נקמת התאומים: האחים האחטר הורשעו במחיקת עשרות מסדי נתונים פדרליים לאחר פיטוריהם

ההליכים המשפטיים נגד האחים מוניב וסוהאיב האחטר (בני 34) בארצות הברית הגיעו לסיומם, עם הרשעתו של סוהאיב האחטר בקשירת קשר לביצוע הונאה, סחר בפרטי גישה מאובטחים והחזקת אמצעי לחימה בניגוד לחוק. אחיו, מוניב האחטר, חתם על הסדר טיעון מול התביעה הפדרלית, ובמסגרתו הודה במיוחס לו. הפרשה, שהחלה בפשיטה של גורמי אכיפת חוק ותפיסת ציוד מחשוב ונשק, מציפה בפני שוק ההון וחברות אבטחת המידע את היקף הסיכון התפעולי הגלום באיומים פנים-ארגוניים ובכשלים מבניים בניהול זהויות דיגיטליות במגזר המוסדי והממשלתי.

האירוע הטכנולוגי החל כאשר חברת הטכנולוגיה שבה הועסקו האחים, אשר סיפקה שירותי מימון, תשתית ותחזוקת מערכות לכ-45 גופים פדרליים בארה"ב, הודיעה להם על פיטוריהם באמצעות שיחת וידאו באפליקציית טימס ב-18 בפברואר 2025, בסביבות השעה 16:50. בחברות גדולות הסטנדרט התפעולי מחייב ניתוק מוחלט של הרשאות הגישה עוד לפני שיחת הפיטורים הרשמית, אך במקרה זה החשבון של מוניב נותר פעיל למשך דקות ספורות - חלון זמן מצומצם זה הספיק על מנת לבצע מחיקה ושימוש לרעה בהרשאות גבוהות בליבת המערכות הממשלתיות.

מהממצאים הפורנזיים שהוצגו בבית המשפט עולה כי בשעה 16:56, דקות ספורות לאחר ההודעה על פיטוריו, התחבר מוניב למסד נתונים ממשלתי מרכזי, חסם את גישתם של משתמשים אחרים ומחק את המידע. בהמשך, עשה שימוש בפקודות מחיקה מיוחדות כדי להשמיד מסד נתונים של המשרד לביטחון המולדת (DHS). בתוך פחות משעה, נמחקו כ-96 מסדי נתונים שהכילו מידע רגיש. במקביל, הועתקו 1,805 קבצים מנציבות שוויון הזדמנויות בעבודה (EEOC) ונגנבו פרטי מס של כ-450 אזרחים.

החקירה העלתה כי מוניב הסתייע בכלי בינה מלאכותית במהלך האירוע, במטרה לקבל הנחיות טכניות למחיקת קובצי תיעוד (Logs) בשרתי חלונות 2012, במטרה לטשטש את עקבותיו הדיגיטליים. פעולה זו סבכה את הליכי השחזור, שכן על אף קיומם של גיבויים יומיים, שחזורם של 96 מסדי נתונים פדרליים דורש בדיקות תקינות ארוכות, הקשחה מחדש של השרתים ואימות של שלמות הנתונים. העלות הכלכלית הכוללת של השבתת השירותים הממשלתיים, תחקור האירוע ותיקון הנזקים נאמדת במיליוני דולרים.

אחד הכשלים המרכזיים שחשפה הפרשה נוגע להליכי הסינון וניהול הסיכונים בחברה הקבלנית. לשני האחים היסטוריה פלילית קודמת משנת 2015 בעבירות הונאה ושימוש לרעה במחשבים, שבגינן ריצו עונשי מאסר בפועל (שלוש שנים למוניב ושנתיים לסוהאיב). למרות זאת, הם נקלטו מחדש בתעשיית ההייטק בשנים 2023 ו-2024 וקיבלו גישה למערכות פדרליות רגישות ללא פיקוח מוגבר.

היעדר מנגנון להפרדת תפקידים אפשר למוניב לאסוף כ-5,400 סיסמאות פנימיות מרשת החברה ולהריץ סקריפטים אוטומטיים לבדיקת תקינותן באתרים חיצוניים. מאות מהסיסמאות נמצאו פעילות, ושימשו לצורך כניסה לחשבונות של חברות תעופה ושירותי חתימה דיגיטלית מאובטחים. החקירה העלתה כי בפברואר 2025 ביקש מוניב מאחיו סוהאיב סיסמה ספציפית למסד נתונים פדרלי, וזה השיג אותה באמצעות שאילתה פשוטה, ללא התרעה מצד מערכות הניטור של הארגון על שלייה חריגה של מידע.

האחים נעצרו על ידי ה-FBI בדצמבר 2025. גזר דינו של סוהאיב צפוי להינתן בחודש ספטמבר הקרוב, ואילו מוניב, שחתם על הסדר הטיעון, הגיש לאחרונה ערעור מבית הכלא על תנאי ההסכם.

במישור הארגוני, הפרשה מדגישה כי קיומם של גיבויים אינו תחליף לארכיטקטורת אבטחה פרואקטיבית, ורק משמש כפתרון להתאוששות מאסון (DR). חברות המנהלות חוזים מול גופים מוסדיים נדרשות לאמץ מודל הגנה של אפס אמון, הכולל ניתוק אוטומטי ומיידי של כלל הזהויות הדיגיטליות במערכות מאוחדות, סגמנטציה קשיחה של רשתות והפעלת התראות אוטומטיות מבוססות ניטור התנהגותי (UBA) בעת זיהוי פעולות חריגות בבסיסי הנתונים.