فهرست بستن

توسعه دهنده Ubiquiti متهم به نقض اطلاعات کارفرمای خود شد • ثبت نام

vpn
توسعه دهنده Ubiquiti متهم به نقض اطلاعات کارفرمای خود شد • ثبت نام

یکی از توسعه‌دهندگان Ubiquiti به سرقت داده‌های شرکت و تلاش‌های اخاذی به مبلغ ۲ میلیون دلار متهم شده است، چیزی که دادستان‌ها ادعا می‌کنند یک کمپین شرورانه برای آسیب رساندن به قیمت سهام شرکت بوده است – از جمله ادعای انتشار اخبار جعلی در مطبوعات درباره نقض‌ها.
دادستان های فدرال ایالات متحده ادعا کردند که نیکلاس شارپ 36 ساله از «دسترسی خود به عنوان یک شخص مورد اعتماد» برای سرقت داده ها از نمونه های AWS و GitHub کارفرمای خود استفاده کرده است، قبل از اینکه «به عنوان یک هکر ناشناس ظاهر شود» تا باج 50 بیت کوین را ارسال کند.
در بیانیه وزارت دادگستری به نام کارفرمای شارپ اشاره ای نشده است، اما یک حساب کاربری در لینکدین به نام شارپ می گوید که او بین آگوست 2018 تا مارس 2021 برای Ubiquiti به عنوان مدیر ابری کار می کرد و قبلاً برای آمازون به عنوان مهندس توسعه نرم افزار کار می کرد.

در یک کیفرخواست عجیب [PDF, 19 pages, non-searchable]، دادستان ها مدعی شدند که شارپ نه تنها کسب و کار کارفرمای خود را از داخل به خطر انداخته، بلکه به تلاش های کنترل خسارت داخلی پیوسته است، و ظاهراً به عنوان یک افشاگر نگران ظاهر شده است تا ادعاهای نادرستی در مورد اینکه شرکت به اشتباه شدت حمله را کم اهمیت جلوه داده و 4 دلار را پاک کرده است. میلیارد دلار از ارزش بازار آن.

اتهامات جنایی یک شبه در دادگاه فدرال آمریکا علیه شارپ از پورتلند، اورگان ثبت شد. این کیفرخواست بر اساس نرخ ارز رایج در آن زمان، ارزش 50 بیت کوین را 1.9 میلیون دلار ارزیابی کرد.
دامیان ویلیامز، وکیل دادگستری ایالات متحده در بیانیه ای از وزارت دادگستری ایالات متحده گفت: «همانطور که بیشتر ادعا می شود، پس از اینکه FBI خانه او را در ارتباط با سرقت بازرسی کرد، شارپ که اکنون خود را به عنوان یک افشاگر ناشناس شرکتی معرفی می کند، اخبار مخربی را منتشر کرد که به دروغ ادعا می کرد سرقت انجام شده است. توسط یک هکر که توسط یک آسیب پذیری در سیستم های کامپیوتری شرکت فعال شده است."

گفته می شود شارپ یک کلید مدیریت را دانلود کرده است که با استفاده از اتصال اینترنت خانگی خود، از سرورهای AWS Ubiquiti در ساعت 03:16 به وقت محلی در 10 دسامبر 2020 به او "دسترسی به سایر اعتبارنامه ها در زیرساخت شرکت-1" داده است. دو دقیقه بعد، از همان کلید برای برقراری تماس API AWS با GetCallerIdentity از یک آدرس IP مرتبط با ارائه دهنده VPN Surfshark – که شارپ مشترک آن بود، استفاده شد.
در اواخر همان ماه، طبق دادستانی، ادعا می‌شود که او گزارش‌های AWS را روی یک خط‌مشی حفظ یک روزه تنظیم کرده است و عملاً حضور خود را پنهان می‌کند.

یازده روز پس از شیطنت AWS، طبق ادعای کیفرخواست، او از اتصال خود برای ورود به زیرساخت GitHub Ubiquiti استفاده کرد. در کیفرخواست ادعا شده است که «تقریباً یک دقیقه بعد»، شارپ از Surfshark برای ورود به GitHub و کلون کردن 155 مخزن Ubiquiti در رایانه خانگی خود استفاده کرد.
در کیفرخواست آمده است: «در یک مورد زودگذر در حین استخراج داده‌ها، آدرس IP شارپ ثبت شد و یک اتصال SSH برای استفاده از GitHub Account-1 برای شبیه‌سازی یک مخزن ایجاد کرد.»
به گفته دادستان، برای بقیه آن شب، گزارش‌ها نشان می‌دهند که IP شخصی شارپ در حین برقراری تماس‌های شبیه‌سازی با یک گره خروجی Surfshark متناوب شده است. اگرچه در پرونده دادگاه مشخص نشده بود، اما به نظر می رسید که دادستان ها پیشنهاد می کردند که Surfshark VPN در حال کنار گذاشتن و افشای IP واقعی "مهاجم" است.

یوبیکوئیتی در 28 دسامبر کشف کرد که چه اتفاقی می افتد. دادستان ها مدعی شدند که شارپ پس از آن به واکنش داخلی شرکت به نقض ها پیوست.
در ژانویه 2021، یوبیکوئیتی یک یادداشت باج از یک آدرس IP Surfshark VPN دریافت کرد که 25 بیت کوین درخواست می کرد. در یادداشت آمده است که اگر علاوه بر آن ۲۵ بیت کوین اضافی بپردازد، نویسنده ناشناس آن یک درب پشتی را در زیرساخت های شرکت فاش می کند. به نظر می رسد این همان چیزی است که Ubiquiti را بر آن داشت تا در آن ماه به مشتریان خود نامه بنویسد و آنها را در مورد نقض داده ها هشدار دهد. در کیفرخواست آمده است که یوبیکوئیتی باج را پرداخت نکرده است.
مدت کوتاهی پس از یورش کارکنان اداره تحقیقات فدرال به خانه شارپ، دادستان ها ادعا کردند که او "موجب انتشار اخبار نادرست یا گمراه کننده در مورد حادثه و افشای شرکت-1 و پاسخ به این حادثه شده است. شارپ خود را به عنوان یک منبع ناشناس در شرکت-1 معرفی کرد که در شرکت-1 قرار داشت." به طور خاص، شارپ وانمود کرد که شرکت-1 توسط یک عامل ناشناس هک شده است که به طور مخرب به حساب‌های AWS شرکت-1 دسترسی سرپرست [to] شرکت-1 هک شده است.
به نظر می‌رسد این به مقاله‌ای از برایان کربس، وبلاگ‌نویس infosec اشاره می‌کند که در آن روز، در 30 مارس 2021 منتشر شد. گزارش با حسن نیت در آن مقاله، "افشاگر" گفت که Ubiquiti را به ناظر حفاظت از داده های اتحادیه اروپا، نهاد داخلی حفاظت از داده های بلوک سیاسی گزارش داده است.
ما نظر کربس را خواسته ایم.
شارپ بی گناه است مگر اینکه جرمش ثابت شود. او به طور رسمی به نقض قانون کلاهبرداری و سوء استفاده رایانه ای، انتقال تهدیدات بین ایالتی، کلاهبرداری با سیم و اظهارات نادرست به FBI متهم شده است. اگر در تمام موارد مجرم شناخته شود و حداکثر مجازات متوالی برای هر یک صادر شود، با 37 سال زندان مواجه خواهد شد. ®