来自公众号:InfoQ
作者 | 刘燕、核子可乐
日前,一名前 Ubiquiti 工程师 Nickolas Sharp 在纽约法院 承认自己窃取了数十 GB 机密数据并要求前雇主支付 190 万美元(约 1320 万元人民币)赎金,最终在要求被拒绝后愤然将数据公开。根据案情,院方决定对其判处六年徒刑。
Ubiquiti Networks(优比快科技有限公司,是一家于 2003 年在美国硅谷成立的高科技跨国公司(美国纳斯达克上市股票代码:UBNT)。公司主要为边远地区和新兴地区提供无线通讯产品。
彭博社报道称,Sharp 向美国地方法官 Katherine Polk Failla 强调 ,这次网络攻击实际只是“未经批准的安全演习” ,目的是让 Ubiquiti 成为“对自身和客户而言都安全的地方”。
从法庭文件来看,Sharp 声称,Ubiquiti 公司 CEO Robert Pera 不允许他“解决已经非常严重的安全问题”。Sharp 告诉法官,他做出这些“愚蠢且过激的举动”完全为了修复这些安全漏洞。
但即使 Sharp 的出发点确实如此,法官 Failla 仍拒绝将此作为罪行的辩护理由,毕竟被告的电汇欺诈、故意入侵受保护计算机和向 FBI 说谎等行为很难做出合理的解释。
Failla 法官认为,“即使在这种情况下,Sharp 先生也无权扮演上帝的角色。”
美国纽约南区检察官 Damian Williams 也宣称,Sharp 并非“网络安全义警”,而是“顽固的说谎者和数据大盗”,他“故意向法院说谎,坚称整个罪行只是一次出了偏差的安全演习。”
Williams 坚持认为,Sharp 做出了“几十个、甚至上百个犯罪决定”,还牵连无辜同事帮助自己“洗脱嫌疑”。Sharp 在宣判前也已承认,这次网络攻击就是出于“经济利益”而策划。
因此在 Williams 看来,Sharp 的行为似乎 “单纯出于贪婪”和自负,理由是高强度工作和有限的薪酬让 Sharp“感到自己被公司虐待”。
法庭文件显示,Ubiquiti 公司投入了“远超 150 万美元的资金和数百小时的员工 / 咨询工时”,为的就是对 Williams 口中的“惊天”数据劫案施以补救。
但为了掩盖自己的罪行,Sharp 通过一系列手段放大了公司损失——包括冒充举报人、编造虚假媒体报道,甚至联系美国和国外监管机构调查 Ubiquiti 是否存在故意淡化数据泄露的行为。法庭文件显示,在 Sharp 编造虚假报告的一天之内,Ubiquiti 公司股价暴跌,市值损失一度超过 40 亿美元。
Ubiquiti 公司和 Sharp 的辩护律师 Matthew Myers 均未就此事回应置评请求。
Williams 曾向院方要求判处 8 至 10 年有期徒刑,理由是任何再短的刑期都会被公众理解为“轻判”。但从最终结果看,Sharp 只需要入狱 6 年,并没有达到检方的最初目标。但在新闻稿中,Williams 还是强调这一判决是对 Sharp“无情罪行”的“严厉惩罚”。
Williams 在量刑备忘录中写道,“他对雇主抱有不满,打算离开公司,意图在离开前勒索数百万美元并造成巨额损失。”
在量刑备忘录中,Williams 提到 Sharp 坚持 将此次网络攻击解释成安全演习,但这种说法与他 2021 年 12 月被捕时的情况有所冲突。
从当时的时间线来看,Sharp 似乎在刻意隐瞒自己盗窃数据、向 Ubiquiti 勒索近 200 万美元 的邪恶计划。
Sharp 从 2018 年起担任 Ubiquiti 公司高级软件工程师兼云负责人,年薪 25 万美元,工作内容包括软件开发和云基础设施安全。
在工作约两年之后,Sharp 于 2020 年 7 月购买了 Surfshark 的 VPN 服务,之后似乎开始考虑跳槽。2020 年 12 月 9 日,他已经拿到新 offer,次日开始用自己的 Ubiquiti 安全凭证尝试复制公司的数据仓库,同时配合 Surfshark 掩盖自己的真实 IP 地址。
不到两周后,Sharp 的计划基本完成,只是期间发生了一点预料之外的“失误”。在复制了约 155 个数据仓库之后,偶发的互联网中断导致他的 VPN 暂时失效。
在互联网服务恢复之后,Ubiquiti 在 Sharp 毫不知情的情况下记录了未及时得到 VPN 保护的家庭 IP 地址。
两天之后,Sharp 大胆向一位高级网络安全员工咨询,称如果他向公司的 HackerOne 漏洞奖励计划提交漏洞,能不能同样拿到报酬。法庭文件认为此举非常可疑。
而且直到 2020 年 12 月 26 日,Sharp 仍未意识到自己行动中的“瑕疵”,继续用 Surfshark 访问公司数据,在一天之内就删除了自己的活动证据,并修改记录使得他在攻击期间用到的凭证似乎是由其他同事所使用。
2020 年 12 月 28 日,直到其他员工发现了攻击证据,Sharp 才最终停止访问数据。Sharp 似乎对自己的计划信心满满,甚至在 2021 年 1 月 7 日发出勒索邮件前加入了公司的攻击调查团队。
Ubiquiti 决定不支付赎金,而是让 FBI 介入调查。不久之后,Sharp 的失误被发现,FBI 根据家庭 IP 盯上了他。期间,Sharp 坚称攻击者登录他的家庭 IP 是想栽赃 ,并告诉同事“如果我在请求、下载和上传数据时还能留下自己的 IP,那我也太废物了”,堪称“有史以来最差劲的掩饰行为”。
在 FBI 分析 Sharp 的工作设备时,此人擦除并重置了自己在攻击中使用的笔记本电脑,但却偷偷把机器带回了家中。2021 年 3 月,FBI 在搜查中没收了作案设备。
在 FBI 开展搜查之后,Sharp 开始冒充举报人,联系记者和监管机构谎称 Ubiquiti 的公开披露和对网络攻击的反应都不够充分。他说该公司存在客户欺骗,还故意淡化了违规事件的严重性,实际上此事已经引发“灾难性”后果。Williams 在量型备忘录中认为,自始至终,Sharp 都很清楚这次攻击是利用他自己的员工凭证完成的。
在 Williams 看来,“这绝不是针对开放漏洞的黑客攻击。Sharp 是在利用公司合法委托给他的凭证来窃取数据,并尝试掩盖自己的行踪。”
“Sharp 始终坚信自己的老练和狡猾能帮助他骗过他人、掩盖罪行。”
Sharp“提出的陈述”称他所犯下的罪行只是一次偏离轨道的安全演习,检方“严重怀疑”Sharp 是否“真的在为自己的罪行承担责任”。
Williams 在新闻稿中做出总结,“Nickolas Sharp 每年领取近 25 万美元的报酬,负责帮助雇主保持安全。然而,他勒索雇主、妨碍执法、散布虚假新闻、伤害公司自身和投资方的利益。 Sharp 如今因其无情罪行而面临着严厉惩罚。”
原文链接:
https://arstechnica.com/tech-policy/2023/05/ex-ubiquiti-engineer-behind-breathtaking-data-theft-gets-6-year-prison-term/
---END---
文章引用微信公众号"黑客技术与网络安全",如有侵权,请联系管理员删除!