前囚犯黑客双胞胎被解雇 - 随即抹除 96 个政府数据库，仅用几分钟

前囚犯黑客双胞胎被解雇 - 随即抹除 96 个政府数据库，仅用几分钟

给雇主的提示：当您发现您的双胞胎员工是曾因黑客入侵美国国务院而被判刑的罪犯，并且解雇他们时，请务必完全禁用他们的访问权限。

2025 年 2 月，双胞胎兄弟穆尼卜·阿赫特 (Muneeb Akhter) 和索哈伊卜·阿赫特 (Sohaib Akhter) 将一次例行工作终止演变成美国政府近期历史上最公然的内部破坏事件之一。在从 Opexus——一家为 45 多个联邦机构提供关键案例管理软件的华盛顿特区承包商离职后不久，兄弟俩据称发起了一次快速的数字攻击，删除了包含敏感 FOIA 记录、调查文件和纳税人数据的约 96 个政府数据库。
穆尼卜和索哈伊卜·阿赫特

让此案特别震惊的是兄弟俩的过往历史：两人都在十年之前因黑客入侵联邦系统而服刑。

十年前的犯罪记录

阿赫特兄弟，均为 34 岁，来自弗吉尼亚州亚历山德里亚，有犯罪历史，Opexus 完全忽略了这一点——考虑到他们所做的事情，这并不理想。2015 年，在担任承包商期间，他们承认犯有电信欺诈共谋罪、未经授权访问受保护计算机的共谋罪以及相关罪名。他们的犯罪行为包括黑客入侵美国国务院系统和一家私营公司，盗窃同事、熟人甚至联邦调查员的个人数据。

穆尼卜被判处 39 个月监禁；索哈伊卜被判处 24 个月。两人都服刑并获释。

然而……

到 2023-2024 年，兄弟俩已经在 Opexus（以前称为 AINS）获得了工程职位，该公司专门从事 FedRAMP 认证的案例管理平台。其旗舰产品——FOIAXpress 和 eCASE 套件——帮助机构处理《信息自由法》请求、审计、调查、EEO 投诉和国会信函。Opexus 系统在弗吉尼亚州阿什本的服务器上托管着敏感的政府数据。

该公司进行了标准背景调查，涵盖了大约七年的时间——这忽略了 2015 年的定罪。Opexus 后来承认“应该采取额外的尽职调查”，并且负责雇用双胞胎的人员不再在公司任职。

Opexus 在终止时并不知道，兄弟俩已经在他们的访问权限方面滥用权限数周。穆尼卜收集了大约 5,400 个用户名和密码来自公司网络，并创建了自定义脚本来针对外部网站（包括 Marriott 和 DocuSign）进行测试。他成功登录了帐户，并在某些情况下，使用了受害者的航空里程。

2025 年 2 月 1 日——在他们被解雇的两个多星期之前——穆尼卜向索哈伊卜询问了通过 EEOC 公共门户网站提交投诉的个人的明文密码。索哈伊卜运行了一个数据库查询并提供了密码；穆尼卜随后使用这些凭据在未经授权的情况下访问了投诉人的电子邮件。此事件后来成为索哈伊卜的密码贩运指控的核心。

解雇和 56 分钟的疯狂

2025 年 2 月 18 日，美国联邦存款保险公司 (FDIC) 在为 FDIC 监察长办公室潜在的新职位进行背景调查时，标记了索哈伊卜的先前定罪。Opexus 在一个远程 Microsoft Teams/HR 会议上解雇了兄弟俩，该会议于下午 4:50-4:55 左右结束。

离职流程存在缺陷：穆尼卜的帐户仍然有效。ARS Technica 有时间线：

下午 4:56，穆尼卜访问了该公司维护的一个美国政府数据库。他“发布命令以防止其他用户连接或更改数据库，然后发布命令以删除数据库”，政府表示。

下午 4:58，他使用命令“DROP DATABASE dhsproddb”抹杀了美国国土安全部数据库。

下午 4:59，他向人工智能工具询问：“如何从 SQL 服务器删除数据库后清除系统日志？”他后来询问：“如何清除 Microsoft windows server 2012 的所有事件和应用程序日志？”

在短短一个小时内，穆尼卜删除了包含美国政府信息的约 96 个数据库。他下载了属于 EEOC 的 1,805 个文件，并将它们存储在 USB 驱动器上，然后抓取了至少 450 人的联邦税信息。

兄弟俩实时讨论了这次攻击。索哈伊卜观察到穆尼卜“清理他们的数据库备份”。他们甚至询问人工智能工具如何清除 SQL 服务器日志和 Windows 事件日志。他们后来重新安装了公司笔记本电脑上的操作系统以销毁证据。

