Ubiquiti-Hack

Innentäter tarnt sich als Whistleblower

Der Sicherheitsvorfall beim US-Netzwerkausrüster Ubiquiti Networks ist laut FBI und Justiz das Werk eines besonders ruchlosen Innentäters.
Von 
CSO | 09. Dezember 2021 05:11 Uhr
Um sein wahres Wesen und seine Taten zu verbergen, ging der Innentäter bei Ubiquiti Networks weit.
Um sein wahres Wesen und seine Taten zu verbergen, ging der Innentäter bei Ubiquiti Networks weit.
Foto: XwS - shutterstock.com

Die Ermittlungsbehörden gehen davon aus (PDF), dass der ehemalige Ubiquiti-Angestellte Nickolas Sharp zuerst Unternehmensdaten gestohlen hat und seinen Arbeitgeber anschließend damit um zwei Millionen Dollar erpressen wollte. Als Ubiquiti die Zahlung eines Lösegelds jedoch wider Erwarten ablehnt, beginnt Sharps Plan aus dem Ruder zu laufen. Um dem Ganzen die Krone aufzusetzen, versucht sich der Innentäter schließlich noch als Whistleblower zu tarnen, um von seinen kriminellen Machenschaften abzulenken.

Ubiquiti-Insider: Das sagen die Ankläger

Laut Sharps LinkedIn-Profil war er im Zeitraum von August 2018 bis März 2021 bei Ubiquiti als "Cloud Lead" angestellt. Berichten zufolge soll er als vertrauenswürdiges Mitglied des Ubiquiti-Teams wahrgenommen worden sein.

Die Wahrscheinlichkeit, dass Mitarbeiter (gewollt oder ungewollt) zum Innentäter werden, steigt, wenn ihr Ausstieg aus dem Unternehmen naht. Im Fall von Nikolas Sharp lässt sich dieser Zeitpunkt auf den 9. Dezember 2020 festlegen: An diesem Tag beginnt der Ubiquiti-Mitarbeiter seinen Abschied von dem Unternehmen vorzubereiten - mit einer Bewerbung bei einem kalifornischen Technologieunternehmen. Noch am selben Abend soll Sharp damit begonnen haben, in Infrastruktur und Datenspeicher seines Arbeitgebers einzudringen und Recherchen anzustellen. Nur Minuten später findet der erste "Angriff" auf Ubiquiti statt und der Diebstahl von Unternehmensdaten beginnt.

Die Anklageschrift gegen Sharp beschreibt seine mutmaßlichen kriminellen Handlungen detailliert. Der stellvertretende FBI-Direktor Michael J. Driscoll fasst zusammen: "Wir beschuldigen Mister Sharp, ein Komplott geschmiedet zu haben. So wollte er seinen Arbeitgeber erpressen, indem er dessen Technologie und Daten gegen ihn verwendete. Dabei soll er nicht nur gegen mehrere Bundesgesetze verstoßen, sondern auch die Weitergabe von Informationen an die Medien inszeniert haben, als seine Lösegeldforderungen nicht erfüllt wurden. Als er damit von FBI-Agenten konfrontiert wurde, hat er nachweislich gelogen. Letztendlich beendete eine einfache technische Panne seinen Traum vom großen Reichtum."

US-Staatsanwalt Damian Williams ergänzt: "Nickolas Sharp nutzte seinen Zugang als vertrauenswürdiger Mitarbeiter, um Gigabytes an vertraulichen Daten von seinem Arbeitgeber zu stehlen. Unter dem Deckmantel eines anonymen Hackers schickte er dem Unternehmen eine Lösegeldforderung in Höhe von fast zwei Millionen Dollar. Nachdem das FBI seine Wohnung im Zusammenhang mit dem Diebstahl durchsucht hatte, gab sich Sharp als anonymer Informant aus und verbreitete die falsche Behauptung, der Diebstahl sei von einem Hacker begangen worden, der eine Schwachstelle im Computersystem des Unternehmens ausgenutzt habe."

