Non c’è minaccia interna più pericolosa di quella che già conosce le tue password. E quando quella minaccia ha il volto di due ex-condannati che riescono a farsi assumere da un contractor federale, la storia diventa un caso da manuale su come il sistema di controllo possa fallire in modo spettacolare. È la vicenda di Muneeb e Sohaib Akhter, gemelli della Virginia, già noti alle autorità per reati informatici, ora accusati dalla procura federale di aver cancellato quasi un centinaio di database governativi sensibili, cancellando anni di dati relativi a richieste FOIA, indagini federali e persino file fiscali.
La prima domanda che viene da porsi non è come l’abbiano fatto, ma come siano potuti tornare a toccare un sistema federale dopo aver scontato una condanna per hacking. I due fratelli, descritti un tempo come talenti promettenti finanziati anche dalla DARPA, nel 2015 furono condannati per aver violato il Dipartimento di Stato e una società cosmetica, rubando e rivendendo numeri di carte di credito. Dopo il carcere, sono misteriosamente riemersi nel 2023 tra le file di OPEXUS, azienda che fornisce software a centinaia di agenzie federali per la gestione delle richieste FOIA, audit e indagini. Secondo le ricostruzioni, i controlli di background non avrebbero inizialmente flaggato i precedenti penali.
Il modus operandi descritto nell’atto d’accusa è un classico esempio di insider threat con escalation rapida. Nel febbraio 2025, dopo essere stati informati della loro imminente cessazione, i due avrebbero utilizzato credenziali ancora attive per riconnettersi ai sistemi. Non si sono limitati a copiare dati: hanno eseguito una vera e propria operazione di wiping, cancellando oltre 90 database. Tra le vittime, IRS, DHS e la Commissione per le Pari Opportunità di Lavoro. L’accusa sostiene che, appena un minuto dopo la cancellazione di un database, Muneeb abbia interrogato un tool di intelligenza artificiale su come cancellare i log di sistema da server SQL e Windows Server 2012 – un sistema operativo non più supportato dal 2023, dettaglio che la dice lunga sullo stato di alcuni ambienti governativi.
La parte tecnica della vicenda rivela una pianificazione fredda e metodica. Non si trattò di un accesso casuale: secondo il Dipartimento di Giustizia, i fratelli “hanno emesso comandi per impedire ad altri di modificare i database prima della cancellazione, hanno cancellato database, rubato informazioni e distrutto le prove delle loro attività illecite”. In altre parole, hanno cercato di coprire le tracce in modo sistematico. L’indagine è partita dopo un’inchiesta di Bloomberg a maggio, che ha portato alla luce il buco nel sistema di vetting del contractor.
La domanda che rimane aperta è il movente. Non sembra esserci un guadagno finanziario immediato. In un’email inviata a decine di dipendenti governativi dopo i fatti, uno dei due avrebbe descritto OPEXUS come “insicuro”, in una mossa che potrebbe essere interpretata come una sorta di dimostrazione di forza o un tentativo maldestro di whistleblowing. Quel che è certo è l’impatto operativo: agenzie hanno perso anni di registri, con conseguenti ritardi nelle indagini e potenziali violazioni della trasparencia amministrativa.
OPEXUS, dal canto suo, ha dichiarato di aver “migliorato i processi di screening e implementato ulteriori salvaguardie” dopo l’accaduto. Ma il danno ormai è fatto. Se condannati, Muneeb rischia fino a 45 anni di carcere, Sohaib fino a sei.