Ett åtal från justitiedepartementet tyder på att Ubiquiti-hacket som rapporterades i januari, och efterföljande whistleblower-påståenden om en mörkläggning, var ett arbete av någon som då var anställd i företaget. DOJ hävdar att Nickolas Sharp, 36, greps på onsdagen på grund av anklagelser om att han använde sina anställdas legitimation för att ladda ner konfidentiell data och skickade anonyma krav till företaget han arbetade för som utgav sig för att vara en hacker i ett försök att få en lösensumma på 50 Bitcoin . Du kan läsa hela åtalet nedan.
Åtalet nämner inte Ubiquiti specifikt, utan hänvisar bara till ett “företag-1”. Men alla detaljer står i linje. I januari skickade Ubiquiti ett e-postmeddelande till användare och sa att en obehörig part hade fått åtkomst till dess “informationsteknologisystem som är värd för en tredje parts molnleverantör.” I mars framställde någon som påstod sig vara en whistleblower händelsen som “katastrofalisk” och hävdade att företaget inte kunde avgöra omfattningen av attacken eftersom det inte förde loggar och att angriparen hade tillgång till Ubiquitis Amazon Web Services ( AWS)-servrar.
Åtalet säger att systemet föll isär på grund av en “flyktig” VPN-hicka
Åtalet säger att företaget är baserat i New York, vilket Ubiquiti är, och säger att företagets aktiekurs sjönk med cirka 20 procent mellan den 30 mars och den 31 mars efter att nyheten kom om händelsen. Enligt Yahoo Finance var Ubiquitis aktie värd $376,78 den 29 mars och föll till $298,30 den 31 mars.
Kanske mest anmärkningsvärt är anklagelsen om att Sharp utgav sig för att vara en whistleblower till media i slutet av mars 2021 – samtidigt som en whistleblower anklagade Ubiquiti för att täcka över dataintrångets allvar, trots företagets förneka att användardata var inriktade. Vi tittade också på en LinkedIn-profil som verkar tillhöra Sharp och visar honom arbeta för Ubiquiti under den tidsperiod som anges i åtalet.
DOJ hävdar att Sharp fick tillgång till företagets Amazon Web Services och Github-konton efter att ha ansökt om ett jobb på ett annat företag i december 2020. Åtalet säger att en annan anställd upptäckte intrånget dagar efter att Sharp laddat ner “gigabyte” med konfidentiell data och tillämpat AWS-policyer på begränsa loggning. Sharp påstås ha tilldelats insatsteamet för att bedöma händelsen, och DOJ säger att han använde denna position för att försöka undvika misstankar.
Sharp ska ha kontaktat media efter att FBI genomsökt hans hus
Enligt åtalet skickade Sharp ett anonymt e-postmeddelande med lösen som lovade att inte publicera uppgifterna och hjälpa företaget att lappa en bakdörr om han fick 50 Bitcoin senast den 10 januari 2021. DOJ hävdar att Sharp släppte en del av de stulna uppgifterna när företaget inte betalade lösensumman.
DOJ säger att det kunde spåra Sharp på grund av ett litet tekniskt fel – Sharp ska ha använt SurfShark VPN för att maskera sin identitet när han tog data och skickade e-postmeddelanden, men “i ett flyktigt tillfälle” identifierades och loggades hans riktiga IP som ansluter till företagets GitHub. Enligt DOJ hände detta när Sharps heminternet gick ner och sedan anslöts igen.
Enligt åtalet ledde detta så småningom till att FBI genomförde en husrannsakan på Sharps hus, där han förnekade att han använt SurfShark och sa att någon annan använde hans PayPal-konto för att köpa prenumerationen. I en sista vändning säger åtalet att Sharp kontaktade medier som utgav sig för att vara en whistleblower efter att FBI genomsökt hans hem och beslagtagit elektroniska enheter.
Om Sharp befinns skyldig och DOJ kan bevisa att händelsen utvecklades enligt åtalet, kommer det säkerligen att kasta ett nytt ljus över rapporterna om Ubiquiti-hacket. Åtalet hävdar att Sharp startade attacken med hjälp av legitimation som han hade fått för att utföra sitt jobb. I mars höll Ubiquiti fast vid sitt uttalande att angripare inte fick tillgång till kunddata, vilket inte verkar motsägas av informationen som avslöjades idag.