Případ dvojčat Muneeba a Sohaiba Akhterových patří mezi nejvážnější incidenty posledních let spojené s interní kybernetickou hrozbou. Oba pracovali pro firmu z Washingtonu, která poskytovala software a IT služby více než 45 americkým federálním úřadům. Po propuštění z firmy ale následoval rychlý útok na infrastrukturu zaměstnavatele i státních institucí.
Podle amerických úřadů bratři během jediného večera odstranili přibližně 96 databází obsahujících citlivá vládní data, dokumenty související se zákonem o svobodném přístupu k informacím a další vyšetřovací materiály federálních agentur. Celý incident zároveň ukázal, proč firmy běžně deaktivují přístupové údaje zaměstnanců ještě před oznámením ukončení pracovního poměru.
Mohlo by vás zajímat
Útok začal chvíli po propuštění
Oba bratři byli propuštěni během online schůzky přes Microsoft Teams. Firma totiž zjistila, že měli v minulosti záznamy týkající se kybernetické kriminality.
Bezpečnostní oddělení okamžitě zablokovalo účet Sohaiba Akhtera. Jenže u jeho bratra Muneeba administrátoři přístup omylem ponechali aktivní. A právě to se ukázalo jako zásadní chyba.
Podle vyšetřovatelů začal Muneeb během několika minut zadávat příkazy, které ostatním uživatelům zabránily v přístupu do databází. Následně databáze mazal jednu po druhé. Mezi nimi byla i produkční databáze amerického ministerstva vnitřní bezpečnosti. Vyšetřování ukázalo, že útok trval několik hodin.
Mohlo by vás zajímat
Evropané se odklánějí od amerických technologických služeb. Jaké našli vlastní bezpečné alternativy?
Novinky
Hledání návodu, jak smazat důkazy
Velkou pozornost vyvolala část obžaloby, podle níž si Muneeb krátce po útoku začal přes AI nástroj vyhledávat rady, jak odstranit digitální stopy. Ptal se například, jak vyčistit systémové logy SQL serverů po smazání databází nebo jak odstranit aplikační logy a protokoly událostí ve Windows Serveru 2012.
Právě tato aktivita se podle expertů stala jedním z klíčových důkazů, že se útočníci pokoušeli zahladit stopy. Vyšetřovatelé navíc tvrdí, že bratři následně přeinstalovali firemní notebooky a snažili se odstranit další důkazy o své činnosti.
Ukradené přístupy a tisíce hesel
Případ se netýká pouze samotného mazání databází. Americké ministerstvo spravedlnosti uvedlo, že Muneeb Akhter dlouhodobě shromažďoval přihlašovací údaje uživatelů.
Údajně získal kolem 5 400 kombinací uživatelských jmen a hesel z firemních systémů. Následně vytvářel vlastní skripty v Pythonu, které automaticky zkoušely přihlášení k různým službám, například hotelovým řetězcům nebo leteckým společnostem.
Vyšetřovatelé tvrdí, že v některých případech úspěšně získal přístup k účtům a zneužíval například nasbírané letecké míle pro vlastní cesty. Součástí obžaloby je také neoprávněné získání daňových údajů minimálně 450 lidí a stažení více než 1 800 souborů americké Komise pro rovné pracovní příležitosti.
Mohlo by vás zajímat
Firma zaměstnala dříve odsouzené hackery
Celý případ je pro bezpečnostní komunitu mimořádně nepříjemný i z jiného důvodu. Oba bratři totiž nebyli žádní nováčci.
Už v roce 2015 se přiznali k podvodům a hackerským útokům proti systémům amerického ministerstva zahraničí. Tehdy kradli osobní údaje, přístupy zaměstnanců a snažili se vytvořit trvalý přístup do vládních systémů. Muneeb dostal tehdy trest tři roky vězení, Sohaib dva roky.
Přesto oba později získali práci u firmy, která spravovala data federálních institucí. Společnost po vypuknutí kauzy přiznala, že bezpečnostní prověrky nebyly dostatečné a že proces propouštění zaměstnanců selhal.
Hrozí jim desítky let vězení
Sohaib Akhter byl letos v květnu porotou uznán vinným z počítačových podvodů, obchodování s hesly a dalších trestných činů. Rozsudek padne v září 2026. Podle amerických médií mu hrozí až 21 let vězení.
Jeho bratr Muneeb uzavřel dohodu o vině a trestu, později se ji ale pokusil zpochybnit. V současnosti čelí několika obviněním včetně počítačových podvodů, krádeže vládních dat a ničení záznamů. V součtu mu hrozí až 45 let za mřížemi.
Případ Akhterových dnes odborníci označují za učebnicový příklad takzvané insider threat hrozby, tedy hrozby zevnitř organizace. Nešlo o sofistikovaný útok zvenčí, ale o kombinaci lidské chyby, špatně nastavených procesů a nedostatečné kontroly přístupových práv. Stačilo několik minut a jediný aktivní účet, aby útočník způsobil rozsáhlé škody ve federálních systémech.
Nahrávali se omylem sami
Jedna z největších záhad případu dlouho zůstávala nezodpovězena: odkud měli vyšetřovatelé doslovný přepis rozhovoru, který bratři vedli při mazání databází? Oba bydleli společně ve Virginii, takže mohli klidně mluvit v jedné místnosti, ale jak se k tomu audio dostala FBI? Tajný software na firemních laptopech? Agent s mikrofonem za keřem?
Odpověď je mnohem prozaičtější a zároveň mnohem trapnější. Sohaib totiž na začátku videohovoru, ve kterém byli oba propuštěni, spustil nahrávání schůzky v Microsoft Teams. Personalisté z Opexusu hovor ukončili přibližně za dvě a půl minuty, ale nahrávání běželo dál. Bratři prostě zapomněli nahrávání zastavit, a tak si celou hodinu destrukce natočili sami.¨
Přepis zachycuje rozhovor v plné délce. Například:
- Sohaib se hned po propuštění ptá: „Stále připojen? Stále na VPN?"
- Muneeb přiznává, že se připojil k firemní síti deset minut před samotnou schůzkou: „Deset minut před jejich hloupou schůzkou."
- Sohaib radí: „Možná tam máš přístup ještě šest hodin."
- Když si Sohaib všimne, co Muneeb dělá: „Vidím, že čistíš zálohy jejich databází."
- Muneeb ho odbývá: „Nestarej se o to. Ty nic nedělej. Na tebe se dívají, na mě ne."
- Chvíli nato Sohaib navrhuje vydírání: „Vydírat je získat nějaký prachy by to chtělo ..." Muneeb to rázně zamítá: „Ne, to neuděláš. To je důkaz viny."
- A na závěr Sohaib říká: „Asi k nám přijdou s razií." Muneeb odpovídá: „To uklidím. Taky musíme uklidit věci z toho druhého domu."
Bratři plánovali odjet do Texasu. Místo toho skončili ve federální věznici.
Zdroj: Office of Public Affairs, Cybernews, Techspot
10 foto
video