Американские власти арестовали экс-сотрудника компании Ubiquiti Networks и обвиняют его во взломе собственного нанимателя, произошедшем в декабре 2020 года.
Напомню, что в январе 2021 года крупный производитель сетевого оборудования и IoT-устройств, компания Ubiquiti Networks, разослал своим клиентам письма с уведомлением о хакерской атаке. Тогда сообщалось, что неизвестные злоумышленники могли получить доступ к информации пользователей UI.com, а жертв просили изменить пароли и включить двухфакторную аутентификацию.
Позже выяснилось, что еще в декабре 2020 года неизвестный хакер взломал административный аккаунт компании в Amazon Web Services (AWS) и перешел к загрузке исходного кода компании, установке малвари, а также получил доступ к данным клиентов. Когда в Ubiquiti Networks обнаружили атаку и удалили один из бэкдоров злоумышленника, тот потребовал выкуп в размере 50 биткоинов и за эти деньги пообещал рассказать, где спрятан второй бэкдор, молчать о взломе и не «сливать» исходные коды, которые украл у компании.
Как теперь сообщают власти США, по обвинениям во взломе Ubiquiti Networks, вымогательстве и краже данных был арестован некий 36-летний Николас Шарп (Nickolas Sharp), работавший разработчиком в облачном подразделении компании с 2018 по 2021 год.
ФБР заявляет, что Шарп использовал учетную запись Surfshark VPN, чтобы скрыть свой реальный IP-адрес, а затем вошел в учетные записи компании в AWS и на GitHub, используя при этом учетные данные, которые выданы ему на работе. Также во время взлома он использовал свой инсайдерский доступ к сети компании, чтобы изменить политику хранения логов и другие файлы, стремясь скрыть вторжение и последующее хищение данных.
Какое-то время все шло по плану. Иронично, но Ubiquiti Networks даже включила Шарпа в команду по реагированию на инциденты, не догадываясь о том, что именно он и устроил взлом. По информации Министерства юстиции США и ФБР, на этом этапе Шарп отправил в компанию анонимное письмо и потребовал 50 биткоинов (примерно 2 млн долларов на тот момент) в обмен на украденные файлы и информацию об уязвимостях, которые он использовал для доступа к сети.
Как мы рассказывали ранее, компания отказалась платить, самостоятельно обнаружила и удалила второй бэкдор, сбросила все учетные данные сотрудников и в итоге выпустила январское письмо, информировавшее об атаке. Кроме того, Ubiquiti Networks обратилась в правоохранительные органы, которые в конечном итоге вычислили Шарпа: учетная запись Surfshark, которую тот использовал для маскировки, оказалась оплачена с его учетной записи PayPal. Более того, во время взлома произошел сбой VPN-соединения, в результате чего удалось узнать реальный IP-адрес взломщика.
Власти пишут, что озвучили свои выводы Шарпу еще 24 марта текущего года, и тогда же в его доме прошел обыск. Несмотря на этом, подозреваемый отрицал, что причастен к каким-либо нарушениям и даже утверждал, что кто-то другой мог использовать его PayPal-аккаунт для оплаты Surfshark VPN.
Следователи говорят, что через несколько дней после того, как ФБР провело обыск в доме Шарпа, он продолжил совершать ошибки: как анонимный информатор он обратился к новостным агентствам и попытался рассказать миру, что взлом Ubiquiti Networks был куда серьезнее, чем все думали. Именно об этом весной 2021 года писал известный ИБ-журналист Брайан Кребс, а затем и многие мировые СМИ. В итоге эти сообщения привели к падению акций компании более чем на 20%, в результате чего компания потеряла более 4 млрд долларов своей рыночной капитализации.
Через несколько дней после разоблачения Шарп был уволен из Ubiquiti Networks, и теперь ему грозит до 37 лет лишения свободы по четырем отдельным обвинениям, включая взлом, вымогательство, мошенничество с использованием электронных средств связи и ложь агентам ФБР.