Były kontraktor skazany za usunięcie dziesiątek federalnych baz danych - Security Bez Tabu

Były kontraktor skazany za usunięcie dziesiątek federalnych baz danych

Cybersecurity news

Wprowadzenie do problemu / definicja

Sabotaż wewnętrzny pozostaje jednym z najtrudniejszych do wykrycia zagrożeń w cyberbezpieczeństwie, ponieważ sprawca działa z wykorzystaniem legalnej wiedzy o środowisku, procesach i architekturze systemów. Opisywana sprawa dotyczy byłego kontraktora pracującego przy systemach wykorzystywanych przez instytucje federalne USA, który został skazany za udział w operacji prowadzącej do usunięcia dziesiątek baz danych. To modelowy przykład zagrożenia typu insider threat, w którym uprzywilejowany dostęp i znajomość infrastruktury stają się narzędziem destrukcji.

W skrócie

Sohaib Akhter został uznany winnym zarzutów związanych ze spiskiem dotyczącym oszustw komputerowych, handlem hasłami oraz posiadaniem broni mimo wcześniejszego wyroku. Najważniejszy wątek z perspektywy cyberbezpieczeństwa dotyczy jednak nieautoryzowanego dostępu do środowiska firmy obsługującej ponad 45 agencji federalnych i usunięcia około 96 baz danych zawierających informacje rządowe.

  • incydent nastąpił po zakończeniu współpracy z kontraktorami,
  • celem były systemy powiązane z administracją federalną,
  • usunięte zasoby obejmowały m.in. dane związane z obsługą spraw i wniosków FOIA,
  • działaniom towarzyszyły próby utrudnienia analizy powłamaniowej.

Kontekst / historia

Sprawa ma szersze tło niż sam incydent związany z usunięciem baz danych. Bracia Akhter byli już wcześniej karani za nieautoryzowany dostęp do systemów rządowych i powiązane nadużycia. Po odbyciu kar ponownie wykonywali pracę jako kontraktorzy dla firmy dostarczającej oprogramowanie i usługi wielu agencjom federalnym oraz hostującej część danych rządowych na własnej infrastrukturze.

Punktem zwrotnym był 18 lutego 2025 roku, kiedy zakończono współpracę z oboma pracownikami po ujawnieniu wcześniejszego wyroku jednego z nich. Według ustaleń śledczych właśnie po zwolnieniu rozpoczęły się działania odwetowe wymierzone zarówno w byłego pracodawcę, jak i w jego klientów z sektora publicznego. Z perspektywy obrony cyfrowej jest to istotny przykład, jak szybko incydent HR może przełożyć się na krytyczne ryzyko operacyjne.

Analiza techniczna

Techniczny przebieg incydentu wskazuje na działanie osób doskonale znających architekturę systemów, procedury administracyjne i zależności między usługami. Po ustaniu zatrudnienia doszło do nieautoryzowanego dostępu do chronionych systemów, co sugeruje, że proces odcięcia uprawnień nie został wykonany wystarczająco szybko albo istniały dodatkowe ścieżki dostępu, które pozostały aktywne.

Z materiałów procesowych wynika również, że wykorzystywano skradzione lub pozyskane poświadczenia. Szczególnie niepokojący jest wątek pobrania hasła w postaci jawnej z bazy danych publicznego portalu i użycia go do dalszych działań. Taki element wskazuje nie tylko na problem z kontrolą dostępu, ale też na poważne braki w bezpiecznym przechowywaniu sekretów.

Przed usunięciem danych miało dojść do ich blokowania poprzez nadanie atrybutów utrudniających modyfikację przez innych administratorów. To ważna wskazówka, ponieważ pokazuje próbę spowolnienia reakcji obronnej i utrudnienia odzyskania kontroli nad środowiskiem. Następnie w ciągu kilku godzin usunięto około 96 baz danych, co sugeruje wysoki poziom automatyzacji albo bardzo dobrą znajomość narzędzi administracyjnych umożliwiających szybkie wykonywanie operacji na wielu instancjach jednocześnie.

