Anh Em Hacker Từng Đi Tù Bị Sa Thải - Tiếp Tục Xóa Sạch 96 Cơ Sở Dữ Liệu Chính Phủ Trong Vài Phút

Cặp song sinh cựu hacker bị sa thải - Tiếp tục xóa sạch 96 cơ sở dữ liệu chính phủ trong vài phút

Lưu ý cho nhà tuyển dụng: Khi bạn phát hiện ra nhân viên là anh em sinh đôi của mình là cựu tù nhân đã thụ án vì hack Bộ Ngoại giao Hoa Kỳ, và quyết định sa thải họ, hãy đảm bảo bạn vô hiệu hóa hoàn toàn quyền truy cập của họ.

Vào tháng 2 năm 2025, cặp song sinh Muneeb và Sohaib Akhter đã biến một vụ chấm dứt hợp đồng lao động thông thường thành một trong những vụ phá hoại nội bộ táo tợn nhất trong lịch sử chính phủ Hoa Kỳ gần đây. Chỉ vài phút sau khi bị sa thải khỏi Opexus - một nhà thầu khu vực Washington, D.C. cung cấp phần mềm quản lý vụ việc quan trọng cho hơn 45 cơ quan liên bang - các anh em được cho là đã phát động một cuộc tấn công kỹ thuật số nhanh chóng xóa khoảng 96 cơ sở dữ liệu của chính phủ chứa các hồ sơ FOIA nhạy cảm, các tệp điều tra và dữ liệu người nộp thuế.
Muneeb và Sohaib Akhter

Điều khiến vụ án đặc biệt gây sốc là lịch sử trước đây của các anh em: cả hai đều đã thụ án tù vì hack hệ thống liên bang một thập kỷ trước.

Tiền án 10 năm

Các anh em nhà Akhter, cả hai đều 34 tuổi và đến từ Alexandria, Virginia, có quá khứ phạm tội mà Opexus đã hoàn toàn bỏ sót - điều này, với công việc của họ, là không tốt. Năm 2015, khi còn làm nhà thầu, họ đã nhận tội âm mưu lừa đảo qua mạng, âm mưu truy cập trái phép máy tính được bảo vệ và các tội danh liên quan. Tội ác của họ bao gồm hack vào hệ thống của Bộ Ngoại giao Hoa Kỳ và một công ty tư nhân, đánh cắp dữ liệu cá nhân của đồng nghiệp, người quen và thậm chí cả một điều tra viên liên bang.

Muneeb bị kết án 39 tháng tù; Sohaib bị kết án 24 tháng. Cả hai đều đã thụ án và được thả.

Và thế nhưng...

Đến năm 2023-2024, các anh em đã có được các vị trí kỹ sư tại Opexus (trước đây gọi là AINS), một công ty chuyên về các nền tảng quản lý vụ việc được chứng nhận FedRAMP. Các sản phẩm chủ lực của công ty - FOIAXpress và bộ phần mềm eCASE - giúp các cơ quan xử lý các yêu cầu Tự do Thông tin, kiểm toán, điều tra, khiếu nại EEO và thư tín của Quốc hội. Hệ thống Opexus lưu trữ dữ liệu nhạy cảm của chính phủ trên các máy chủ ở Ashburn, Virginia.

Công ty đã tiến hành kiểm tra lý lịch tiêu chuẩn bao gồm khoảng bảy năm - điều này đã bỏ sót các bản án năm 2015. Opexus sau đó thừa nhận rằng "cần phải thực hiện thêm sự siêng năng" và những người chịu trách nhiệm tuyển dụng cặp song sinh không còn làm việc cho công ty nữa.

Không ai biết tại Opexus vào thời điểm chấm dứt hợp đồng, các anh em đã lạm dụng quyền truy cập của họ trong nhiều tuần. Muneeb đã thu thập khoảng 5.400 tên người dùng và mật khẩu từ mạng của công ty và xây dựng các tập lệnh tùy chỉnh để kiểm tra chúng với các trang web bên ngoài (bao gồm Marriott và DocuSign). Anh ta đã đăng nhập thành công vào các tài khoản và trong một số trường hợp, sử dụng dặm bay của nạn nhân.

Vào ngày 1 tháng 2 năm 2025 - hơn hai tuần trước khi bị sa thải - Muneeb đã yêu cầu Sohaib cung cấp mật khẩu dạng văn bản thuần túy của một cá nhân đã nộp đơn khiếu nại thông qua Cổng thông tin công cộng EEOC. Sohaib đã chạy một truy vấn cơ sở dữ liệu và cung cấp nó; Muneeb sau đó đã sử dụng thông tin đăng nhập để truy cập email của người khiếu nại mà không được phép. Vụ việc này sau đó trở thành trọng tâm của cáo buộc buôn bán mật khẩu của Sohaib.

