作者 | 角盘兰、原子武器果汁
该名技师企图将此次网络攻击说明成“需经核准的安全可靠军事演习”。日前,一位前 Ubiquiti 技师 Nickolas Sharp 在芝加哥高等法院 承认自己盗取了数十 GB 国家机密统计数据并明确要求前雇员支付 190 亿美元(约 1320 万元人民币)巨款,最终在明确要求被婉拒后愤而将统计数据公开。根据此案,医护人员决定对其判刑七年有期徒刑。
Ubiquiti Networks(优比快科技有限子公司,是一家于 2003 年在硅谷成立的高技术跨国子公司(英国芝加哥证券交易所上市NASDAQ:UBNT)。子公司主要为偏远地区和新经济地区提供无线通信产品。
1一高级技师偷盗统计数据,并向雇员敲诈近 200 万美元华尔街日报报道称,Sharp 向英国地方性法官 Katherine Polk Failla 强调 ,此次网络攻击实际而已“需经核准的安全可靠军事演习”,目的是让 Ubiquiti 成为“对自身和客户而言都安全可靠的地方性”。
从法院文件来看,Sharp 声称,Ubiquiti 子公司 CEO Robert Pera 不容许他“解决已经非常严重的安全可靠问题”。Sharp 告诉法官,他作出那些“可笑且出格的行径”完全为了复原这些安全可靠漏洞。
但即便 Sharp 的落脚点确实如此,法官 Failla 仍婉拒将此作为犯罪行为的辩解理据,毕竟原告的汇款诈欺、蓄意侵略受保护计算机系统和向 FBI 撒谎等行为极难作出合理的说明。
Failla 法官认为,“即便在这种情况下,Sharp 先生也有权饰演天主的配角。”
旧金山北区法官 Damian Williams 也声称,Sharp 并非“信息安全可靠警花”,而是“自以为是的撒谎者和统计数据盗贼”,他“故意向高等法院撒谎,声称整个犯罪行为而已一次出了局限性的安全可靠军事演习。”
Williams 坚持认为,Sharp 作出了“几十个、甚至上百个犯罪决定”,还牵连无辜同事帮助自己“洗脱嫌疑”。Sharp 在宣判前也已承认,此次网络攻击就是出于“经济利益”而策划。
因此在 Williams 看来,Sharp 的行为似乎 “单纯出于贪婪”和自负,理据是耐热工作和有限的薪酬让 Sharp“感到自己被子公司性虐待”。
法院文件显示,Ubiquiti 子公司投入了“远超 150 亿美元的资金和数百小时的员工 / 咨询工时”,为的就是对 Williams 口中的“惊天大”统计数据劫案施以补救。
但为了掩盖自己的犯罪行为,Sharp 通过一系列手段放大了子公司损失——包括冒充举报人、编造虚假媒体报道,甚至联系英国和国外监管机构调查 Ubiquiti 是否存在蓄意淡化统计数据泄露的行为。法院文件显示,在 Sharp 编造虚假报告的一天之内,Ubiquiti 子公司股价暴跌,市值损失一度超过 40 亿美元。
Ubiquiti 子公司和 Sharp 的辩解律师 Matthew Myers 均未就此事回应置评请求。
Williams 曾向医护人员明确要求判刑 8 至 10 年有期有期徒刑,理据是任何再短的刑期都会被公众理解为“轻判”。但从最终结果看,Sharp 只需要入狱 6 年,并没有达到检方的最初目标。但在新闻稿中,Williams 还是强调这一判决是对 Sharp“无情犯罪行为”的“严厉惩罚”。
Williams 在量刑备忘录中写道,“他对雇员抱有不满,打算离开子公司,意图在离开前敲诈数百亿美元并造成巨额损失。”
2 因互联网短暂中断而被捕在量刑备忘录中,Williams 提到 Sharp 坚持将此次网络攻击说明成安全可靠军事演习,但这种说法与他 2021 年 12 月被捕时的情况有所冲突。
