Масштабный инцидент ИБ по вине сотрудников

Американская компания Opexus и ряд ее госзаказчиков пострадали в результате инцидента ИБ в начале года. Инцидент ИБ произошел в результате действий двух сотрудников, которые ранее уже были замешаны в организации кибератак, но не проходили у новых работодателей проверку биографических сведений и не получали необходимые допуски. Взлом привел к сбоям к утечке данных ряда федеральных органов США. Виновникам инцидента ИБ грозит тюремное заключение.

Разработчик ПО для федеральных агентств США, компания Opexus, стала жертвой кибератаки из-за серьезных упущений в мерах безопасности, согласно документам, изученным Bloomberg News.

Opexus, которая принадлежит частной инвестиционной компании Thoma Bravo, была взломана в феврале 2025 года двумя сотрудниками, которые ранее были осуждены за кибератаку на Государственный департамент США. Результаты инцидента в Opexus были изложены в отдельных отчетах самой компании, а также в материалах независимой фирмы по кибербезопасности, которая охарактеризовала инцидент как «атаку с внутренней угрозой».

Расследование показало, что сотрудники Opexus, братья-близнецы Муниб и Сухаиб Ахтер (Muneeb Akhter, Suhaib Akhter), получили доступ к конфиденциальным документам и скомпрометировали или удалили десятки баз данных, включая те, которые содержали документы Налоговой службы (IRS). После этого братья были уволены.

По словам пяти источников, знакомых с этим делом, но выступивших на условиях анонимности, этот инцидент в настоящее время расследуется ФБР и другими федеральными правоохранительными органами. Муниб и Сухаиб Ахтер ранее в отдельных интервью отрицали какие-либо правонарушения со своей стороны.

Согласно отчету фирмы по кибербезопасности, братьев обвиняют в уничтожении 30 баз данных и удалении более 1800 файлов, связанных с одним из государственных проектов. Собственное расследование Opexus показало, что действия братьев Ахтеров привели к сбою двух ключевых программных систем, используемых государственными учреждениями для обработки и управления своими записями, а в некоторых случаях и к потере данных.

Opexus, базирующаяся в Вашингтоне, является одним из крупнейших поставщиков цифровых инструментов для управления потоками данных. Компания заявляет, что обслуживает «более 100 тыс. правительственных пользователей и 200 государственных учреждений в США и Канаде». В январе Opexus объединилась с Casepoint, компанией-разработчиком программного обеспечения, которая также предлагает инструменты по обработке данных для корпораций и правительственных учреждений, в том числе в рамках судебных разбирательств.

Известно, что компания Opexus наняла Муниба и Сухаиба Ахтеров в период между 2023 и 2024 годами. Братья, выросшие в Спрингфилде (штат Вирджиния), еще в детстве получили репутацию компьютерных вундеркиндов. В 2011 году, когда им было по 19 лет, они окончили университет Джорджа Мейсона, став специалистами в области электротехники. Позже они выучились на магистров в области компьютерной инженерии и получили гранты от Агентства перспективных исследовательских проектов Министерства обороны США (DARPA) на проведение исследований в области кибербезопасности.

Но свои способности братья еще в начале карьеры стали использовать не по назначению. В 2015 году они признали себя виновными в федеральном мошенничестве с использованием электронных средств связи и хакерских атаках в Восточном округе Вирджинии. Прокуроры заявили, что годом ранее, когда Муниб работал подрядчиком в Министерстве внутренней безопасности, он взломал веб-сайт косметической компании и украл тысячи номеров кредитных карт клиентов. Он и его брат использовали их для покупки авиабилетов и бронирования мест в отелях, а также перепродавали украденную информацию в дарквебе, заявило Министерство юстиции.

Сухаиб в то время работал ИТ-специалистом по поддержке в Бюро консульских дел Госдепартамента. По данным Министерства юстиции США, находясь на рабочем месте, он получил доступ к конфиденциальным компьютерным системам и удалил паспортную и визовую информацию, принадлежащую его друзьям, бывшему работодателю и даже федеральному агенту правоохранительных органов, который расследовал его действия. Вместе с братом Сухаиб также разработал план по установке в Госдепе устройства, которое предоставило бы им несанкционированный удаленный доступ к компьютерным системам агентства. Их целью было создание и продажа поддельных паспортов и виз, заявили прокуроры в судебных документах.