还有什么？

根据法庭文件（补充起诉书 + 穆尼卜·阿赫特在 2026 年 4 月达成协议后的详细事实陈述），兄弟俩做了很多不正当的事情。

大规模额外数据收集 (120 万行)：穆尼卜不仅从 Opexus 盗窃了大约 5,400 个用户名和密码，他还拥有一个单独的文件，其中包含大约 120 万行完整的姓名、电子邮件地址、电话号码、物理地址和密码哈希值。这些数据存储在他的个人笔记本电脑、Android 手机、外部硬盘驱动器和云帐户中。

凭证滥用持续了被解雇后的 10 个月：数据库删除发生在 2025 年 2 月 18 日，但穆尼卜继续积极使用被盗的凭证，从 2025 年 5 月一直持续到他在 2025 年 12 月 3 日被捕。他编写了自定义 Python 脚本（一个文字名为 marriott_checker.py），针对酒店、航空公司和银行进行了凭证填充攻击，并成功登录了数百个受害者的帐户。

使用自己的域名进行复杂帐户接管：他不仅登录，还更改了航空公司、酒店和银行帐户中受害者的恢复电子邮件地址，这些地址由他控制，例如 [VictimName]@wardensys.com 或 @wardensystems.com（他拥有的域名）。这让他锁定了真正的所有者并继续使用这些帐户。

删除疯狂期间的实时勒索头脑风暴：在 2025 年 2 月 18 日下午 5:12 左右——穆尼卜仍在删除数据库时——兄弟俩实际上讨论了勒索 Opexus。索哈伊卜说了一些类似的话：“你应该有一个销毁脚本，比如，为了钱而勒索他们……”穆尼卜驳回了，说这会是内疚的明显证据。他们还争论是否要联系客户。

“清理另一边的东西”：在同一段对话中，索哈伊卜说：“我们也必须清理另一边的东西，伙计。”这强烈暗示他们在一个第二个位置拥有证据或盗窃的数据。

穆尼卜带着政府签发的 PIV 卡逃离：当穆尼卜于 2025 年 2 月 24 日前往得克萨斯州时，他带走了他的个人笔记本电脑、手机和一张由美国政府机构签发的个人身份验证 (PIV) 卡。（PIV 卡是联邦雇员/承包商用于系统访问的高安全性智能卡。）

其他较小但疯狂的小细节

一个“共犯”（公共文件中未指定身份）于 2025 年 2 月 21–22 日通过重新安装操作系统来擦除了两台公司笔记本电脑。
穆尼卜两次使用了被盗的美国航空公司里程：29,000 英里用于他实际乘坐的真实航班（2025 年 11 月 29 日 SLC → DC），以及 14,500 英里用于他预订但未使用的另一张机票。
穆尼卜在 2022 年 8 月（在 Opexus 之前）有单独的加重身份盗窃罪，涉及某人的护照和个人信息。
枪支也！

2025 年 3 月 12 日在索哈伊卜位于亚历山德里亚的住所执行的联邦搜查令，发现了七支枪支（包括 M1 和 M1A 步枪、Glenfield Model 60 .22 步枪、Ruger .22 手枪和 Colt .38 Special 旋转式手枪）以及大约 378 轮 .30 毫米口径弹药。根据当时的弗吉尼亚州法律，非禁止人员拥有这些枪支和弹药是完全合法的——没有攻击性武器禁令、没有弹匣限制、没有对特定型号的限制。唯一的禁令是索哈伊卜作为定罪罪犯的身份，这使得根据联邦法律（18 U.S.C. § 922(g)）拥有这些枪支非法。

兄弟俩于 2025 年 12 月 3 日被捕。穆尼卜最终承认了主要罪名，包括计算机欺诈和销毁记录。索哈伊卜接受审判。

2026 年 5 月 7 日，亚历山德里亚联邦陪审团裁定索哈伊卜·阿赫特犯有三项罪名：计算机欺诈共谋罪、密码贩运罪和禁止人员持有枪支罪。他面临最高 21 年监禁，并定于 2026 年 9 月 9 日宣判。穆尼卜面临额外的指控和最高 45 年的潜在处罚。

所以，糟糕了……

作为补充，还记得众议院民主党允许 Awans 兄弟在他们的网络上为期 13 年，被解雇的原因是涉嫌未经授权的服务器访问、采购违规和可能的盗窃数据，并且其中一人能够承认一项虚假陈述贷款申请罪并被判处缓刑——仅此之后，这五名参与此事件的巴基斯坦裔美国科技人员就获得了 850,000 美元的 wrongful termination 和解金吗？太疯狂了！

Tyler Durden
周三，2026 年 5 月 13 日 - 下午 2:30