سوءاستفاده از حملات سایبری برای بازاریابی خدمات امنیت اطلاعات

اعتراف یک مرد اهل Kansas City به هک چندین سازمان برای تبلیغ خدمات امنیت سایبری

وزارت دادگستری ایالات متحده (U.S. Department of Justice) روز چهارشنبه اعلام کرد که یک مرد اهل Kansas City به جرم هک کردن شبکه‌های چند سازمان به منظور تبلیغ خدمات امنیت سایبری (cybersecurity services) خود، اعتراف کرده است.

نیکلاس مایکل کلاستر (Nicholas Michael Kloster) ۳۲ ساله، سال گذشته به دلیل نفوذ به شبکه‌های سه سازمان در سال ۲۰۲۴، از جمله یک باشگاه ورزشی (health club) و یک مؤسسه غیرانتفاعی در ایالت Missouri، متهم شد.

بر اساس اسناد دادگاه (court documents)، کلاستر پس از نفوذ به بخش محدود شده (restricted area) سیستم‌های یک باشگاه ورزشی که چندین باشگاه در Missouri اداره می‌کند، وارد سیستم آنها شد. سپس به یکی از مالکان این زنجیره باشگاه‌ها ایمیلی ارسال کرد و ادعا نمود که شبکه آن‌ها را هک کرده و در همان پیام خدمات امنیت سایبری (cybersecurity consulting services) خود را پیشنهاد داد تا به نظر برسد که قصد عقد قرارداد مشاوره امنیت سایبری را دارد.

کلاستر در ایمیل خود نوشت:
«من موفق شدم از طریق آدرس‌های IP قابل مشاهده، فرایند ورود (login) به دوربین‌های امنیتی (security cameras) را دور بزنم. همچنین به تنظیمات روتر Google Fiber دسترسی پیدا کردم که به من اجازه داد با استفاده از [سانسور شده] حساب‌های کاربری مرتبط با دامنه (domain) را بررسی کنم. اگر بتوانم به فایل‌های یک رایانه کاربر دسترسی پیدا کنم، این نشان‌دهنده امکان دسترسی عمیق‌تر به سیستم است.»

او همچنین در همان ایمیل اعلام کرد که به بیش از ۳۰ کسب‌وکار صنعتی کوچک تا متوسط در منطقه Kansas City، Missouri کمک کرده است.

علاوه بر ارسال پیشنهاد همکاری (contracting proposal) به مالک باشگاه، کلاستر تصویر خود را از پایگاه داده باشگاه حذف کرد، هزینه عضویت ماهانه خود را به تنها ۱ دلار کاهش داد و برچسب نام یکی از کارکنان را سرقت کرد.

چند هفته بعد، متهم تصویری از صفحه نمایش دوربین‌های امنیتی باشگاه را در شبکه‌های اجتماعی منتشر کرد که نشان می‌داد کنترل سیستم دوربین‌های امنیتی را در اختیار گرفته است.

در تاریخ ۲۰ می، کلاستر همچنین به محل محدود شده (restricted premises) یک مؤسسه غیرانتفاعی نفوذ کرد، جایی که با استفاده از یک بوت دیسک (boot disk) فرایند احراز هویت (authentication) را دور زد و اطلاعات حساس را از یک “رایانه محافظت شده” (protected computer) که طبق تعریف وزارت دادگستری در تجارت بین ایالتی یا خارجی استفاده می‌شود، سرقت کرد.

کلاستر از دسترسی خود به رایانه مؤسسه غیرانتفاعی برای نصب یک شبکه خصوصی مجازی (virtual private network – VPN) و تغییر گذرواژه‌های چندین حساب کاربری استفاده کرد.

متهم همچنین متهم به استفاده از اطلاعات کارت اعتباری سرقت شده از یک شرکت ثالث است؛ این شرکت، که کارفرمای سابق کلاستر بود، او را در تاریخ ۳۰ آوریل ۲۰۲۴ به دلیل استفاده از کارت‌های اعتباری سرقت شده برای خرید «فلش‌درایوهای هک» (hacking thumb drives) که برای سوءاستفاده از سیستم‌های آسیب‌پذیر طراحی شده بودند، اخراج کرد.

کلاستر با احتمال محکومیت تا پنج سال حبس فدرال بدون امکان آزادی مشروط، جریمه مالی تا ۲۵۰,۰۰۰ دلار، سه سال دوره نظارت پس از آزادی (supervised release) و حکم جبران خسارت (order of restitution) روبه‌رو است.