Екс-конвоєвані брати-хакери звільнені – за лічені хвилини знищили 96 урядових баз даних

Екс-конвоєвані брати-хакери звільнені – за лічені хвилини знищили 96 урядових баз даних

Примітка для роботодавців: коли ви виявите, що ваші брати-близнюки, які працюють у вас, є колишніми ув'язненими, які відбували термін за зламування систем Державного департаменту США, і збираєтеся їх звільнити, переконайтеся, що ви повністю вимкнули їхній доступ.

Лютий 2025 року, брати-близнюки Муніб і Сохаіб Ахтер перетворили звичайне звільнення на один із найзухваліших інцидентів саботажу з боку інсайдерів в новітній історії уряду США. Всього через кілька хвилин після звільнення з Opexus – підрядника з району Вашингтона, округ Колумбія, який надає критично важливе програмне забезпечення для управління справами понад 45 федеральним агентствам – брати нібито розпочали швидку цифрову атаку, яка видалила приблизно 96 урядових баз даних, що містять конфіденційні записи FOIA, слідчі файли та дані платників податків.
Муніб і Сохаіб Ахтер

Особливо шокуючим у цій справі була попередня історія братів: обоє відбували тюремне ув'язнення за зламування федеральних систем десять років тому.

Кримінальне минуле десятирічної давності

Брати Ахтер, обом по 34 роки, з Александрії, штат Вірджинія, мали кримінальне минуле, яке Opexus повністю пропустив – що, враховуючи їхню діяльність, не є добрим знаком. У 2015 році, працюючи підрядниками, вони визнали себе винними за звинуваченнями у змові з метою вчинення електронного шахрайства, змові з метою несанкціонованого доступу до захищених комп'ютерів та пов'язаними з цим звинуваченнями. Їхні злочини включали зламування систем Державного департаменту США та приватної компанії, викрадення персональних даних колег, знайомих і навіть федерального слідчого.

Муніб отримав 39-місячний термін ув'язнення; Сохаіб – 24 місяці. Обидва відбули свій термін і були звільнені.

І все ж...

До 2023-2024 років брати отримали інженерні посади в Opexus (раніше відомій як AINS), компанії, що спеціалізується на платформах управління справами, сертифікованих FedRAMP. Її флагманські продукти – FOIAXpress та пакет eCASE – допомагають агентствам обробляти запити Закону про свободу інформації, аудити, розслідування, скарги EEO та кореспонденцію Конгресу. Системи Opexus зберігають конфіденційні урядові дані на серверах в Ешберні, штат Вірджинія.

Компанія провела стандартні перевірки біографії, що охоплюють приблизно сім років – що пропустило вироки 2015 року. Opexus пізніше визнав, що "слід було застосувати додаткову обачність" і що особи, відповідальні за наймання близнюків, більше не працюють у компанії.

Невідомо для Opexus на момент звільнення, брати зловживали своїм доступом протягом тижнів. Муніб зібрав приблизно 5400 імен користувачів та паролів з мережі компанії та створив власні скрипти для тестування їх на зовнішніх сайтах (включаючи Marriott та DocuSign). Він успішно входив до облікових записів і в деяких випадках використовував авіаквитки жертв.

1 лютого 2025 року – більш ніж за два тижні до їхнього звільнення – Муніб попросив у Сохаіба пароль у відкритому тексті особи, яка подала скаргу через громадський портал EEOC. Сохаіб виконав запит до бази даних і надав його; Муніб потім використав облікові дані для несанкціонованого доступу до електронної пошти заявника. Цей інцидент пізніше став центральним для звинувачення Сохаіба у торгівлі паролями.

Звільнення та 56-хвилинний напад

18 лютого 2025 року FDIC виявив попередній вирок Сохаіба під час перевірки біографії для потенційної нової посади в Офісі Генерального інспектора FDIC. Opexus звільнив обох братів під час віддаленої зустрічі в Microsoft Teams/HR, яка закінчилася приблизно о 17:50-17:55.

Процес звільнення був недосконалим: обліковий запис Муніба залишився активним. ARS Technica має хронологію:

О 16:56 Муніб отримав доступ до бази даних уряду США, яку обслуговувала його компанія. Він "видав команди, щоб запобігти підключенню інших користувачів або внесенню змін до бази даних, а потім видав команду на видалення бази даних", – заявив уряд.

О 16:58 він знищив базу даних Міністерства внутрішньої безпеки за допомогою команди "DROP DATABASE dhsproddb".

О 16:59 він запитав у інструменту ШІ: "Як очистити системні журнали з SQL-серверів після видалення баз даних?" Пізніше він запитав: "Як очистити всі журнали подій та додатків з сервера Microsoft Windows 2012?"

За одну годину Муніб видалив близько 96 баз даних з інформацією уряду США. Він завантажив 1805 файлів, що належать EEOC, і зберіг їх на USB-накопичувачі, а потім отримав федеральну податкову інформацію щонайменше 450 осіб.

Брати обговорювали атаку в реальному часі. Сохаіб спостерігав, як Муніб "очищає їхні резервні копії баз даних". Вони навіть запитували інструмент ШІ про те, як очистити журнали SQL-сервера та журнали подій Windows. Пізніше вони перевстановили операційні системи на своїх робочих ноутбуках, щоб знищити докази.