Vụ sa thải và cuộc tàn sát kéo dài 56 phút

Vào ngày 18 tháng 2 năm 2025, FDIC đã gắn cờ bản án trước đó của Sohaib trong quá trình kiểm tra lý lịch cho một vị trí tiềm năng mới tại Văn phòng Tổng thanh tra FDIC. Opexus đã sa thải cả hai anh em trong một cuộc họp từ xa qua Microsoft Teams/HR kết thúc vào khoảng 4:50-4:55 chiều.

Quy trình thôi việc bị lỗi: tài khoản của Muneeb vẫn hoạt động. ARS Technica có dòng thời gian:

Vào 4:56 chiều, Muneeb truy cập một cơ sở dữ liệu của chính phủ Hoa Kỳ mà công ty của anh ta duy trì. Chính phủ cho biết anh ta "đã ban hành các lệnh để ngăn những người dùng khác kết nối hoặc thực hiện thay đổi đối với cơ sở dữ liệu, và sau đó ban hành lệnh xóa cơ sở dữ liệu".

Vào 4:58 chiều, anh ta đã xóa một cơ sở dữ liệu của Bộ An ninh Nội địa bằng lệnh "DROP DATABASE dhsproddb".

Vào 4:59 chiều, anh ta hỏi một công cụ AI, "Làm thế nào để tôi xóa nhật ký hệ thống khỏi máy chủ SQL sau khi xóa cơ sở dữ liệu?" Sau đó, anh ta hỏi, "Làm thế nào để xóa tất cả nhật ký sự kiện và ứng dụng khỏi máy chủ Microsoft Windows 2012?"

Trong vòng một giờ, Muneeb đã xóa khoảng 96 cơ sở dữ liệu chứa thông tin của chính phủ Hoa Kỳ. Anh ta đã tải xuống 1.805 tệp thuộc về EEOC và cất chúng vào ổ USB, sau đó lấy thông tin thuế liên bang của ít nhất 450 người.

Các anh em đã thảo luận về cuộc tấn công trong thời gian thực. Sohaib quan sát Muneeb "dọn dẹp các bản sao lưu cơ sở dữ liệu của họ". Họ thậm chí còn truy vấn một công cụ AI về cách xóa nhật ký máy chủ SQL và nhật ký sự kiện Windows. Sau đó, họ đã cài đặt lại hệ điều hành trên máy tính xách tay của công ty để tiêu hủy bằng chứng.

Và họ còn làm gì nữa?

Dựa trên các tài liệu của tòa án (Bản cáo trạng bổ sung + Tuyên bố sự kiện chi tiết của Muneeb Akhter từ thỏa thuận nhận tội tháng 4 năm 2026), các anh em đã làm khá nhiều trò hề.

Khối lượng dữ liệu bổ sung khổng lồ (1,2 triệu dòng): Muneeb không chỉ đánh cắp ~5.400 tên người dùng/mật khẩu từ Opexus. Anh ta còn sở hữu một tệp riêng chứa ~1,2 triệu dòng tên đầy đủ, địa chỉ email, số điện thoại, địa chỉ vật lý và băm mật khẩu. Dữ liệu này được lưu trữ trên máy tính xách tay cá nhân, điện thoại Android, ổ cứng ngoài và tài khoản đám mây của anh ta.

Việc lạm dụng thông tin đăng nhập tiếp tục trong 10 tháng sau khi họ bị sa thải: Việc xóa cơ sở dữ liệu xảy ra vào ngày 18 tháng 2 năm 2025, nhưng Muneeb tiếp tục tích cực sử dụng thông tin đăng nhập bị đánh cắp từ tháng 5 năm 2025 cho đến khi bị bắt vào ngày 3 tháng 12 năm 2025. Anh ta đã viết các tập lệnh Python tùy chỉnh (một tập lệnh có tên marriott_checker.py), thực hiện các cuộc tấn công chèn thông tin đăng nhập vào các khách sạn, hãng hàng không và ngân hàng, và đăng nhập thành công vào hàng trăm tài khoản của nạn nhân.

Chiếm đoạt tài khoản tinh vi với các tên miền của riêng mình: Anh ta không chỉ đăng nhập - anh ta đã thay đổi địa chỉ email khôi phục của nạn nhân trên các tài khoản hàng không, khách sạn và ngân hàng thành các địa chỉ mà anh ta kiểm soát, chẳng hạn như [TênNạnNhân]@wardensys.com hoặc @wardensystems.com (các tên miền anh ta sở hữu). Điều này cho phép anh ta khóa chủ sở hữu thực sự và tiếp tục sử dụng tài khoản.

