美国俄亥俄州一家机械制造公司伊顿公司(Eaton)的前软件工程师戴维斯·卢(Davis Lu),因对公司将其降职一事心怀不满,竟在公司系统中植入恶意程式码,并于离职时启动,导致公司系统全面瘫痪,造成难以估计的损失。近日,卢被联邦法院判处「故意损坏受保护电脑罪」,面临最高 10 年的监禁。这起事件不仅凸显了企业内部威胁的严重性,也再次敲响了企业资安的警钟。
降职引发的报复
根据法院文件显示,卢于 2007 年 11 月至 2019 年 10 月期间在伊顿公司担任软件工程师。 公司在 2018 年进行重组,卢因此遭到降职,权限也受到限制。心生不满的他,开始策划报复行动,秘密开发恶意程式码,企图瘫痪公司系统。这种因个人不满而对企业发动攻击的行为,在近年来屡见不鲜,反映了员工对企业管理和职场环境的不满情绪,以及网路安全意识的薄弱。
卢耗时近一年,开发出一种名为「IsDLEnabledinAD」(意为「戴维斯·卢--的秘密程式--在 Active Directory 中是否启用?」)的「终止开关」。这个程式码会执行一个「无限迴圈」,不断消耗伺服器资源,一旦启动,最终将导致整个公司系统崩溃。这种「终止开关」的设计,显示了卢对公司系统的深入了解,以及其高超的技术能力。然而,这种技术能力被用于恶意目的,不仅对公司造成了巨大的损失,也暴露了企业在内部权限管理和程式码审查方面的漏洞。
2019 年 9 月 9 日,卢正式离职。就在离职当天,他启动了这个精心设计的「终止开关」,导致全球数千名伊顿公司员工无法登入系统,公司运营陷入混乱。儘管卢的律师声称,造成的损失不到 5000 美元,但伊顿公司表示,实际损失高达数十万美元。这起事件不仅造成了直接的经济损失,也对公司的声誉和客户信任度造成了负面影响。在数位化时代,企业的运营高度依赖资讯系统,一旦系统瘫痪,将会对企业的业务造成严重的冲击。
开发多种恶意程式有如重重机关
除了「终止开关」之外,卢还创建了名为「Hakai(破坏)」和「HunShui(昏睡的中文发音)」的两个程式码,用于删除同事的用户个人资料,并在被要求归还公司笔记型电脑的当天,删除了加密数据。他的搜寻纪录也显示,他曾研究如何提升权限、隐藏进程以及快速删除档案。这些行为显示了内部威胁的多样性和複杂性,不仅包括恶意程式码的植入,还包括数据的窃取、篡改和删除,以及权限的滥用。企业需要建立完善的内部安全管理制度,对员工的行为进行监控和审查,及时发现和处理潜在的威胁。
由于卢是唯一可以存取发生问题的伺服器的开发人员,且「终止开关」也是从他的用户 ID 执行的,在种种证据面前,卢最终承认创建了「终止开关」。2025 年 3 月 7 日,克里夫兰联邦地方法院判决卢犯有「故意损坏受保护电脑罪」。这起案件的判决,不仅是对卢的惩罚,也是对其他潜在的内部威胁者的警示。法律是维护网路安全的重要保障,对于恶意破坏网路系统的行为,必须依法严惩。
负责此案的 FBI 特别探员格雷格·尼尔森(Greg Nelsen)表示,卢滥用其专业知识和技能,故意损害和妨碍其雇主及其安全运营能力,以及全球数千名用户,令人感到遗憾。这起案件再次凸显了网路安全的重要性,以及企业需要加强内部安全管理,防範类似事件再次发生。企业不仅需要投入资源加强技术防护,还需要建立完善的安全管理制度,提高员工的安全意识,才能有效地应对日益複杂的网路安全威胁。
儘管卢承认有罪,但他对有罪判决表示不服。他的律师伊恩·弗里德曼(Ian Friedman)表示,将会提起上诉,并相信卢是无辜的。无论上诉结果如何,这起案件都将成为企业资安领域的一个重要案例,提醒企业加强内部安全管理,防範类似事件再次发生。
新闻来源: gigazine