Śledczy wskazali także na działania antyforensyczne, takie jak czyszczenie logów, wymazywanie urządzeń firmowych oraz przygotowania na możliwość przeszukania. Całość układa się w klasyczny łańcuch ataku insidera:

  • utrzymanie lub odzyskanie dostępu po zakończeniu zatrudnienia,
  • wykorzystanie przejętych poświadczeń,
  • utrudnianie reakcji operacyjnej,
  • destrukcja danych na dużą skalę,
  • zacieranie śladów aktywności.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem takich incydentów jest utrata integralności i dostępności danych. W środowisku administracji publicznej może to oznaczać przerwanie realizacji usług, utratę historii spraw, problemy z przetwarzaniem dokumentów oraz zakłócenie wykonywania obowiązków ustawowych. Jeśli dotknięte zostają systemy obsługujące wiele instytucji jednocześnie, skala oddziaływania rośnie wykładniczo.

Ryzyko nie ogranicza się wyłącznie do jednorazowego przestoju. Organizacja może mierzyć się z niepełną odbudową środowiska, wtórnymi naruszeniami wynikającymi z użycia przejętych kont oraz trwałą utratą części danych. Na poziomie strategicznym sprawa podważa zaufanie do modelu outsourcingu IT dla sektora publicznego, szczególnie w sytuacji, gdy jeden dostawca utrzymuje systemy wielu agencji i stanowi pojedynczy punkt krytyczny.

Rekomendacje

Opisywany incydent stanowi mocny sygnał ostrzegawczy dla administracji publicznej, integratorów systemów oraz dostawców usług zarządzanych. Kluczowe środki ochrony powinny obejmować zarówno warstwę techniczną, jak i proceduralną.

  • Natychmiastowe odcinanie dostępu po zakończeniu współpracy, obejmujące konta produkcyjne, VPN, konta uprzywilejowane, klucze API, dostęp do chmury i narzędzia zdalnej administracji.
  • Wdrożenie rozwiązań PAM oraz pełnego monitorowania sesji uprzywilejowanych.
  • Segmentację środowisk i klientów, tak aby pojedynczy operator nie mógł wykonywać masowych operacji destrukcyjnych bez dodatkowej autoryzacji.
  • Bezpieczne przechowywanie poświadczeń, stosowanie MFA odpornego na phishing i regularną rotację sekretów.
  • Utrzymywanie odseparowanych kopii zapasowych, niemodyfikowalnych snapshotów i regularnych testów odtworzeniowych.
  • Monitoring zachowań anomijnych, zwłaszcza masowych operacji na bazach danych, usuwania logów oraz aktywności po incydentach kadrowych.
  • Wprowadzenie mechanizmów wieloosobowej autoryzacji dla krytycznych operacji, takich jak usuwanie baz danych czy modyfikacja kluczowych zasobów.
  • Budowę gotowości śledczej poprzez centralizację logów, ochronę telemetryki i szybkie procedury zabezpieczania urządzeń oraz kont.

Podsumowanie

Skazanie byłego kontraktora za udział w usunięciu dziesiątek federalnych baz danych pokazuje, że największe zagrożenie dla krytycznych systemów nie zawsze pochodzi z zewnątrz. Połączenie uprzywilejowanego dostępu, niewystarczającego offboardingu i słabej odporności na destrukcję danych może w bardzo krótkim czasie doprowadzić do poważnych strat operacyjnych.

Dla organizacji obsługujących dane publiczne najważniejszy wniosek jest jednoznaczny: kontrola dostępu, monitoring aktywności uprzywilejowanej, odporne kopie zapasowe i procedury reagowania muszą być projektowane z myślą o celowym sabotażu. W realiach nowoczesnych środowisk wieloklienckich to właśnie zagrożenie wewnętrzne może okazać się najbardziej kosztowne i najtrudniejsze do opanowania.

Źródła

  1. https://www.bleepingcomputer.com/news/security/former-govt-contractor-convicted-for-wiping-dozens-of-federal-databases/
  2. https://www.justice.gov/opa/pr/federal-jury-convicts-virgina-man-charges-relating-deletion-us-government-databases