Brainstorm tống tiền trong thời gian thực trong cuộc tàn sát xóa dữ liệu: Vào khoảng 5:12 chiều ngày 18 tháng 2 - trong khi Muneeb vẫn đang xóa cơ sở dữ liệu - các anh em đã thảo luận về việc tống tiền Opexus. Sohaib nói điều gì đó như: "lẽ ra anh nên có một tập lệnh hủy diệt, giống như, tống tiền họ để lấy một ít tiền..." Muneeb đã bác bỏ, trả lời rằng điều đó sẽ là bằng chứng rõ ràng về tội lỗi. Họ cũng tranh cãi về việc có nên liên hệ với khách hàng hay không.

"Dọn dẹp đồ đạc từ nhà khác": Trong cùng cuộc trò chuyện, Sohaib nói: "Chúng ta cũng phải dọn dẹp đồ đạc từ nhà khác, anh bạn." Điều này ám chỉ mạnh mẽ rằng họ có bằng chứng hoặc dữ liệu bị đánh cắp ở một địa điểm thứ hai.

Muneeb bỏ trốn với thẻ PIV do chính phủ cấp: Khi Muneeb lái xe đến Texas vào ngày 24 tháng 2 năm 2025, anh ta đã mang theo máy tính xách tay cá nhân, điện thoại và thẻ Xác minh Danh tính Cá nhân (PIV) do một cơ quan chính phủ Hoa Kỳ cấp. (Thẻ PIV là thẻ thông minh bảo mật cao mà nhân viên/nhà thầu liên bang sử dụng để truy cập hệ thống.)

Các chi tiết nhỏ khác nhưng đáng kinh ngạc

Một "đồng phạm" (danh tính không được nêu rõ trong các tài liệu công khai) đã xóa cả hai máy tính xách tay của công ty bằng cách cài đặt lại hệ điều hành vào ngày 21-22 tháng 2.
Muneeb đã sử dụng dặm American Airlines bị đánh cắp hai lần: 29.000 dặm cho một chuyến bay thực tế mà anh ta đã đi (SLC → DC vào ngày 29 tháng 11 năm 2025) và 14.500 dặm cho một vé khác mà anh ta đã đặt nhưng không sử dụng.
Muneeb có một tội danh trộm cắp danh tính nghiêm trọng riêng biệt từ tháng 8 năm 2022 (trước Opexus) liên quan đến hộ chiếu và thông tin cá nhân của ai đó.
Cả súng nữa!

Một lệnh khám xét của liên bang được thực thi tại nhà của Sohaib ở Alexandria vào ngày 12 tháng 3 năm 2025, đã phát hiện bảy khẩu súng (bao gồm súng trường M1 và M1A, súng trường .22 Glenfield Model 60, súng lục .22 Ruger và súng lục ổ quay Colt .38 Special) cộng với khoảng 378 viên đạn cỡ .30. Theo luật Virginia vào thời điểm đó, những khẩu súng này và đạn dược là hợp pháp hoàn toàn cho một người không bị cấm sở hữu - không có lệnh cấm vũ khí tấn công, không giới hạn băng đạn, không hạn chế đối với các mẫu cụ thể. Lệnh cấm duy nhất là tình trạng của Sohaib với tư cách là một người bị kết án trọng tội, điều này khiến việc sở hữu trở nên bất hợp pháp theo luật liên bang (18 U.S.C. § 922(g)).

Các anh em đã bị bắt vào ngày 3 tháng 12 năm 2025. Muneeb cuối cùng đã nhận tội các cáo buộc nghiêm trọng, bao gồm gian lận máy tính và hủy hoại hồ sơ. Sohaib đã ra tòa.

Vào ngày 7 tháng 5 năm 2026, bồi thẩm đoàn liên bang tại Alexandria đã kết tội Sohaib Akhter với ba tội danh: âm mưu gian lận máy tính, buôn bán mật khẩu và sở hữu vũ khí bởi người bị cấm. Anh ta phải đối mặt với mức án tối đa 21 năm tù và dự kiến ​​sẽ bị tuyên án vào ngày 9 tháng 9 năm 2026. Muneeb phải đối mặt với các cáo buộc bổ sung và các hình phạt tiềm năng lên tới 45 năm.

Vì vậy, ôi thôi...

Nhân tiện, hãy nhớ khi Hạ viện Dân chủ cho phép Anh em nhà Awan hoành hành trong mạng lưới của họ trong 13 năm, bị sa thải vì nghi ngờ truy cập máy chủ trái phép, các bất thường trong mua sắm và có thể bị rò rỉ dữ liệu, và một trong số họ đã nhận tội một tội danh khai báo sai trên đơn xin vay và bị kết án thời gian đã thụ án - chỉ để sau đó nhận được khoản bồi thường chấm dứt hợp đồng sai trái trị giá 850.000 đô la từ năm công nhân công nghệ người Mỹ gốc Pakistan liên quan đến câu chuyện? Thật điên rồ!

Tyler Durden
Wed, 05/13/2026 - 14:30