І що ще вони зробили?

На основі судових документів (Замінювальний обвинувальний акт + детальна заява про факти Муніба Ахтера з його угоди про визнання вини від квітня 2026 року) брати займалися чималою кількістю витівок.

Масштабний додатковий видобуток даних (1,2 мільйона рядків): Муніб не просто вкрав ~5400 імен користувачів/паролів з Opexus. Він також мав окремий файл, що містив ~1,2 мільйона рядків повних імен, адрес електронної пошти, номерів телефонів, фізичних адрес та хешів паролів. Це зберігалося на його особистому ноутбуці, телефоні Android, зовнішньому жорсткому диску та хмарних облікових записах.

Зловживання обліковими даними тривало 10 місяців після їх звільнення: видалення баз даних відбулося 18 лютого 2025 року, але Муніб продовжував активно використовувати вкрадені облікові дані з травня 2025 року до свого арешту 3 грудня 2025 року. Він писав власні скрипти Python (один буквально називався marriott_checker.py), проводив атаки на підстановку облікових даних на готелі, авіакомпанії та банки, і успішно входив до сотень облікових записів жертв.

Витончені захоплення облікових записів за допомогою власних доменів: Він не просто входив – він змінював облікові дані для відновлення жертв на авіакомпаніях, готелях та банківських рахунках на адреси, які він контролював, такі як [VictimName]@wardensys.com або @wardensystems.com (домени, якими він володів). Це дозволило йому заблокувати справжніх власників і продовжувати використовувати облікові записи.

Мозковий штурм шантажу в реальному часі під час знищення баз даних: приблизно о 17:12 18 лютого – поки Муніб ще видаляв бази даних – брати буквально обговорювали шантаж Opexus. Сохаіб сказав щось на кшталт: "вам слід було мати скрипт для вимкнення, наприклад, шантажувати їх грошима..." Муніб відкинув це, відповівши, що це буде очевидним доказом провини. Вони також сперечалися, чи варто зв'язуватися з клієнтами.

"Прибрати речі з іншого будинку": Під час тієї ж розмови Сохаіб сказав: "Нам також треба прибрати речі з іншого будинку, чувак". Це сильно натякає на те, що вони мали докази або вкрадені дані в другому місці.

Муніб втік з виданою урядом карткою PIV: коли Муніб поїхав до Техасу 24 лютого 2025 року, він взяв свій особистий ноутбук, телефон та картку персональної ідентифікації (PIV), видану урядовою установою США. (Картки PIV – це високобезпечні смарт-картки, які федеральні працівники/підрядники використовують для доступу до систем.)

Інші менші, але дикі деталі

"Співучасник" (особа не вказана в публічних документах) знищив обидва робочі ноутбуки, перевстановивши ОС 21-22 лютого.
Муніб двічі використовував вкрадені милі American Airlines: 29 000 миль для реального польоту, який він фактично здійснив (SLC → DC 29 листопада 2025 року), і 14 500 миль для іншого квитка, який він забронював, але не використав.
Муніб мав окремий пункт про серйозне викрадення особистих даних від серпня 2022 року (до Opexus), що стосувався чийогось паспорта та особистої інформації.
Також зброя!

Федеральний ордер на обшук, виконаний у будинку Сохаіба в Александрії 12 березня 2025 року, виявив сім одиниць вогнепальної зброї (включаючи гвинтівки M1 та M1A, гвинтівку Glenfield Model 60 .22, пістолет Ruger .22 та револьвер Colt .38 Special), а також приблизно 378 набоїв калібру .30. Згідно із законодавством Вірджинії на той час, ця зброя та боєприпаси були законними для володіння особою, яка не є забороненою – жодної заборони на штурмову зброю, жодних обмежень на магазини, жодних обмежень на конкретні моделі. Єдиною забороною був статус Сохаіба як засудженого злочинця, що робило володіння незаконним згідно з федеральним законодавством (18 U.S.C. § 922(g)).

Братів заарештували 3 грудня 2025 року. Муніб зрештою визнав себе винним за основними звинуваченнями, включаючи комп'ютерне шахрайство та знищення записів. Сохаіб постав перед судом.

7 травня 2026 року федеральне журі в Александрії визнало Сохаіба Ахтера винним за трьома пунктами: змова з метою вчинення комп'ютерного шахрайства, торгівля паролями та володіння вогнепальною зброєю особою, яка є забороненою. Йому загрожує максимум 21 рік ув'язнення, і він має бути засуджений 9 вересня 2026 року. Мунібу висунуто додаткові звинувачення та потенційні покарання до 45 років.

Отже, ось так...

Між іншим, пам'ятаєте, як демократи Палати представників дозволили братам Аван безконтрольно діяти в їхній мережі протягом 13 років, були звільнені за підозрою в несанкціонованому доступі до серверів, порушеннях при закупівлях та можливій витоку даних, і один з них зміг визнати себе винним за одним пунктом надання неправдивої заяви при поданні заявки на позику та був засуджений до відбутого терміну – лише для того, щоб потім отримати 850 000 доларів компенсації за незаконне звільнення від п'яти пакистансько-американських технічних працівників, залучених до цієї саги? Дивовижно!

Тайлер Дерден
Ср, 13.05.2026 - 14:30