sabotagem interna mais ousados da história recente do governo dos EUA. Poucos minutos após serem demitidos da Opexus - uma empreiteira da área de Washington, D.C. que fornece software crítico de gerenciamento de casos para mais de 45 agências federais - os irmãos supostamente lançaram um rápido ataque digital que excluiu aproximadamente 96 bancos de dados governamentais contendo registros sensíveis de FOIA, arquivos de investigação e dados de contribuintes.
Muneeb e Sohaib Akhter

O que tornou o caso especialmente chocante foi o histórico anterior dos irmãos: ambos haviam cumprido pena de prisão por invadir sistemas federais uma década antes.

Um Histórico Criminal de Uma Década

Os irmãos Akhter, ambos com 34 anos e de Alexandria, Virgínia, tinham um passado criminal que a Opexus ignorou completamente - o que, dado o que eles fazem, não é bom. Em 2015, enquanto trabalhavam como contratados, eles se declararam culpados de conspiração para cometer fraude eletrônica, conspiração para acessar computadores protegidos sem autorização e acusações relacionadas. Seus crimes envolveram a invasão de sistemas do Departamento de Estado dos EUA e de uma empresa privada, roubando dados pessoais de colegas de trabalho, conhecidos e até mesmo de um investigador federal.

Muneeb recebeu uma sentença de prisão de 39 meses; Sohaib recebeu 24 meses. Ambos cumpriram suas penas e foram libertados.

E ainda assim...

Em 2023-2024, os irmãos conseguiram cargos de engenharia na Opexus (anteriormente conhecida como AINS), uma empresa especializada em plataformas de gerenciamento de casos certificadas pelo FedRAMP. Seus principais produtos - FOIAXpress e a suíte eCASE - ajudam as agências a processar solicitações da Lei de Liberdade de Informação, auditorias, investigações, reclamações de EEO e correspondência do Congresso. Os sistemas da Opexus hospedam dados governamentais sensíveis em servidores em Ashburn, Virgínia.

A empresa realizou verificações de antecedentes padrão cobrindo aproximadamente sete anos - que não detectaram as condenações de 2015. A Opexus admitiu posteriormente que "diligência adicional deveria ter sido aplicada" e que os indivíduos responsáveis pela contratação dos gêmeos não estão mais na empresa.

Sem o conhecimento da Opexus no momento da demissão, os irmãos vinham abusando de seu acesso por semanas. Muneeb coletou aproximadamente 5.400 nomes de usuário e senhas da rede da empresa e criou scripts personalizados para testá-los em sites externos (incluindo Marriott e DocuSign). Ele conseguiu acessar contas e, em alguns casos, usou milhas aéreas das vítimas.

Em 1º de fevereiro de 2025 - mais de duas semanas antes de sua demissão - Muneeb pediu a Sohaib a senha em texto puro de um indivíduo que havia registrado uma reclamação através do Portal Público do EEOC. Sohaib executou uma consulta ao banco de dados e a forneceu; Muneeb então usou as credenciais para acessar o e-mail do reclamante sem autorização. Este incidente mais tarde se tornou central para a acusação de tráfico de senhas de Sohaib.

A Demissão e o Ataque de 56 Minutos

Em 18 de fevereiro de 2025, o FDIC sinalizou a condenação anterior de Sohaib durante uma verificação de antecedentes para uma possível nova função no Gabinete do Inspetor Geral do FDIC. A Opexus demitiu ambos os irmãos durante uma reunião remota do Microsoft Teams/RH que terminou por volta das 16h50-16h55.

O desligamento foi falho: a conta de Muneeb permaneceu ativa. A ARS Technica tem a linha do tempo:

Às 16h56, Muneeb acessou um banco de dados do governo dos EUA que sua empresa mantinha. Ele "emitiu comandos para impedir que outros usuários se conectassem ou fizessem alterações no banco de dados, e então emitiu um comando para excluir o banco de dados", disse o governo.

Às 16h58, ele apagou um banco de dados do Departamento de Segurança Interna usando o comando "DROP DATABASE dhsproddb".

Às 16h59, ele perguntou a uma ferramenta de IA: "Como limpo logs do sistema de servidores SQL após excluir bancos de dados?" Mais tarde, ele perguntou: "Como você limpa todos os logs de eventos e aplicativos do servidor Microsoft Windows 2012?"

No espaço de uma hora, Muneeb excluiu cerca de 96 bancos de dados com informações do governo dos EUA. Ele baixou 1.805 arquivos pertencentes ao EEOC e os guardou em um pendrive, depois pegou informações fiscais federais de pelo menos 450 pessoas.

Os irmãos discutiram o ataque em tempo real. Sohaib observou Muneeb "limpando seus backups de banco de dados". Eles até consultaram uma ferramenta de IA sobre como limpar logs de servidor SQL e logs de eventos do Windows. Mais tarde, eles reinstalaram os sistemas operacionais em seus laptops da empresa para destruir evidências.

E o que mais eles fizeram?

Com base nos documentos judiciais (Superseding Indictment + Muneeb Akhter’s detailed Statement of Facts de seu acordo de confissão de abril de 2026), os irmãos estavam envolvidos em muitas travessuras.