Тогда Муниб был приговорен к трем годам тюремного заключения, а Сухаиб получил два года.

Выйдя на свободу, братья Ахтеры вернулись к работе ИТ-специалистами на различных должностях. Известно, что Муниб, которого также зовут Микки, работал в крупном банке и в одном из оборонных подрядчиков. Сухаиб работал техническим писателем в небольшой телекоммуникационной компании в Вирджинии.

В итоге оба брата устроились на работу в Opexus в качестве инженеров, что дало им доступ к широкому спектру данных и документов, загруженных на серверы компании. Часть их служебных обязанностей предполагала электронное управление проектами для различных агентств, включая Службу внутренних доходов, Министерство энергетики, Министерство обороны и Управление генерального инспектора Министерства внутренней безопасности.

В рамках своей работы они имели доступ к двум программным системам: eCASE, которая управляет аудитом государственных учреждений и расследованиями растрат, мошенничества и злоупотреблений, а также FOIAXpress, которая обрабатывает и отслеживает запросы на публичные записи, включая редактирование материалов, защищенных от раскрытия в соответствии с федеральным законом.

Opexus отказалась отвечать на вопрос журналистов о том, проводила ли она проверку биографических данных братьев Ахтеров перед их трудоустройством. Это обязательное условие для подрядчиков, которые работают с конфиденциальными государственными данными, проходящими усиленную процедуру проверки. Opexus заявляет на своем веб-сайте, что ее платформы сертифицированы в рамках Федеральной программы управления рисками и авторизацией GSA, которая гарантирует, что подрядчики «соответствуют определенным требованиям безопасности, гарантируя, что их облачные сервисы безопасны и надежны для использования правительством».

В интервью Bloomberg Сухаиб Ахтер сказал, что он был нанят Opexus в срочном порядке с обещанием того, что определенные допуски, которые ему нужны, «будут получены». Но документально допуски так и не были предоставлены, сказал он, поэтому Opexus в итоге часто переводила его с проекта на проект.

Информация о прошлом братьев всплыла, когда Сухаибу Ахтеру было предложено поработать в Управлении генерального инспектора в Федеральной корпорации страхования депозитов (FDIC). По словам ряда анонимных источников, это агентство использует программное обеспечение eCASE компании Opexus для управления своими аудитами и расследованиями.

Поскольку новые должностные обязанности подразумевали предоставление неограниченного доступа к конфиденциальным банковским и финансовым данным, агентство потребовало, чтобы Сухаиб прошел проверку биографических сведений для получения допуска к секретной информации. Тогда чиновники FDIC узнали о судимостях и обоих братьев и отметили их как инсайдеров, представляющих угрозу руководству по информационной безопасности Opexus. FDIC отказалась от комментариев.

18 февраля 2025 года, примерно через год после начала их работы в Opexus, братьев вызвали на онлайн-встречу со специалистами отдела кадров компании и уволили. Но это было только начало.

На момент встречи с HR-менеджерами Муниб Ахтер все еще имел доступ к данным, хранящимся на серверах Opexus. С ноутбука, выданного компанией, он вошел в базу данных IRS, и заблокировал другим доступ к ней, отмечается в независимом отчете, подготовленном Mandiant, фирмой по кибербезопасности, принадлежащей Google, которая была нанята для расследования взлома. Муниб также получил доступ к базе данных Управления общих служб (GSA) и удалил ее, говорится в отчете.

Все еще находясь на онлайн-встрече с отделом кадров, он удалил 33 другие базы данных, включая ту, которая содержала документы с запросами в соответствии с законом о свободе информации (FOIA), отправленными в многочисленные государственные учреждения, согласно отчету по кибербезопасности.

Более чем через час после увольнения Муниб Ахтер вставил USB-накопитель в свой ноутбук и удалил 1805 файлов данных, связанных с «индивидуальным проектом» для государственного учреждения, говорится в отчете по кибербезопасности. (Неизвестно, что именно подразумевал проект и что содержали файлы.) В тот же день его брат отправил электронное письмо десяткам федеральных государственных служащих, которые работали с Opexus.

