Un atto d'accusa del Dipartimento di Giustizia suggerisce che l'attacco hacker di Ubiquiti riportato a gennaio, e le successive affermazioni degli informatori di un insabbiamento, erano opera di qualcuno che era allora un dipendente della società. Il DOJ sostiene che Nickolas Sharp, 36 anni, sia stato arrestato mercoledì con l'accusa di aver usato le credenziali dei suoi dipendenti per scaricare dati riservati e di aver inviato richieste anonime alla società per cui lavorava fingendosi un hacker nel tentativo di ottenere un riscatto di 50 Bitcoin . Puoi leggere l'accusa completa di seguito.
L'accusa non nomina specificamente Ubiquiti, ma si riferisce solo a una “Società-1”. Tuttavia, tutti i dettagli si allineano. A gennaio, Ubiquiti ha inviato un'e-mail agli utenti dicendo che una parte non autorizzata aveva avuto accesso ai suoi “sistemi informatici ospitati da un provider cloud di terze parti”. A marzo, qualcuno che sosteneva di essere un informatore ha rappresentato l'incidente come “catastrofico”, sostenendo che la società non poteva dire l'intera portata dell'attacco perché non stava conservando i registri e che l'attaccante aveva accesso agli Amazon Web Services di Ubiquiti ( AWS).
L'accusa afferma che lo schema è andato in pezzi a causa di un singhiozzo VPN “fugace”
L'accusa afferma che la società ha sede a New York, che è Ubiquiti, e afferma che il prezzo delle azioni della società è diminuito di circa il 20% tra il 30 e il 31 marzo dopo la notizia dell'incidente. Secondo Yahoo Finance, le azioni di Ubiquiti valevano $ 376,78 il 29 marzo e sono scese a $ 298,30 il 31 marzo.
Forse la più notevole è l'accusa secondo cui Sharp si è presentato come un informatore ai media alla fine di marzo 2021, allo stesso tempo un informatore ha accusato Ubiquiti di coprire la gravità della violazione dei dati, nonostante la società negare che i dati dell'utente siano stati presi di mira. Abbiamo anche visto un profilo LinkedIn che sembra appartenere a Sharp e lo mostra lavorare per Ubiquiti durante il periodo di tempo indicato nell'atto d'accusa.
Il DOJ sostiene che Sharp abbia avuto accesso agli account Amazon Web Services e Github dell'azienda dopo aver fatto domanda per un lavoro presso un'altra azienda nel dicembre 2020. L'accusa afferma che un altro dipendente ha scoperto la violazione giorni dopo che Sharp ha scaricato “gigabyte” di dati riservati e applicato le policy AWS per limitare la registrazione. Sharp sarebbe stato assegnato al team di risposta incaricato di valutare l'incidente e il Dipartimento di Giustizia afferma di aver usato questa posizione per cercare di evitare sospetti.
Sharp avrebbe contattato i media dopo che l'FBI ha perquisito la sua casa
Secondo l'accusa, Sharp ha inviato un'e-mail di riscatto anonima che prometteva di non pubblicare i dati e di aiutare la società a riparare una backdoor se fosse stato pagato 50 Bitcoin entro il 10 gennaio 2021. Il DOJ sostiene che Sharp abbia rilasciato alcuni dei dati rubati quando la società non ha pagato il riscatto.
Il Dipartimento di Giustizia afferma di essere stato in grado di rintracciare Sharp a causa di un piccolo problema tecnico: Sharp avrebbe usato la VPN SurfShark per mascherare la sua identità mentre prendeva dati e inviava e-mail, ma “in un fugace caso”, il suo vero IP è stato identificato e registrato come connessione al GitHub dell'azienda. Secondo il DOJ, questo è successo quando la connessione Internet domestica di Sharp è andata in tilt e poi si è ricollegata.
Secondo l'accusa, questo alla fine ha portato l'FBI a eseguire un mandato di perquisizione sulla casa di Sharp, dove ha negato di usare SurfShark e ha detto che qualcun altro ha usato il suo conto PayPal per acquistare l'abbonamento. In una svolta finale, l'accusa afferma che Sharp ha contattato i media spacciandosi per un informatore dopo che l'FBI ha perquisito la sua casa e ha sequestrato dispositivi elettronici.
Se Sharp viene dichiarato colpevole e il Dipartimento di Giustizia può provare che l'incidente si è svolto come previsto nell'atto d'accusa, getterà sicuramente una nuova luce sui rapporti dell'hack di Ubiquiti. L'accusa sostiene che Sharp abbia iniziato l'attacco utilizzando le credenziali che gli erano state date per svolgere il suo lavoro. A marzo, Ubiquiti ha tenuto fede alla sua dichiarazione secondo cui gli aggressori non hanno avuto accesso ai dati dei clienti, il che non sembra essere contraddetto dalle informazioni rivelate oggi.