Innentäter bei Ubiquiti: Die Zeitleiste

In den Gerichtsdokumenten ist zu lesen, Sharp habe seinen autorisierten Zugang zu den GitHub- und AWS-Servern von Ubiquiti genutzt, um Gigabyte-weise vertrauliche Daten herunterzuladen. Es ist schwer einzuschätzen, ob es Sharps erster Ausflug in die Cybercrime-Welt war. Seine (mutmaßliche) Vorgehensweise legt zumindest nahe, dass er sich durchaus darüber bewusst war, dass es unbedingt notwendig sein würde, bei seinem Plan Anonymität zu wahren. Mit Hilfe eines VPN-Service maskierte er seine IP-Adresse, während er auf die Daten seines Arbeitgebers zugriff.

  • Vom 9. bis zum 28. Dezember 2020 soll Sharp Unternehmensdaten mehrfach geklont und gestohlen haben, wozu er seinen Admin-Zugang missbrauchte. Die Daten exfiltrierte er über sein Surfshark-VPN-Konto (das er im Juli 2020 angelegt hatte) an einen zunächst unbekannten Ort. Durch einen Internetausfall wurde wurde die IP-Adresse jedoch vorübergehend enttarnt - sie führte zu Sharps Wohnsitz in Portland, Oregon.

  • Am 28. Dezember 2020 entdeckte einer von Sharps Kollegen Anomalien und ein Team begann, die unbefugte Datenexfiltration zu untersuchen. Sharp schließt sich dieser Untersuchung als Mitglied des Incident-Teams an. Das versetzt ihn in die Lage, stets über alle Bemühungen informiert zu sein, die unternommen werden, um den Eindringling zu identifizieren. Dabei versucht Sharp offenbar auch, Spuren zu beseitigen, indem er Protokolle und Dateien verändert.

  • Währenddessen verschickt der Innentäter über anonyme E-Mails und per Keybase-Chat Lösegeldforderungen an die Entscheider von Ubiquiti. Gegen die Zahlung von Bitcoin will er die Daten zurückgeben und über die vermeintliche Schwachstelle im Netzwerk aufklären. Als sich Ubiquiti der Zahlung verweigert, soll Sharp einige der Inhalte auch im Netz veröffentlicht haben.

  • Am 29. Januar 2021 formatiert Sharp seinen Computer und setzt ihn zurück.

  • Am 24. März 2021 betritt das FBI Sharps Wohnung mit einem Durchsuchungsbefehl und um ihn zu befragen.

Vom Insider Threat zum Whistleblower - und zurück

Nachdem sein Erpressungsversuch gescheitert war und das FBI ihn befragt hatte, versuchte Sharp, seine kriminellen Handlungen weiter zu verschleiern. Unter anderem präsentierte er sich als rechtschaffener Whistleblower, der Informationen offenlegen muss. Im Zuge dessen verschickte er E-Mails mit falschen Informationen an Medien und Aufsichtsbehörden, um eine Geschichte zu konstruieren, die Ubiquiti eine Vertuschung "katastrophalen Ausmaßes" unterstellt. Die Anschuldigungen des vermeintlichen Whistleblowers sind plausibel, die Schlagzeilen im März und April 2021 gnadenlos:

  • The Verge: "Ubiquiti is accused of covering up a 'catastrophic' data breach - and it's not denying it"

  • KrebsOnSecurity: "Whistleblower: Ubiquiti Breach 'Catastrophic'"

  • Lightreading: "Ubiquiti's latest hack highlights trouble security path for operators"

  • Bleeping Computer: "Ubiquiti cyberattack may be far worse than originally disclosed"

Die Folgen waren vorhersehbar: Wie auch in der Anklageschrift gegen Sharp vermerkt, sank der Unternehmenswert von Ubiquiti in der Folge um 20 Prozent, was zu einem Verlust von über vier Milliarden Dollar Marktkapitalisierung führte.

Ubiquiti Networks ließ sich allerdings nicht beirren und trieb die Untersuchung des Vorfalls weiter voran. Die forensischen Untersuchungen machten klar, was im Unternehmensnetzwerk vor sich gegangen war. Nachdem das Unternehmen die Ergebnisse an das FBI und die US-Justiz übergeben hatte, begannen die Mühlen der Strafverfolgung zu mahlen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Christopher schreibt unter anderem für unsere US-Schwesterpublikation CSO Online. Er war für mehr als 30 Jahre Mitarbeiter der Central Intelligence Agency.