Δύο καταδικασμένοι χάκερς... επέστρεψαν στην αγορά εργασίας και απέκτησαν πρόσβαση σε κυβερνητικά αρχεία των ΗΠΑ
Μια εταιρεία λογισμικού που διαχειρίζεται ευαίσθητα δεδομένα για σχεδόν κάθε ομοσπονδιακή υπηρεσία των ΗΠΑ, έπεσε θύμα κυβερνοεπίθεσης νωρίτερα το 2025 λόγω μιας «σοβαρής παράλειψης» στα μέτρα ασφαλείας.
Όπως αποκαλύπτει το Bloomberg News επικαλούμενο σχετικά έγγραφα που έχει στη διάθεση του, η Opexus, η οποία ανήκει στην εταιρεία ιδιωτικών επενδυτικών κεφαλαίων Thoma Bravo και παρέχει λογισμικό για την επεξεργασία κυβερνητικών αρχείων των ΗΠΑ, παραβιάστηκε τον Φεβρουάριο από δύο υπαλλήλους που είχαν προηγουμένως καταδικαστεί για παραβίαση του Υπουργείου Εξωτερικών των ΗΠΑ. Τα ευρήματα περιγράφονται λεπτομερώς σε ξεχωριστές αναφορές της ίδιας της Opexus και μιας ανεξάρτητης εταιρείας κυβερνοασφάλειας, η οποία χαρακτήρισε το περιστατικό ως «εσωτερική απειλή».
Οι έρευνες διαπίστωσαν ότι οι υπάλληλοι, δίδυμα αδέλφια με τα ονόματα Muneeb και Suhaib Akhter, απέκτησαν παράνομα πρόσβαση σε ευαίσθητα έγγραφα και παραβίασαν ή διέγραψαν δεκάδες βάσεις δεδομένων, συμπεριλαμβανομένων αυτών που περιείχαν δεδομένα από την Υπηρεσία Εσωτερικών Εσόδων (IRS) και τη Γενική Διοίκηση Υπηρεσιών (GSA).
Το περιστατικό, το οποίο δεν είχε αναφερθεί δημόσια μέχρι τώρα, διερευνάται πλέον από το FBI και άλλες ομοσπονδιακές υπηρεσίες, σύμφωνα με πέντε άτομα με γνώση της υπόθεσης, τα οποία ζήτησαν ανωνυμία επειδή δεν είναι εξουσιοδοτημένα να μιλήσουν δημοσίως.
Καταστράφηκαν 30 βάσεις δεδομένων
Η ζημιά που αποδίδεται στα δύο αδέλφια περιλαμβάνει την καταστροφή άνω των 30 βάσεων δεδομένων και τη διαγραφή περισσότερων από 1.800 αρχείων που σχετίζονται με ένα κυβερνητικό έργο, σύμφωνα με την έκθεση της εταιρείας κυβερνοασφάλειας. Η εσωτερική έρευνα της Opexus διαπίστωσε ότι οι ενέργειες των αδελφών προκάλεσαν τη διακοπή λειτουργίας δύο βασικών συστημάτων λογισμικού που χρησιμοποιούνται από κυβερνητικές υπηρεσίες για την επεξεργασία και διαχείριση αρχείων τους, και σε ορισμένες περιπτώσεις, την οριστική απώλεια δεδομένων.
Η ομοσπονδιακή κυβέρνηση επεξεργάζεται κάθε χρόνο έναν τεράστιο όγκο ηλεκτρονικών αρχείων. Η Opexus, που εδρεύει στην Ουάσιγκτον, είναι ένας από τους μεγαλύτερους παρόχους ψηφιακών εργαλείων για τη διαχείριση αυτής της ροής. Η εταιρεία δηλώνει ότι εξυπηρετεί «πάνω από 100.000 κυβερνητικούς χρήστες και 200 δημόσιους φορείς σε ΗΠΑ και Καναδά» και τους βοηθά να «εκσυγχρονίσουν τις κυβερνητικές διαδικασίες και ροές εργασίας». Τον Ιανουάριο, η Opexus συγχωνεύθηκε με την Casepoint, μια εταιρεία λογισμικού που επίσης προσφέρει εργαλεία σε εταιρείες και κρατικούς φορείς για την επεξεργασία αρχείων, μεταξύ άλλων και στο πλαίσιο δικαστικών υποθέσεων, κανονιστικής συμμόρφωσης και ερευνών.
