سوءاستفاده از حملات سایبری برای بازاریابی خدمات امنیت اطلاعات
اعتراف یک مرد اهل Kansas City به هک چندین سازمان برای تبلیغ خدمات امنیت سایبری
وزارت دادگستری ایالات متحده (U.S. Department of Justice) روز چهارشنبه اعلام کرد که یک مرد اهل Kansas City به جرم هک کردن شبکههای چند سازمان به منظور تبلیغ خدمات امنیت سایبری (cybersecurity services) خود، اعتراف کرده است.
نیکلاس مایکل کلاستر (Nicholas Michael Kloster) ۳۲ ساله، سال گذشته به دلیل نفوذ به شبکههای سه سازمان در سال ۲۰۲۴، از جمله یک باشگاه ورزشی (health club) و یک مؤسسه غیرانتفاعی در ایالت Missouri، متهم شد.
بر اساس اسناد دادگاه (court documents)، کلاستر پس از نفوذ به بخش محدود شده (restricted area) سیستمهای یک باشگاه ورزشی که چندین باشگاه در Missouri اداره میکند، وارد سیستم آنها شد. سپس به یکی از مالکان این زنجیره باشگاهها ایمیلی ارسال کرد و ادعا نمود که شبکه آنها را هک کرده و در همان پیام خدمات امنیت سایبری (cybersecurity consulting services) خود را پیشنهاد داد تا به نظر برسد که قصد عقد قرارداد مشاوره امنیت سایبری را دارد.
کلاستر در ایمیل خود نوشت:
«من موفق شدم از طریق آدرسهای IP قابل مشاهده، فرایند ورود (login) به دوربینهای امنیتی (security cameras) را دور بزنم. همچنین به تنظیمات روتر Google Fiber دسترسی پیدا کردم که به من اجازه داد با استفاده از [سانسور شده] حسابهای کاربری مرتبط با دامنه (domain) را بررسی کنم. اگر بتوانم به فایلهای یک رایانه کاربر دسترسی پیدا کنم، این نشاندهنده امکان دسترسی عمیقتر به سیستم است.»
او همچنین در همان ایمیل اعلام کرد که به بیش از ۳۰ کسبوکار صنعتی کوچک تا متوسط در منطقه Kansas City، Missouri کمک کرده است.
علاوه بر ارسال پیشنهاد همکاری (contracting proposal) به مالک باشگاه، کلاستر تصویر خود را از پایگاه داده باشگاه حذف کرد، هزینه عضویت ماهانه خود را به تنها ۱ دلار کاهش داد و برچسب نام یکی از کارکنان را سرقت کرد.
چند هفته بعد، متهم تصویری از صفحه نمایش دوربینهای امنیتی باشگاه را در شبکههای اجتماعی منتشر کرد که نشان میداد کنترل سیستم دوربینهای امنیتی را در اختیار گرفته است.
در تاریخ ۲۰ می، کلاستر همچنین به محل محدود شده (restricted premises) یک مؤسسه غیرانتفاعی نفوذ کرد، جایی که با استفاده از یک بوت دیسک (boot disk) فرایند احراز هویت (authentication) را دور زد و اطلاعات حساس را از یک “رایانه محافظت شده” (protected computer) که طبق تعریف وزارت دادگستری در تجارت بین ایالتی یا خارجی استفاده میشود، سرقت کرد.
کلاستر از دسترسی خود به رایانه مؤسسه غیرانتفاعی برای نصب یک شبکه خصوصی مجازی (virtual private network – VPN) و تغییر گذرواژههای چندین حساب کاربری استفاده کرد.
متهم همچنین متهم به استفاده از اطلاعات کارت اعتباری سرقت شده از یک شرکت ثالث است؛ این شرکت، که کارفرمای سابق کلاستر بود، او را در تاریخ ۳۰ آوریل ۲۰۲۴ به دلیل استفاده از کارتهای اعتباری سرقت شده برای خرید «فلشدرایوهای هک» (hacking thumb drives) که برای سوءاستفاده از سیستمهای آسیبپذیر طراحی شده بودند، اخراج کرد.
کلاستر با احتمال محکومیت تا پنج سال حبس فدرال بدون امکان آزادی مشروط، جریمه مالی تا ۲۵۰,۰۰۰ دلار، سه سال دوره نظارت پس از آزادی (supervised release) و حکم جبران خسارت (order of restitution) روبهرو است.