Nickolas Sharp, un ancien employé du fabricant d’appareils réseau Ubiquiti, a été arrêté et accusé aujourd’hui de vol de données et de tentative d’extorsion de son employeur tout en se faisant passer pour un dénonciateur et un pirate informatique anonyme.
« Comme allégué, Nickolas Sharp a exploité son accès en tant qu’initié de confiance pour voler des gigaoctets de données confidentielles à son employeur, puis, se faisant passer pour un pirate informatique anonyme, a envoyé à l’entreprise une demande de rançon de près de 2 millions de dollars », a déclaré aujourd’hui le procureur américain Damian Williams.
« Comme allégué en outre, après que le FBI a perquisitionné son domicile en lien avec le vol, Sharp, se faisant maintenant passer pour un dénonciateur anonyme de l’entreprise, a déposé des articles de presse préjudiciables affirmant à tort que le vol avait été commis par un pirate informatique activé par une vulnérabilité dans les systèmes informatiques de l’entreprise. «
Exposé par une panne Internet
Selon l’acte d’accusation [PDF], Sharp a volé des gigaoctets de données confidentielles de l’infrastructure AWS (le 10 décembre 2020) et GitHub (les 21 et 22 décembre 2020) d’Ubiquiti à l’aide de ses informations d’identification d’administrateur cloud, clonant des centaines de référentiels GitHub via SSH.
Tout au long de ce processus, le défendeur a essayé de cacher son adresse IP personnelle en utilisant les services VPN de Surfshark. Cependant, son emplacement réel a été révélé après une panne Internet temporaire.
Pour masquer son activité malveillante, Sharp a également modifié les politiques de conservation des journaux et d’autres fichiers qui auraient exposé son identité lors de l’enquête sur l’incident qui a suivi.
« Entre autres choses, SHARP a appliqué des politiques de conservation du cycle de vie d’un jour à certains journaux sur AWS, ce qui aurait pour effet de supprimer certaines preuves de l’activité de l’intrus en un jour », indiquent les documents judiciaires.
Après qu’Ubiquiti a révélé un incident de sécurité en janvier à la suite du vol de données de Sharp, tout en travaillant à évaluer l’étendue et à remédier aux effets de la violation de la sécurité, il a également tenté d’extorquer l’entreprise (se faisant passer pour un pirate informatique anonyme).
Sa demande de rançon exigeait près de 2 millions de dollars en échange de la restitution des fichiers volés et de l’identification d’une vulnérabilité restante.
L’entreprise a refusé de payer la rançon et, à la place, a trouvé et supprimé une deuxième porte dérobée de ses systèmes, modifié toutes les informations d’identification des employés et publié la notification de violation de sécurité du 11 janvier.
Des milliards de dollars de pertes après la chute des actions
Après l’échec de ses tentatives d’extorsion, Sharp a partagé des informations avec les médias tout en se faisant passer pour un lanceur d’alerte et en accusant l’entreprise de minimiser l’importance de l’incident.
Cela a causé Le cours de l’action Ubiquiti chute d’environ 20%, de 349 $ le 30 mars à 290 $ le 1er avril, ce qui représente des pertes de plus de 4 milliards de dollars en capitalisation boursière.
« SHARP a ensuite victimisé à nouveau son employeur en provoquant la publication d’articles de presse trompeurs sur la gestion par l’entreprise de l’infraction qu’il a commise, qui ont été suivis d’une baisse significative du cours de l’action de l’entreprise associée à la perte de milliards de dollars sur son marché capitalisation », le ministère de la Justice (DOJ) mentionné.
L’entreprise a confirmé le 1er avril qu’elle était la cible d’une tentative d’extorsion à la suite d’une faille de sécurité en janvier sans aucune indication que les comptes clients ont été affectés après que Sharp (agissant en tant que dénonciateur) ait contesté la position de son employeur sur la violation en disant que l’impact réel de l’incident était massif.
Il a également déclaré qu’Ubiquiti n’avait pas de système de journalisation, l’empêchant ainsi de vérifier les données ou les systèmes auxquels l’attaquant a accédé. Cela correspond aux informations du DOJ sur sa falsification des systèmes de journalisation de l’entreprise.
Bien que le DOJ n’ait pas nommé l’employeur de Sharp dans le communiqué de presse d’aujourd’hui ou dans l’acte d’accusation, tous les détails correspondent parfaitement aux informations précédentes sur la violation d’Ubiquiti et aux informations présentées dans Le compte LinkedIn de Sharp.
Sharp est inculpé de quatre chefs d’accusation et encourt une peine maximale de 37 ans de prison s’il est reconnu coupable.