Ένα κατηγορητήριο από το Υπουργείο Δικαιοσύνης υποδηλώνει ότι το hack της εταιρείας Ubiquiti που αναφέρθηκε τον Ιανουάριο και οι επακόλουθοι ισχυρισμοί για συγκάλυψη, ήταν έργο κάποιου που ήταν τότε υπάλληλος της εταιρείας. Το DOJ ισχυρίζεται ότι ο Nickolas Sharp, 36 ετών, συνελήφθη την Τετάρτη με την κατηγορία ότι χρησιμοποίησε τα διαπιστευτήρια των υπαλλήλων του για να κατεβάσει εμπιστευτικά δεδομένα και έστειλε ανώνυμα αιτήματα στην εταιρεία για την οποία εργαζόταν προσποιούμενος ότι ήταν hacker σε μια προσπάθεια να πάρει λύτρα 50 Bitcoin.
Δείτε επίσης: Η ομάδα hacking WIRTE στοχεύει κυβερνήσεις στη Μέση Ανατολή
Το κατηγορητήριο δεν κατονομάζει συγκεκριμένα την Ubiquiti, αναφέρεται απλά στην “Εταιρεία-1”. Ωστόσο, όλα τα στοιχεία ταιριάζουν. Τον Ιανουάριο, η Ubiquiti έστειλε ένα email στους χρήστες λέγοντας ότι ένα μη εξουσιοδοτημένο άτομο είχε πρόσβαση στα «συστήματα πληροφοριών της που φιλοξενούνται από τρίτο πάροχο cloud». Τον Μάρτιο, κάποιος που ισχυριζόταν ότι ήταν πληροφοριοδότης παρουσίασε το περιστατικό ως «καταστροφικό», ισχυριζόμενος ότι η εταιρεία δεν μπορούσε να πει την πλήρη έκταση της επίθεσης, επειδή δεν κρατούσε αρχεία καταγραφής και ότι ο εισβολέας είχε πρόσβαση στις υπηρεσίες Web Amazon της Ubiquiti ( AWS).
Το κατηγορητήριο λέει ότι η εταιρεία εδρεύει στη Νέα Υόρκη, όπου βρίσκεται και η Ubiquiti και λέει ότι η τιμή της μετοχής της εταιρείας μειώθηκε κατά περίπου 20 τοις εκατό μεταξύ 30ης Μαρτίου και 31ης Μαρτίου μετά τα νέα για το περιστατικό. Σύμφωνα με το Yahoo Finance, η μετοχή της Ubiquiti άξιζε 376,78 δολάρια στις 29 Μαρτίου και έπεσε στα 298,30 δολάρια έως τις 31 Μαρτίου.
Ίσως ο πιο αξιοσημείωτος είναι ο ισχυρισμός ότι ο Sharp παρουσιάστηκε ως πληροφοριοδότης στα μέσα ενημέρωσης στα τέλη Μαρτίου 2021 – την ίδια στιγμή που ένας πληροφοριοδότης κατηγόρησε την Ubiquiti ότι συγκάλυπτε τη σοβαρότητα της παραβίασης δεδομένων, παρά την άρνηση της εταιρείας ότι στοχοποιήθηκαν δεδομένα χρηστών. Είδαμε επίσης ένα προφίλ στο LinkedIn που φαίνεται να ανήκει στον Sharp και τον δείχνει να εργάζεται για την Ubiquiti κατά το χρονικό διάστημα που αναφέρεται στο κατηγορητήριο.
Δείτε ακόμα: Η Microsoft προειδοποιεί για έξι αναπτυγμένες ιρανικές ομάδες hacking
Το DOJ ισχυρίζεται ότι ο Sharp είχε πρόσβαση στους λογαριασμούς Amazon Web Services και Github της εταιρείας μετά από αίτηση για δουλειά σε άλλη εταιρεία τον Δεκέμβριο του 2020. Το κατηγορητήριο λέει ότι ένας άλλος υπάλληλος ανακάλυψε την παραβίαση ημέρες αφότου η Sharp κατέβασε «gigabyte» εμπιστευτικών δεδομένων και εφάρμοσε πολιτικές AWS. Ο Sharp φέρεται να στράφηκε στην ομάδα απόκρισης που προοριζόταν να αξιολογήσει το περιστατικό και το Υπουργείο Δικαιοσύνης λέει ότι χρησιμοποίησε αυτή τη μέθοδο για να προσπαθήσει να αποφύγει τις υποψίες.
Σύμφωνα με το κατηγορητήριο, ο Sharp έστειλε ένα ανώνυμο email με λύτρα που υποσχόταν να μην δημοσιεύσει τα δεδομένα και να βοηθήσει την εταιρεία να επιδιορθώσει ένα backdoor εάν πληρωνόταν 50 Bitcoin έως τις 10 Ιανουαρίου 2021. Το DOJ ισχυρίζεται ότι ο Sharp δημοσίευσε ορισμένα από τα κλεμμένα δεδομένα όταν η εταιρεία δεν πλήρωσε τα λύτρα.
Το Υπουργείο Δικαιοσύνης λέει ότι μπόρεσε να εντοπίσει τον Sharp λόγω ενός μικρού τεχνικού σφάλματος. Ο Sharp φέρεται να χρησιμοποίησε το SurfShark VPN για να κρύψει την ταυτότητά του κατά τη λήψη δεδομένων και την αποστολή email, αλλά για μια στιγμή, η πραγματική IP του αναγνωρίστηκε και καταγράφηκε ως σύνδεση στο GitHub της εταιρείας. Σύμφωνα με το Υπουργείο Δικαιοσύνης, αυτό συνέβη όταν η σύνδεση στο σπίτι του Sharp διακόπηκε και στη συνέχεια επανήλθε.
Δείτε επίσης: Zerodium: Ζητά zero-day exploits για υπολογιστές Windows VPN
Σύμφωνα με το κατηγορητήριο, αυτό οδήγησε τελικά το FBI να διενεργήσει ένταλμα έρευνας στο σπίτι του Sharp, όπου αρνήθηκε ότι χρησιμοποίησε το SurfShark και είπε ότι κάποιος άλλος χρησιμοποίησε τον λογαριασμό του στο PayPal για να αγοράσει τη συνδρομή.
Εάν ο Sharp κριθεί ένοχος και το Υπουργείο Δικαιοσύνης μπορέσει να αποδείξει ότι το περιστατικό εκτυλίχθηκε όπως περιγράφεται στο κατηγορητήριο, σίγουρα θα ρίξει νέο φως στις αναφορές για το χακάρισμα της Ubiquiti. Το κατηγορητήριο ισχυρίζεται ότι ο Sharp ξεκίνησε την επίθεση χρησιμοποιώντας τα διαπιστευτήρια που του είχαν δοθεί για να κάνει τη δουλειά του. Τον Μάρτιο, η Ubiquiti επέμεινε στη δήλωσή της ότι οι εισβολείς δεν είχαν πρόσβαση σε δεδομένα πελατών, κάτι που δεν φαίνεται να έρχεται σε αντίθεση με τις πληροφορίες που αποκαλύφθηκαν τώρα.
