En janvier 2021, le fournisseur de technologie Ubiquiti Inc. [NYSE:UI] a révélé qu’une violation chez un fournisseur de cloud tiers avait exposé les informations d’identification du compte client. En mars, un employé d’Ubiquiti a averti que l’entreprise avait considérablement sous-estimé l’étendue de l’incident et que la réclamation du fournisseur de cloud tiers était une fabrication. Mercredi, un ancien développeur d’Ubiquiti a été arrêté et accusé d’avoir volé des données et d’avoir tenté d’extorquer son employeur en se faisant passer pour un lanceur d’alerte.
Les procureurs fédéraux disent Nickolas Sharp, développeur senior chez Ubiquiti, a en fait causé la « brèche » qui a forcé Ubiquiti à divulguer un incident de cybersécurité en janvier. Ils allèguent que fin décembre 2020, Sharp a postulé pour un emploi dans une autre entreprise technologique, puis a abusé de son accès privilégié aux systèmes d’Ubiquiti sur le service cloud AWS d’Amazon et les comptes GitHub de l’entreprise pour télécharger de grandes quantités de données propriétaires.
L’acte d’accusation de Sharp ne précise pas la quantité de données qu’il aurait téléchargée, mais il indique que certains des téléchargements ont pris des heures et qu’il a cloné environ 155 référentiels de données Ubiquiti via plusieurs téléchargements sur près de deux semaines.
Le 28 décembre, d’autres employés d’Ubiquiti ont repéré les téléchargements inhabituels, qui avaient tiré parti des informations d’identification internes de l’entreprise et d’un VPN Surfshark connexion pour masquer la véritable adresse Internet du téléchargeur. En supposant qu’un attaquant externe avait violé sa sécurité, Ubiquiti a rapidement lancé une enquête.
Mais Sharp était membre de l’équipe chargée de l’enquête médico-légale, selon l’acte d’accusation.
« À l’époque, l’accusé faisait partie d’une équipe chargée d’évaluer l’étendue et les dommages causés par l’incident et de remédier à ses effets, tout en dissimulant son rôle dans la commission de l’incident », ont écrit les procureurs du district sud de New York.
Selon l’acte d’accusation, le 7 janvier, un cadre supérieur d’Ubiquiti a reçu un e-mail de rançon. Le message a été envoyé via une adresse IP associée au même VPN Surfshark. Le message de rançon avertissait que les données internes d’Ubiquiti avaient été volées et que les informations ne seraient pas utilisées ou publiées en ligne tant qu’Ubiquiti accepterait de payer 25 Bitcoins.
L’e-mail de rançon proposait également d’identifier une « porte dérobée » prétendument toujours non bloquée utilisée par l’attaquant pour la somme de 25 autres Bitcoins (le montant total demandé équivalait à environ 1,9 million de dollars à l’époque). Ubiquiti n’a pas payé les demandes de rançon.
Les enquêteurs disent qu’ils ont pu lier les téléchargements à Sharp et à son ordinateur portable professionnel, car sa connexion Internet a brièvement échoué à plusieurs reprises alors qu’il téléchargeait les données d’Ubiquiti. Ces pannes ont suffi à empêcher le bon fonctionnement de la connexion VPN Surfshark de Sharp, exposant ainsi son adresse Internet comme source des téléchargements.
Lorsque des agents du FBI ont perquisitionné la résidence de Sharp le 24 mars, il aurait clamé son innocence et dit aux agents que quelqu’un d’autre devait avoir utilisé son compte Paypal pour acheter l’abonnement VPN Surfshark.
Plusieurs jours après que le FBI a exécuté son mandat de perquisition, Sharp « a fait publier des informations fausses ou trompeuses sur l’incident », ont déclaré les procureurs. Parmi les affirmations faites dans ces reportages, il y avait le fait qu’Ubiquiti avait négligé de conserver des journaux d’accès qui permettraient à l’entreprise de comprendre toute l’étendue de l’intrusion. En réalité, selon l’acte d’accusation, Sharp avait réduit à un jour la durée pendant laquelle les systèmes d’Ubiquiti conservaient certains journaux d’activité des utilisateurs dans AWS.
« Suite à la publication de ces articles, entre le mardi 30 mars 2021 et le mercredi 31 mars, [Ubiquiti’s] le cours de l’action a chuté d’environ 20%, perdant plus de quatre milliards de dollars en capitalisation boursière », indique l’acte d’accusation.
Sharp fait face à quatre chefs d’accusation, dont fraude par fil, endommagement intentionnel d’ordinateurs protégés, transmission de communications interétatiques dans l’intention d’extorquer et fausses déclarations au FBI.
La nouvelle de l’arrestation de Sharp a été rapportée pour la première fois par BipOrdinateurqui a écrit que bien que le ministère de la Justice n’ait pas nommé l’employeur de Sharp dans son communiqué de presse ou son acte d’accusation, tous les détails correspondent aux rapports précédents sur l’incident d’Ubiquiti et aux informations présentées dans Compte LinkedIn de Sharp. Un lien vers l’acte d’accusation est ici (PDF).