Прошлогодний «взлом» Ubiquiti оказался вымогательством со стороны сотрудника — он арестован

В январе 2021 года разработчик сетевых решений Ubiquiti сообщил об утечке данных клиентов в результате взлома облачной платформы стороннего поставщика. В марте один из сотрудников компании сообщил, что масштабы инцидента были существенно занижены, а обвинения в адрес облачного провайдера — сфабрикованы. В минувшую среду этот самый сотрудник был арестован по обвинению в краже данных и попытке вымогательства у своего работодателя.

Источник изображения: vicky gharat / pixabay.com

По версии федеральных обвинителей, «взлом» осуществил старший разработчик Ubiquiti Николас Шарп (Nickolas Sharp), и из-за его действий компания была вынуждена раскрыть информацию об инциденте в январе. В конце декабря 2020 года Шарп подал заявление о приёме на работу в другую технологическую компанию, после чего воспользовался своим доступом к облачному провайдеру Amazon (AWS) и аккаунтам GitHub для скачивания, а фактически кражи закрытых данных. В обвинительном заключении не уточняется, какое именно количество данных предположительно скачал Шарп, однако сообщается, что некоторые из скачиваний занимали несколько часов, а в общей сложности операция продолжалась около двух недель, в течение которых были клонированы примерно 155 репозиториев компании.

28 декабря 2020 года сотрудники Ubiquiti заметили следы необычных загрузок, которые производились с использованием учётных данных компании и подключения через Surfshark VPN для сокрытия настоящего IP-адреса злоумышленника. Предположив, что система была взломана сторонним лицом, компания инициировала расследование. Одним из членов проводившей расследование группы оказался сам Шарп. 7 января 2021 года один из высокопоставленных сотрудников Ubiquiti получил электронное письмо с требованием об уплате выкупа, оно было отправлено с IP-адреса того же сервиса Surfshark VPN. Автор письма сообщил краже внутренних данных Ubiquiti и пообещал не использовать их и не публиковать в интернете в обмен на 25 биткоинов. Ещё за 25 биткоинов он обещал раскрыть информацию о незакрытом бэкдоре, который якобы использовался для кражи данных. На тот момент сумма в 50 биткоинов соответствовала примерно $1,9 млн. Компания платить выкуп отказалась.

Источник изображения: Gerd Altmann / pixabay.com

По версии следствия, несанкционированные загрузки удалось связать с Шарпом, поскольку в ходе скачивания его подключение несколько раз обрывалось, что нарушило работу VPN-соединения, и на ресурсах компании отобразился реальный адрес злоумышленника. 24 марта агенты ФБР производили обыск в доме Шарпа, и он настаивал на своей невиновности. Шарп заявил агентам, что, вероятно, некое неизвестное лицо использовало его учётную запись PayPal для приобретения подписки Surfshark VPN. Спустя несколько дней после обыска, утверждает обвинение, Шарп выступил в качестве анонимного информатора и стал источником публикаций не соответствующих действительности материалов. В частности, он заявил, что Ubiquiti пренебрегла необходимостью хранить логи доступа, которые помогли бы в расследовании инцидента. Как заявляет обвинение, именно Шарп был тем лицом, которое сократило сроки хранения данных о доступах к системам компании на серверах AWS всего до одного дня. После публикации этих материалов цена акций Ubiquiti всего за день упала на 20 %, и компания потеряла в рыночной капитализации $4 млрд.

Шарпу предъявлено обвинение в четырёх уголовных преступлениях: мошенничество с использованием электронных средств связи, умышленное повреждение защищённых компьютеров, передача трансграничных сообщений с целью вымогательства, а также дача ложных показаний ФБР. Американский Минюст не указал в пресс-релизе и обвинительном заключении работодателя Шарпа, однако все детали совпадают с предыдущими сообщениями об инциденте Ubiquiti и информацией, представленной в профиле Шарпа на LinkedIn.