«Привет всем, я должен извиниться за внезапное сообщение... но у меня срочные новости», — написал Сухаиб Ахтер 18 февраля в письме, копия которого была рассмотрена Bloomberg News. «Opexus/CasePoint нанимает непроверенный персонал для работы с вашими данными; я был одним из этих непроверенных сотрудников. Базы данных небезопасны, для доступа к ним используется одно и то же имя пользователя и пароль. Они уволили меня, потому что некоторые из вас решили, что я не подхожу для работы с вашими данными, но я говорю вам, что в этой организации гораздо больше таких людей, как я. Пожалуйста, примите во внимание это сообщение».

Легкость, с которой Ахтеры смогли получить доступ к системам и данным Opexus во время их встречи по вопросам увольнения, побудила компанию провести интенсивное расследование инцидента.

В конце февраля Opexus отправила электронное письмо государственным служащим, которые жаловались на сбои в работе платформ eCase и FOIAXpress. Компания заявила, что причиной случившегося стали «удаления баз данных», осуществленные «двумя недовольными сотрудниками», согласно копии письма, просмотренной Bloomberg News.

В отчете, который подготовила компания, говорилось, что Ахтеры сохранили административный доступ к системам Opexus во время процесса «отстранения».

24 февраля Mandiant была нанята юридической фирмой Kirkland & Ellis, которая консультировала Thoma Bravo по слиянию Opexus-Casepoint, для проведения независимого расследования действий Ахтеров.

Расследование Mandiant не выявило доказательств «злонамеренной деятельности» Ахтеров за пределами этого инцидента. Оно лишь подчеркнуло «значительные недостатки в методах кибербезопасности Opexus». В нем также говорилось, что поведение братьев можно классифицировать как нарушение Закона о компьютерах, мошенничестве и злоупотреблениях.

В отчете отмечалось, что тактика, используемая Ахтерами для атаки на сети Opexus, была «показательной для передовой тактики постоянных внутренних угроз, которая обычно ассоциируется с субъектами национальных государств». Это предполагает, что уязвимости Opexus могут иметь более широкие последствия для национальной безопасности.

Вызывает вопросы то, как Opexus представила инцидент своим клиентам в различных агентствах. В одном из писем Opexus подчеркивается, что «нет никаких доказательств того, что бывшие инсайдеры изъяли конфиденциальную информацию клиентов… или совершили какие-либо другие вредоносные действия в сети Opexus».

Но как отмечается в отчете Mandiant, согласно ее собственному расследованию, с использованием учетной записи пользователя Муниба Ахтера на USB-накопитель было скопировано 1805 файлов — «серьезное упущение в мерах безопасности» — и удалено десятки баз данных, информацию о которых Opexus не раскрыла.

«Это противоречие вызывает серьезные опасения относительно честности заявлений Opexus и ее реакции на инцидент», — говорится в отчете Mandiant.

Генеральные инспекторы более чем десяти федеральных агентств США расследуют инцидент ИБ и все еще пытаются определить содержание правительственных записей и данных, к которым Ахтеры могли получить доступ, которые они скопировали и удалили, сообщили пять источников.

В марте Bloomberg News получило несколько писем от правительственных агентств в ответ на запросы FOIA, в которых говорилось, что все запросы, поданные в течение четырехдневного срока, начинающегося 14 февраля, были «потеряны» из-за «сбоя данных, возникшего у его подрядчика, компании Opexus». В Экспортно-импортном банке США сбой был еще более длительным. Это агентство заявило, что сбой затронул все запросы FOIA, поданные в период с 18 февраля по 18 марта.

По крайней мере одно пострадавшее агентство, Министерство здравоохранения и социальных служб (DHHS), рассматривает возможность расторжения контракта с Opexus из-за сбоев в системе безопасности компании, сообщили Bloomberg News три человека, знакомых с ситуацией.

Тем временем Opexus сотрудничает с ФБР, которое с тех пор расширило свое расследование, чтобы определить обоснованность утверждений в электронном письме Сухаиба Ахтера о персонале без допусков и незащищенных базах данных в компании, сообщили люди, знакомые с этим вопросом.

ФБР отказалось от комментариев.

Известно, что в конце марта агенты Министерства внутренней безопасности (DHS) и следователи из Управления генерального инспектора FDIC приходили с обысками в дом Сухаиба Ахтера в Вирджинии, а также в дом его родителей в Техасе, где в то время находился Муниб Ахтер. Об этом сообщил сам Сухаиб и еще четыре источника. По их словам, следователи изъяли принадлежащие братьям электронные устройства и паспорта.

Источник: Insurance Journal