Hakerzy usunęli 96 rządowych baz danych. Wpadli, bo nie wylogowali się z Teams

Dwaj bracia z doświadczeniem w cyberprzestępczości mieli przeprowadzić jeden z najbardziej spektakularnych aktów sabotażu w amerykańskim sektorze IT ostatnich lat. Po utracie pracy postanowili zemścić się na byłym pracodawcy i w ciągu kilkudziesięciu minut usunęli dziesiątki rządowych baz danych. Problem w tym, że podczas planowania całej operacji zapomnieli zakończyć rozmowę w Microsoft Teams. System nagrał wszystko. Braciom Muneebowi i Sohaibowi Akhter grozi dziś nawet 66 lat więzienia.

Bracia pracowali dla firmy Opexus z siedzibą w Waszyngtonie, dostarczającej rozwiązania informatyczne dla federalnych agencji USA. Opexus obsługuje systemy związane między innymi z dokumentacją urzędową i procedurami wynikającymi z ustawy o dostępie do informacji publicznej.

18 lutego 2025 roku obaj zostali zwolnieni podczas wideokonferencji prowadzonej przez Microsoft Teams. Powód był wyjątkowo niewygodny dla firmy. Kierownictwo odkryło, że zatrudnieni specjaliści IT mają kryminalną przeszłość związaną z wcześniejszymi włamaniami do systemów amerykańskiego Departamentu Stanu. To właśnie wtedy miała rozpocząć się cyfrowa zemsta.

Według materiałów sądowych bracia niemal natychmiast przeszli do działania. Zakładali, że ich dostęp do firmowych systemów zostanie wkrótce odcięty, dlatego liczyła się każda minuta.

Fatalna pomyłka podczas rozmowy w Teams

Najbardziej szokujący element całej historii nie dotyczy jednak samego ataku, lecz sposobu, w jaki hakerzy sami dostarczyli śledczym dowody. Po zakończeniu rozmowy z przełożonymi bracia zostali sami na połączeniu Microsoft Teams. Byli przekonani, że konferencja została zakończona. Nie została, a system nadal nagrywał ich rozmowę.

To właśnie wtedy mieli omawiać plan usunięcia baz danych klientów Opexus oraz sposoby zatarcia śladów. Nagranie zostało zapisane na serwerach firmy, a później trafiło do śledczych jako kluczowy dowód. Według doniesień amerykańskich mediów zapis rozmowy pokazuje, jak bracia koordynowali kolejne działania i zastanawiali się nad usuwaniem logów systemowych.

96 baz danych zniknęło w ciągu godziny

Śledczy twierdzą, że operacja trwała około godziny. W tym czasie usunięto około 96 baz danych należących do klientów Opexus. Część z nich miała zawierać dokumenty federalnych agencji oraz materiały śledcze objęte ochroną.

To nie był przypadkowy atak ransomware ani próba wyłudzenia pieniędzy. Według aktu oskarżenia chodziło o świadome zniszczenie infrastruktury informatycznej po utracie pracy.

Bracia mieli również próbować wyczyścić ślady swojej aktywności. W dokumentach sądowych pojawiły się informacje o korzystaniu ze sztucznej inteligencji podczas sabotażu. Jeden z oskarżonych pytał AI między innymi o sposoby kasowania logów z Microsoft SQL Server i Windows Server 2012.

Śledczy podkreślają, że działania były zaplanowane i przeprowadzane metodycznie.

Kryminalna przeszłość wróciła po latach

Historia braci Akhter wygląda jak gotowy scenariusz thrillera technologicznego. Obaj byli już wcześniej skazani za cyberprzestępstwa.

W 2015 roku przyznali się do włamania do systemów Departamentu Stanu USA oraz firmy z branży kosmetycznej. Sohaib miał wykorzystywać dostęp do danych współpracowników i osób prowadzących wobec niego dochodzenie. Muneeb z kolei miał używać skradzionych informacji podczas pracy dla firmy zajmującej się agregacją danych.

Obaj trafili do więzienia, ale po odbyciu kar wrócili do branży IT. To właśnie odkrycie ich wcześniejszych wyroków miało doprowadzić do zwolnienia z Opexus.

Amerykańskie służby alarmują po ataku

Sprawa wywołała ogromne poruszenie wśród ekspertów ds. cyberbezpieczeństwa w USA. Szczególne obawy budzi fakt, że osoby z kryminalną przeszłością uzyskały dostęp do systemów federalnych kontraktorów. Atak pokazał również, jak ogromne zagrożenie mogą stanowić pracownicy posiadający szerokie uprawnienia administracyjne. W wielu firmach to właśnie administratorzy mają dostęp do najbardziej wrażliwych danych i systemów. Według amerykańskich mediów proces braci ma zakończyć się jeszcze w maju 2026 roku. Nagranie z Microsoft Teams ma odegrać podczas rozprawy kluczową rolę.