本周四,无线宽带网络设备制造商Ubiquiti Networks前员工尼古拉斯夏普(Nickolas Sharp)在法庭认罪,承认在Ubiquiti担任云计算负责人期间从公司网络中窃取大量机密文件,并在冒充匿名黑客勒索雇主失败后,向媒体举报雇主瞒报安全事件,导致Ubiquiti市值暴跌40亿美元。

美国检察官达米安威廉姆斯表示:“尼古拉斯夏普得到公司信任处理机密信息,但他却监守自盗向公司勒索赎金。”

“更恶劣的是,当夏普没有得到赎金时,他利用媒体发布有关公司瞒报安全事件的虚假新闻进行报复,导致Ubiquiti的市值暴跌超过40亿美元。”

Sharp于2021年12月1日被捕并被控盗窃数据和勒索企图。

(尽管美国司法部的起诉书和此案相关新闻稿中都未指明夏普的雇主是Ubiquiti,但案件细节、夏普的LinkedIn账户信息,都与此前公布的Ubiquiti漏洞信息完全一致。)

“爆料”导致公司市值损失数十亿美元

在被夏普窃取机密数据后,Ubiquiti在2021年1月披露发生数据泄漏安全事件。作为该公司的云计算负责人,夏普假装“努力评估”事件范围并“补救”安全漏洞,同时又冒充匿名黑客向Ubiquiti勒索赎金。

夏普(以匿名黑客身份)要求Ubiquiti支付50个比特币作为赎金(当时价值约190万美元),以换取漏洞信息和被盗文件。

Ubiquiti选择拒绝付款,更改了所有员工访问账户,同时还发现并禁用了其系统的第二个后门,并于1月11日发布了安全漏洞通知。

在敲诈勒索失败后,Sharp伪装成举报人与媒体披露该事件的有关信息,污蔑Ubiquiti淡化掩饰违规事件。结果导致Ubiquiti的股价下跌了近20%,市值损失超过40亿美元。

4月1日,Ubiquiti发布安全声明,承认在1月份的数据泄露事件后遭遇勒索。但夏普向媒体匿名举报Ubiquiti的安全声明隐瞒了大量客户账户遭到泄漏的事实。

夏普还谎称Ubiquiti的日志系统无法验证系统或数据是否被“攻击者”访问过。然而,司法部公布的案件的信息显示,这是夏普自己篡改公司日志系统的结果。

“掉线”暴露真实IP地址

根据起诉书,夏普用自己的云管理员凭证通过SSH从Ubiquiti的AWS基础设施(2020年12月10日)和GitHub平台(2020年12月21日至22日)克隆了数百个存储库,窃取了大量机密文件。

在窃取数据时,夏普使用Surfshark VPN服务隐藏其家庭IP地址,但“不幸”的是,偶尔的网络中断暴露了他的真实IP地址和位置。

为了进一步隐藏恶意活动,夏普还修改了Ubiquiti服务器上的日志保留时间设置和其他文件,试图避免在事件调查期间暴露身份。

“除其他‘清理’手段外,夏普将AWS上的某些日志的保留时间设置为一天,这意味着系统将在一天内删除入侵者的活动证据”法庭文件中写道。

据BleepingComputer报道,美国地区法官凯瑟琳·波尔克·法伊拉(Katherine Polk Failla)将在5月10日宣布判决结果。

如果罪名成立,夏普面临的指控最高可判处37年监禁。

参考链接:

https://www.justice.gov/usao-sdny/press-release/file/1452706/download

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。