2min

Tags in dit artikel

, , ,

Het Amerikaanse ministerie van Justitie beschuldigt een medewerker van Ubiquiti van de ransomware-aanval waar het bedrijf dit jaar mee te maken kreeg. Bij deze aanval werden gigabytes aan data buitgemaakt en werd daarvoor losgeld geëist.

Hackers kregen begin dit jaar toegang tot alle AWS-accounts van Ubiquiti, waaronder S3 data buckets, applicatielogs, databases, inloggegevens en geheimen voor het maken van single sign-on (SSO)-cookies. Ook kregen zij hierdoor toegang tot alle wereldwijde cloudgebaseerde Ubiquiti-apparatuur.

Hack door eigen medewerker

Uit documenten van het Amerikaanse ministerie van Justitie en een reconstructie van techsite The Verge blijkt nu dat het geen externe hackers waren die de aanval uitvoerden, maar dat het om een eigen medewerker gaat. Eind vorig jaar downloadde deze medewerker uit Portland gigabytes aan vertrouwelijke data van zijn werkgever. Tijdens de normale werkuren hielp deze medewerker zijn werkgever met het verhelpen van het incident.

De medewerker stuurde vervolgens in zijn rol als hacker Ubiquiti een bericht met het verzoek 50 bitcoin, toen ongeveer 2,5 miljoen euro, over te maken. In ruil beloofde hij de hack geheim te houden en wees ook op een tweede backdoor.

Log-incident wordt hacker fataal

De betrokken medewerker liep tegen het licht vanwege het log-incident met zijn eigen IP-adres. Hij gebruikte een Surfshark VPN-abonnement om zijn persoonsgegevens te verhullen tijdens de aanval. Vanwege een internetstoring werd zijn echte IP-adres wel een keer gelogd, maar wist hij dit via zijn interne toegang tot de systemen te verwijderen. Dit kon de FBI uit de loggegevens reconstrueren en wist vervolgens het IP-adres te herleiden.

Tijdens een huiszoeking wierp hij zich ook nog als klokkenluider op, maar dat mocht uiteindelijk niet baten. De hackende medewerker van Ubiquiti hangt een maximale gevangenisstraf van 37 jaar boven het hoofd.

Tip: Ubiquiti verdoezelde omvang datalek voor klanten, wat is er gebeurd?