从当时的时间线来看,Sharp 似乎在刻意隐瞒自己偷盗统计数据、向 Ubiquiti 敲诈近 200 亿美元 的邪恶计划。
Sharp 从 2018 年起担任 Ubiquiti 子公司高级软件技师兼云负责人,年薪 25 亿美元,工作内容包括软件开发和云基础设施安全可靠。
在工作约两年之后,Sharp 于 2020 年 7 月购买了 Surfshark 的 VPN 服务,之后似乎开始考虑挖角。2020 年 12 月 9 日,他已经拿到新 offer,次日开始用自己的 Ubiquiti 安全可靠凭证尝试复制子公司的统计数据仓库,同时配合 Surfshark 掩盖自己的真实 IP 地址。
不到两周后,Sharp 的计划基本完成,而已期间发生了一点预料之外的“失误”。在复制了约 155 个统计数据仓库之后,偶发的互联网中断导致他的 VPN 暂时失效。
在互联网服务恢复之后,Ubiquiti 在 Sharp 毫不知情的情况下记录了未及时得到 VPN 保护的家庭 IP 地址。
两天之后,Sharp 大胆向一位高级网络安全员工咨询,称如果他向子公司的 HackerOne 漏洞奖励计划提交漏洞,能不能同样拿到报酬。法院文件认为此举非常可疑。
而且直到 2020 年 12 月 26 日,Sharp 仍未意识到自己行动中的“瑕疵”,继续用 Surfshark 访问子公司统计数据,在一天之内就删除了自己的活动证据,并修改记录使得他在攻击期间用到的凭证似乎是由其他同事所使用。
2020 年 12 月 28 日,直到其他员工发现了攻击证据,Sharp 才最终停止访问统计数据。Sharp 似乎对自己的计划信心满满,甚至在 2021 年 1 月 7 日发出敲诈邮件前加入了子公司的攻击调查团队。
Ubiquiti 决定不支付巨款,而是让 FBI 介入调查。不久之后,Sharp 的失误被发现,FBI 根据家庭 IP 盯上了他。期间,Sharp 声称攻击者登录他的家庭 IP 是想栽赃,并告诉同事“如果我在请求、下载和上传统计数据时还能留下自己的 IP,那我也太废物了”,堪称“有史以来最差劲的掩饰行为”。
在 FBI 分析 Sharp 的工作设备时,此人擦除并重置了自己在攻击中使用的笔记本电脑,但却偷偷把机器带回了家中。2021 年 3 月,FBI 在搜查中没收了作案设备。
在 FBI 开展搜查之后,Sharp 开始冒充举报人,联系记者和监管机构谎称 Ubiquiti 的公开披露和对网络攻击的反应都不够充分。他说该子公司存在客户欺骗,还蓄意淡化了违规事件的严重性,实际上此事已经引发“灾难性”后果。Williams 在量型备忘录中认为,自始至终,Sharp 都很清楚此次攻击是利用他自己的员工凭证完成的。
在 Williams 看来,“这绝不是针对开放漏洞的网络攻击。Sharp 是在利用子公司合法委托给他的凭证来盗取统计数据,并尝试掩盖自己的行踪。”
“Sharp 始终坚信自己的老练和狡猾能帮助他骗过他人、掩盖犯罪行为。”
Sharp“提出的陈述”称他所犯下的罪行而已一次偏离轨道的安全可靠军事演习,检方“严重怀疑”Sharp 是否“真的在为自己的犯罪行为承担责任”。
Williams 在新闻稿中作出总结,“Nickolas Sharp 每年领取近 25 亿美元的报酬,负责帮助雇员保持安全可靠。然而,他敲诈雇员、妨碍执法、散布虚假新闻、伤害子公司自身和投资方的利益。 Sharp 如今因其无情犯罪行为而面临着严厉惩罚。”
原文链接:
https://arstechnica.com/tech-policy/2023/05/ex-ubiquiti-engineer-behind-breathtaking-data-theft-gets-6-year-prison-term/
—END—
推荐↓↓↓