Την τελευταία δεκαετία, η Opexus, η οποία παλαιότερα ήταν γνωστή ως AINS, έχει λάβει συμβάσεις αξίας άνω των 50 εκατομμυρίων δολαρίων από δεκάδες ομοσπονδιακές υπηρεσίες για τη διαχείριση ποικίλων κυβερνητικών αρχείων, συμπεριλαμβανομένων ευαίσθητων δικαστικών εγγράφων και ερευνών ή ελέγχων των γενικών επιθεωρητών. Ειδικεύεται στην υποστήριξη υπηρεσιών για την επεξεργασία αρχείων στο πλαίσιο του Νόμου περί Ελευθερίας της Πληροφόρησης (Freedom of Information Act – FOIA).
Οι αδελφοί Akhter
Μεταξύ 2023 και 2024, η Opexus προσέλαβε τους Suhaib και Muneeb Akhter ως μηχανικούς. Τα δύο αδέλφια, που μεγάλωσαν στο Springfield της Βιρτζίνια, είχαν αποκτήσει φήμη ως «παιδιά-θαύματα της πληροφορικής», σύμφωνα με άρθρο της Washington Post του 2014. Αποφοίτησαν από το George Mason University το 2011, σε ηλικία μόλις 19 ετών, με πτυχία στην ηλεκτρολογική μηχανική. Αργότερα απέκτησαν μεταπτυχιακούς τίτλους στην επιστήμη των υπολογιστών και έλαβαν επιχορήγηση από την DARPA (Defense Advanced Research Project Agency) για έρευνα στον τομέα της κυβερνοασφάλειας.
Όταν προσλήφθηκαν στην Opexus, ήταν επίσης έμπειροι χάκερ. Το 2015, δήλωσαν ένοχοι για ομοσπονδιακές κατηγορίες απάτης μέσω διαδικτύου και παραβίασης υπολογιστικών συστημάτων, στην Ανατολική Περιφέρεια της Βιρτζίνια. Οι εισαγγελείς δήλωσαν ότι έναν χρόνο νωρίτερα, ενώ ο Muneeb εργαζόταν ως εξωτερικός συνεργάτης στο Υπουργείο Εσωτερικής Ασφάλειας (DHS), είχε χακάρει τον ιστότοπο μιας εταιρείας καλλυντικών και είχε υποκλέψει χιλιάδες αριθμούς πιστωτικών καρτών πελατών. Ο ίδιος και ο αδελφός του χρησιμοποίησαν τα στοιχεία για να αγοράσουν αεροπορικά εισιτήρια, να κάνουν κρατήσεις σε ξενοδοχεία, και επίσης μεταπώλησαν τα κλεμμένα δεδομένα στο dark web, σύμφωνα με το Υπουργείο Δικαιοσύνης.
Την ίδια περίοδο, ο Suhaib εργαζόταν ως τεχνικός υποστήριξης πληροφορικής στο Γραφείο Προξενικών Υποθέσεων του Υπουργείου Εξωτερικών. Εκεί, σύμφωνα με τη συμφωνία παραδοχής ενοχής που υπέγραψε με το Υπουργείο Δικαιοσύνης, απέκτησε πρόσβαση σε ευαίσθητα υπολογιστικά συστήματα και αφαίρεσε στοιχεία διαβατηρίων και θεωρήσεων φίλων του, πρώην εργοδότη του και ακόμη και ενός ομοσπονδιακού πράκτορα που ερευνούσε τη δραστηριότητά του. Ο ίδιος και ο αδελφός του σχεδίασαν επίσης να εγκαταστήσουν μια συσκευή στο Υπουργείο Εξωτερικών που θα τους παρείχε μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση στα υπολογιστικά συστήματα της υπηρεσίας. Σύμφωνα με τους εισαγγελείς, στόχος τους ήταν να κατασκευάσουν και να πουλήσουν πλαστά διαβατήρια και θεωρήσεις.