Massiva coleta extra de dados (1,2 milhão de linhas): Muneeb não apenas roubou ~5.400 nomes de usuário/senhas da Opexus. Ele também possuía um arquivo separado contendo ~1,2 milhão de linhas de nomes completos, endereços de e-mail, números de telefone, endereços físicos e hashes de senha. Isso foi armazenado em seu laptop pessoal, telefone Android, disco rígido externo e contas na nuvem.

O abuso de credenciais continuou por 10 meses após a demissão: As exclusões de banco de dados ocorreram em 18 de fevereiro de 2025, mas Muneeb continuou usando ativamente as credenciais roubadas de maio de 2025 até sua prisão em 3 de dezembro de 2025. Ele escreveu scripts Python personalizados (um literalmente chamado marriott_checker.py), realizou ataques de "credential stuffing" em hotéis, companhias aéreas e bancos, e conseguiu acessar centenas de contas de vítimas.

Tomadas de conta sofisticadas com seus próprios domínios: Ele não apenas fez login - ele alterou os e-mails de recuperação das contas de companhias aéreas, hotéis e bancos das vítimas para endereços que ele controlava, como [NomeDaVítima]@wardensys.com ou @wardensystems.com (domínios que ele possuía). Isso permitiu que ele bloqueasse os proprietários reais e continuasse usando as contas.

Brainstorming de chantagem em tempo real durante o ataque de exclusão: Por volta das 17h12 de 18 de fevereiro - enquanto Muneeb ainda estava excluindo bancos de dados - os irmãos literalmente discutiram a chantagem da Opexus. Sohaib disse algo como: "vocês deveriam ter tido um script de desativação, tipo, chantageando-os por algum dinheiro..." Muneeb rejeitou, respondendo que seria prova óbvia de culpa. Eles também discutiram se deveriam contatar os clientes.

"Limpar as coisas da outra casa": Durante a mesma conversa, Sohaib disse: "Também temos que limpar as coisas da outra casa, cara." Isso implica fortemente que eles tinham evidências ou dados roubados em um segundo local.

Muneeb fugiu com um cartão PIV emitido pelo governo: Quando Muneeb dirigiu para o Texas em 24 de fevereiro de 2025, ele levou seu laptop pessoal, telefone e um cartão de Verificação de Identidade Pessoal (PIV) emitido por uma agência do governo dos EUA. (Cartões PIV são os cartões inteligentes de alta segurança que funcionários/contratados federais usam para acesso ao sistema.)

Outras pequenas, mas selvagens pepitas

Um "coconspirador" (identidade não especificada nos documentos públicos) apagou ambos os laptops da empresa reinstalando o sistema operacional em 21-22 de fevereiro.
Muneeb usou milhas roubadas da American Airlines duas vezes: 29.000 milhas para um voo real que ele realmente fez (SLC → DC em 29 de novembro de 2025) e 14.500 milhas para outra passagem que ele reservou, mas não usou.
Muneeb tinha uma contagem separada de roubo de identidade qualificado de agosto de 2022 (pré-Opexus) envolvendo o passaporte e informações pessoais de alguém.
Armas também!

Um mandado de busca federal executado na casa de Sohaib em Alexandria em 12 de março de 2025, descobriu sete armas de fogo (incluindo rifles M1 e M1A, um rifle Glenfield Model 60 .22, uma pistola Ruger .22 e um revólver Colt .38 Special) mais aproximadamente 378 cartuchos de munição de calibre .30. Sob a lei da Virgínia na época, essas armas e munições eram totalmente legais para uma pessoa não proibida possuir - sem proibição de armas de assalto, sem limites de carregador, sem restrições aos modelos específicos. A única proibição era o status de Sohaib como um ex-condenado, o que tornava a posse ilegal sob a lei federal (18 U.S.C. § 922(g)).

Os irmãos foram presos em 3 de dezembro de 2025. Muneeb acabou se declarando culpado de acusações importantes, incluindo fraude de computador e destruição de registros. Sohaib foi a julgamento.

Em 7 de maio de 2026, um júri federal em Alexandria condenou Sohaib Akhter por três acusações: conspiração para cometer fraude de computador, tráfico de senhas e posse de arma de fogo por uma pessoa proibida. Ele enfrenta um máximo de 21 anos de prisão e está programado para sentença em 9 de setembro de 2026. Muneeb enfrenta acusações adicionais e penalidades potenciais de até 45 anos.

Então, ops...

Como aparte, lembre-se de quando os Democratas da Câmara deixaram os Irmãos Awan agirem livremente em sua rede por 13 anos, foram demitidos por suspeita de acesso não autorizado a servidores, irregularidades de aquisição e possível exfiltração de dados, e um deles conseguiu se declarar culpado de uma acusação de fazer uma declaração falsa em um pedido de empréstimo e foi sentenciado ao tempo cumprido - apenas para depois receber uma indenização de US$ 850.000 por demissão indevida pelos cinco trabalhadores de tecnologia paquistaneses-americanos envolvidos na saga? Loucura!

Tyler Durden
Qua, 13/05/2026 - 14:30