34-годишен мъж от щата Вирджиния беше признат за виновен за участие в мащабна схема за унищожаване на правителствени бази данни, след като той и брат му били уволнени от компания – федерален контрактор, работеща с десетки американски агенции.

Случаят отново поставя фокус върху рисковете от insider threats и опасностите, когато лица с привилегирован достъп до чувствителни системи запазят възможност за действие дори след прекратяване на трудовите им отношения.

Повторни престъпления след предишни присъди

Осъденият Сохаиб Ахтер и неговият брат близнак Мунийб Ахтер не са непознати за американските власти.

Още през 2016 г. двамата получават ефективни присъди, след като признават вина за неоторизиран достъп до системи на Държавен департамент на САЩ и кражба на лични данни на служители и федерален агент, разследващ действията им.

След изтърпяване на наказанията двамата отново били наети като правителствени контрактори от компания, обслужваща над 45 федерални агенции и поддържаща инфраструктура с правителствени данни в Ашбърн.

Атаката започва веднага след уволнението

Според американското Министерство на правосъдието на САЩ компанията открила криминалното минало на Сохаиб Ахтер и прекратила трудовите договори на двамата братя по време на дистанционна онлайн среща на 18 февруари 2025 г.

Прокурорите твърдят, че непосредствено след уволнението братята започнали атака срещу работодателя си и неговите правителствени клиенти чрез:

• неоторизиран достъп до компютърни системи;
• заключване и write-protect на бази данни;
• изтриване на критични масиви с информация;
• унищожаване на следи от действията им.

Изтрити са близо 100 правителствени бази данни

Според съдебните документи двамата са унищожили приблизително 96 правителствени бази данни само в рамките на няколко часа през февруари 2025 г.

Сред засегнатата информация е имало:

• чувствителни разследващи документи;
• записи на множество федерални агенции;
• данни по искания по закона за свобода на информацията (FOIA).

Особено тревожен е фактът, че след изтриването на база данни на Министерство на вътрешната сигурност на САЩ братята allegedly използвали ИИ асистент, за да попитат как могат да изчистят системните логове и да прикрият действията си.

Опити за прикриване на следите

Разследването установява, че обвиняемите:

• изпълнявали команди за блокиране на промени по целевите бази данни преди изтриването им;
• унищожавали доказателства;
• обсъждали почистване на дома си в очакване на обиск;
• изтрили служебните лаптопи преди да ги върнат.

Според Дженифър Л. Фейн действията им показват „пълно пренебрежение към сигурността и целостта на федералните информационни системи“.

Възможни десетилетия затвор

Сохаиб Ахтер ще бъде осъден през септември 2026 г. и е заплашен от максимална присъда до 21 години затвор.

Мунийб Ахтер е изправен пред още по-тежки обвинения, включително:

• компютърни измами;
• заговор за унищожаване на записи;
• aggravated identity theft;
• кражба на правителствена информация.

Максималното наказание срещу него може да достигне 45 години лишаване от свобода.

Insider threat остава една от най-трудните киберзаплахи

Случаят подчертава колко опасни могат да бъдат вътрешните заплахи за организации, които работят с критична инфраструктура и държавни данни.

Дори при наличието на модерни защитни системи, служители или контрактори с административен достъп могат да причинят огромни щети за минути, ако процедурите за отнемане на достъп и мониторинг не са достатъчно бързи и стриктни.

Инцидентът вероятно ще засили натиска върху федералните агенции и доставчиците им за по-строги политики около privileged access management, insider threat monitoring и незабавно деактивиране на акаунти при прекратяване на договори.