Ο Muneeb καταδικάστηκε σε τρία χρόνια φυλάκιση, ενώ ο Suhaib σε δύο.
Αφού αποφυλακίστηκαν, τα δύο αδέλφια επέστρεψαν στην αγορά εργασίας ως προγραμματιστές και μηχανικοί, σύμφωνα με τα δημόσια επαγγελματικά τους ιστορικά. Ο Muneeb, που χρησιμοποιεί το ψευδώνυμο Mickey, εργάστηκε σε μεγάλη τράπεζα και σε αμυντικό εργολάβο. Ο Suhaib εργάστηκε ως τεχνικός συντάκτης σε μικρή εταιρεία τηλεπικοινωνιών στη Βιρτζίνια.
Τελικά, προσελήφθησαν από την Opexus ως μηχανικοί, με αρμοδιότητες που τους έδιναν πρόσβαση σε ευρύ φάσμα δεδομένων και εγγράφων που είχαν αποθηκευτεί στους διακομιστές της εταιρείας. Μέρος της εργασίας τους αφορούσε τη διαχείριση ηλεκτρονικών φακέλων για διάφορες υπηρεσίες, μεταξύ αυτών η Υπηρεσία Εσωτερικών Εσόδων (IRS), το Υπουργείο Ενέργειας, το Υπουργείο Άμυνας και το Γραφείο Γενικού Επιθεωρητή του DHS.
Στο πλαίσιο της εργασίας τους, είχαν πρόσβαση σε δύο λογισμικά συστήματα: το eCASE, το οποίο διαχειρίζεται ελέγχους κυβερνητικών υπηρεσιών και έρευνες για σπατάλη, απάτη και κατάχρηση· και το FOIAXpress, που χειρίζεται αιτήματα δημοσίων εγγράφων, συμπεριλαμβανομένης της απόκρυψης ευαίσθητων στοιχείων βάσει ομοσπονδιακής νομοθεσίας.
Η Opexus αρνήθηκε να σχολιάσει αν είχε διενεργήσει έλεγχο ιστορικού (background check) πριν προσλάβει τους αδελφούς. Είναι τυπική διαδικασία οι συνεργάτες που εργάζονται με ευαίσθητα κρατικά δεδομένα να υπόκεινται σε αυστηρούς ελέγχους. Η Opexus αναφέρει στην ιστοσελίδα της ότι οι πλατφόρμες της είναι πιστοποιημένες από το Ομοσπονδιακό Πρόγραμμα Διαχείρισης Κινδύνων και Εξουσιοδότησης (FedRAMP) της GSA, το οποίο διασφαλίζει ότι οι πάροχοι cloud υπηρεσιών πληρούν αυστηρές προδιαγραφές ασφάλειας για χρήση από την κυβέρνηση.
Σε συνέντευξή του στο Bloomberg, ο Suhaib Akhter δήλωσε ότι προσλήφθηκε στην Opexus «υπό την προϋπόθεση ότι θα εξασφαλίζονταν οι απαραίτητες άδειες ασφαλείας». Οι άδειες αυτές δεν εκδόθηκαν ποτέ, είπε, και έτσι η Opexus τον μετέφερε συχνά από έργο σε έργο.
«Κάναμε καλή δουλειά στην Opexus», δήλωσε. «Δεν θυμάμαι τίποτα από όλα αυτά», είπε ο Muneeb Akhter. «Ό,τι έκανα, το έκανα για επαγγελματικούς λόγους. Δεν ξέρω πώς αυτό μπορεί να συνδέεται μαζί μου».
www.bankingnews.gr
Σχόλια αναγνωστών