Проверка персонала, имеющего доступ к конфиденциальным правительственным системам, — разумная мера предосторожности, как и прекращение доступа к этим системам сразу после увольнения. Прокуроры утверждают, что федеральный подрядчик убедился в этом на собственном горьком опыте, когда братья-близнецы, ранее осужденные за правонарушения, связанные с взломом, предположительно использовали сохранившийся доступ для удаления почти 100 правительственных баз данных, включая системы, связанные с министерством внутренней безопасности и другими ведомствами, всего за несколько минут после увольнения.
Братья, по-видимости, разработали план сразу во время разговора об увольнении и обратились к искусственному интеллекту за помощью в сокрытии следов.
Муниб и Сохаиб Ахтер, оба 34 года, жители Александрии, штат Вирджиния, были обвинены 13 ноября в сговоре с целью удаления баз данных, используемых для хранения информации правительства США.
Оба работали федеральными подрядчиками компании, идентифицированной в документах суда как «Компания 1» [PDF]. Согласно недавнему сообщению Bloomberg , это компания Opexus, расположенная в Вашингтоне, которая предоставляет программное обеспечение и услуги федеральным агентствам и разработала портал для запросов Закона о свободе информации FOIAXpress.
Представитель компании Opexus отправил The Register следующее заявление:
Безопасность информации наших клиентов является нашим главным приоритетом, и мы благодарны за то, что эти люди привлекаются к ответственности. Мы продолжим в полной мере поддерживать ход процесса, как и поддерживали наших клиентов с момента инцидента.
Мы многому научились из этого инцидента и предприняли значительные шаги для укрепления безопасности информации, которую мы обрабатываем сейчас и в будущем, и мы по-прежнему стремимся удовлетворять критические потребности наших клиентов с помощью передовой безопасности и обслуживания.
Вскоре после увольнения братьев те попытались навредить «Компании-1» и ее клиентам правительства США, получив несанкционированный доступ к компьютерам, установив защиту записей в базах данных, удалив базы данных, похитив информацию и уничтожив доказательства своей незаконной деятельности, указывает обвинительное заключение. «Когда подсудимые не знали команд базы данных, необходимых для достижения своих незаконных целей, они использовали инструмент искусственного интеллекта для оказания помощи».
Компания уволила мужчин около 16:50 18 февраля, и всего через пять минут Сохаиб, по словам обвинительного заключения, попытался взломать сеть Opexus, но потерпел неудачу, поскольку его VPN был деактивирован, а учетная запись Windows отключена.
Муниб, однако, оставался подключенным к корпоративной сети и около 16:56, по-видимому, получил доступ к базе данных правительственного агентства, выдал команды для предотвращения подключения или внесения каких-либо изменений другими пользователями в базу данных, а затем удалил ее.
В общей сложности федеральные органы утверждают, что Муниб удалил 96 баз данных, содержащих информацию правительства США. Многие из них содержали записи и документы, связанные с Законом о свободе информации, а также конфиденциальные расследовательские файлы федеральных правительственных ведомств и агентств.
После, как утверждается, удаления производственной базы данных министерства внутренней безопасности, Муниб задал искусственному интеллекту вопрос: «как очистить системные журналы от SQL-серверов после удаления баз данных», – согласно документам суда.
Вскоре после этого Сохаиб, как сообщается, сказал: «они, вероятно, совершат облаву на это место», на что Муниб ответил: «Я все это приберу». В обвинительном заключении говорится, что Сохаиб ответил: «Нам также нужно убрать все с другого дома, приятель».
Затем Муниб, как утверждается, задал искусственному интеллекту вопрос: «как очистить все журналы событий и приложений из Microsoft Windows Server 2012».
Мунибу предъявлены обвинения в сговоре с целью совершения компьютерного мошенничества и уничтожения записей, двух пунктах компьютерного мошенничества, краже правительственных записей США и двух пунктах грубой кражи личных данных.
Сохаибу предъявлены обвинения в сговоре с целью совершения компьютерного мошенничества и уничтожения записей, а также в компьютерном мошенничестве (торговле паролями).
В случае признания виновным, Муниб может быть приговорен к минимальному наказанию в виде двух лет тюремного заключения за каждый пункт обвинения в грубой краже личных данных и максимальному наказанию в виде 45 лет тюремного заключения по остальным обвинениям, в то время как Сохаиб может быть приговорен к максимальному наказанию в виде шести лет тюремного заключения.
Оба мужчины появились в суде в среду и остаются под стражей, а слушания о содержании под стражей запланированы на пятницу.
Братья признали себя виновными в 2015 году по федеральным обвинениям, связанным с взломом Государственного департамента США и косметической компании.
Согласно заявлению Управления юстиции в 2015 году, Сохаиб работал подрядчиком в Государственном департаменте, когда получил доступ к личной информации, принадлежащей его коллегам и другим лицам, включая агентов, расследовавших его. В 2013 году Муниб был подрядчиком компании, занимающейся агрегированием данных, и использовал украденные данные, чтобы помочь своей компании выиграть прибыльные федеральные контракты.
После взлома косметической компании и кражи тысяч кредитных карт и личной информации ее клиентов братья использовали эти кредитные карты для покупки авиабилетов, бронирования гостиниц и посещения профессиональных конференций. Муниб также предоставил украденные данные другому преступнику, который продавал их в даркнете, получая от этого часть прибыли.
За эти предыдущие преступления Муниб был приговорен к 39 месяцам тюремного заключения, а Сохаиб — к 24 месяцам.
Компания Opexus не сообщила, почему уволила братьев, но электронное письмо, опубликованное Bloomberg, которое Сохаиб якобы отправил другим сотрудникам во время инцидента, явно указывает на то, что пара была уволена после того, как были раскрыты их предыдущие преступления.
«Opexus/CasePoint нанимает персонал без проверки данных, чтобы работать с вашей информацией; я был одним из этих непроверенных сотрудников. Базы данных небезопасны, для доступа к ним используется один и тот же логин и пароль. Они уволили меня, потому что некоторые из вас посчитали меня негодным для работы с вашими данными», — якобы написал Сохаиб.
