Een hackzaak die plaatsvond bij een contractant van de Amerikaanse federale overheid wordt een negatief voorbeeld van informatiebeveiliging en personeelsbeoordeling. Onlangs werden de 34-jarige tweelingbroers Sohaib Akhter en Muneeb Akhter schuldig bevonden door een federale jury of vooraf schuldig gepleit voor het kwaadwillig verwijderen van databases van de federale overheid en het uitvoeren van gerelateerde hackactiviteiten nadat ze waren ontslagen.
Volgens informatie vrijgegeven door het Amerikaanse ministerie van Justitie heeft een jury Sohaib Akhter onlangs schuldig bevonden aan samenzwering om computerfraude te plegen en wachtwoorden door te verkopen, terwijl zijn broer Muneeb eerder had toegegeven deel te hebben genomen aan gerelateerde handelingen via een schikking. Het incident vond plaats nadat het tweetal werd ontslagen door federale overheidscontractant Opexus, die diensten levert aan meer dan 45 overheidsinstanties en gevoelige informatie host, waaronder gegevens over de Freedom of Information Act (FOIA) en federale onderzoeksbestanden.
Uit de zaak blijkt dat Opexus het tweetal in februari vorig jaar via een videoconferentie op de hoogte bracht van hun ontslag, nadat het bedrijf ontdekte dat ze federale veroordelingen hadden wegens cybercriminaliteit die teruggingen tot 2015, een belangrijke achtergrond die niet volledig werd onderkend tijdens de eerste aanwerving. Hoewel het bedrijf beweerde "uitgebreide antecedentenonderzoeken" van de twee mannen te hebben uitgevoerd, slaagde het er blijkbaar niet in om in hun eerdere hackgegevens te graven, en deze omissie maakte de weg vrij voor daaropvolgende ernstige interne aanvallen.
Binnen enkele minuten nadat ze de roze slip hadden gekregen, begonnen de broers zich te richten op bedrijfs- en overheidsgegevens. Uit het onderzoek bleek dat Muneeb binnen een paar uur ongeveer 96 databases verwijderde met gegevens over FOIA-verzoeken en documenten met betrekking tot federale onderzoeken. Tegelijkertijd vergrendelde hij ook andere gebruikersaccounts, waardoor normale toegang tot het systeem werd verhinderd.
Nog gênanter is dat Opexus tijdens het beëindigingsproces alleen de toegang tot het systeem van Sohaib op tijd heeft afgesloten, maar "vergat" hetzelfde te doen met het account van Muneeb. Binnen zes minuten nadat hij op de hoogte was gesteld van zijn ontslag, was Muneeb begonnen met het blokkeren van andere gebruikers en het verwijderen van databases, voordat hij nog eens 1.805 documenten van de Equal Employment Opportunity Commission (EEOC) en de federale belastinggegevens van meer dan 450 mensen had gestolen.
Toen onderzoekers het incident reconstrueerden, ontdekten ze dat het ‘technische niveau’ van de twee broers niet zo geavanceerd was als dat van professionele hackers. Nadat hij de database had verwijderd, vroeg Muneeb, om zijn sporen uit te wissen, aan een AI-chatbot hoe hij de systeemlogboeken moest wissen in een poging de sporen van de operatie te wissen. Hoewel het dossier de specifieke communicatiemiddelen tussen de twee partijen niet openbaarde, verkregen wetshandhavingsinstanties uiteindelijk tekstverslagen van hun gesprekken, die een van de belangrijke bewijzen werden.
In feite is dit niet de eerste keer dat de gebroeders Akhter betrokken zijn bij een federale cybercriminaliteitszaak. In een eerdere zaak uit 2015 gaven de twee toe meerdere websites te hebben gehackt, creditcardgegevens te hebben gestolen en te hebben geprobeerd persoonlijke gegevens op het dark web te verkopen. Sohaib werd destijds ook beschuldigd van samenzwering met zijn broer en anderen om de persoonlijke informatie van collega's te stelen en in het geheim hardware te installeren om overheidssystemen in de gaten te houden terwijl hij bij het Amerikaanse ministerie van Buitenlandse Zaken diende.
Opexus gaf na het incident toe dat, hoewel het bedrijf antecedentenonderzoek uitvoerde tijdens de aanwerving, dit “blijkbaar niet grondig genoeg” was om de eerdere federale cybercriminaliteitsgegevens van de broers te identificeren. Deze fout, in combinatie met het onvermogen om alle accountrechten volledig in te trekken bij ontslag, leidde direct tot de grootschalige verwijdering en diefstal van gevoelige overheidsgegevens binnen enkele uren.
Wat de gerechtelijke procedures betreft, ondertekende Muneeb de pleidooiovereenkomst in het bijzijn van zijn broer, maar onlangs begon hij bij de rechtbank een verzoek in te dienen om zijn pleidooi in te trekken in handgeschreven brieven terwijl hij in de gevangenis zat. In de brief beweerde hij dat zijn advocaat "ineffectief" was en sprak hij de hoop uit om voor de rechtbank te verschijnen om zichzelf te verdedigen. De verdere richting van de zaak wacht nog op verder oordeel van de rechtbank.
Het incident benadrukt dat elke tekortkoming in de personeelsbeoordeling en het accountbeheer in kritieke systemen waarbij overheidsgegevens, onderzoeksdossiers en de privacy van burgers betrokken zijn, snel kan uitmonden in ernstige cyberveiligheidsincidenten. Voor overheidsinstanties die afhankelijk zijn van aannemers en diensten van derden, wordt het een onvermijdelijke praktische kwestie hoe strengere en systematischere beveiligingsmechanismen bij werving, antecedentenonderzoek, autoriteitsbeheer en ontslagprocessen kunnen worden opgezet.