转自:InfoQ - 褚杏娟、核子可乐
美国一家全国性工业企业遭某心怀不满的 IT 员工报复。Daniel Rhyne 是这家企业的核心基础设施工程师,他曾试图向所在公司勒索价值 75 万美元(约530万人民币)的比特币。
2023 年 11 月 25 日,该公司的网络管理员收到通知,提示其域管理员账户以及数百个用户账户的密码遭到重置。此后不久,网络管理员发现其他域管理员账户均已被删除,导致各域管理员无法正常访问计算机网络。大约 44 分钟后,该公司的部分员工收到一封来自外部勒索电子邮件地址,标题为“你的网络已遭入侵”。
勒索软件向收件人发出警告称:该公司的所有“IT 管理员账户均已被锁定或删除”,因此公司计算机网络无法登录;公司的所有“备份均已被删除”;如果未在 2023 年 12 月 2 日之前将 70 万欧元的赎金以 20 比特币的形式汇入勒索邮件中指定的 BTC 地址,则每天将另外“随机关闭 40 台服务器,为期 10 天”。按 2023 年 11 月 25 日当天的价格计算,20 个比特币的价值约为 75 万美元。
执法部门根据调查,确认从 2023 年 11 月 8 日左右到 11 月 25 日左右,这家公司的计算机网络上确实发生了恶意活动。公司域控制器上存在了多项计划任务,具体包括:删除公司的 13 个域管理员账户、更改受害者共 301 个域用户账户的密码、更改受害者两个本地管理员账户的密码,具体影响到 254 台服务器;更改公司另外两个本地管理员账户的密码,影响到了 3284 台工作站;在 2023 年 12 月的数日之内,关闭了受害者多台服务器和工作站。
这些计划任务为统一设置,目的是阻止公司正常访问其系统和数据。
在 2023 年 11 月 25 日上午 7:48 左右,该公司管理员账户曾遭 7 次未授权访问,Rhyne 由远程桌面会话发起了该访问,从上午 7:48 持续至上午 9:45 左右。这期间,Rhyne 创建了自己的“计划任务”。
8:12 左右起,Rhyne 控制管理员账户开始在其域控制器上创建约 16 项未经授权的“计划任务”,其中 6 项“计划任务”配置为在 2023 年 11 月 25 日下午 4:00 这一特定时间点执行,其余计划任务则为从 2023 年 12 月 3 日开始的几天内,对受害者的数十台计算机服务器执行关停。如果这些计划任务实际执行,则受害者将无法访问其系统和数据,很可能导致其业务运营中断。
该远程桌面会话源自公司网络上某未经授权的卡片机(以下简称“隐藏虚拟机”)。从 2023 年 11 月 10 日到 2023 年 11 月 25 日左右,该隐藏虚拟机曾多次被用于访问受害者域控制器上的管理员账户。此外,该隐藏虚拟机也是该时段内唯一通过远程桌面会话访问受害者域控制器上管理员账户的系统。
据调查,该隐藏虚拟机于 2023 年 11 月 9 日创建完成,当时隐藏虚拟机的用户账户密码为“TheFr0zenCrew!”。此密码与受害者管理员账户以及 301 个域用户账户被重置后的密码内容相同。
在此时段,公司的安全摄像头和物理访问日志还记录到,Rhyne 曾亲自进入受害者总部。Rhyne 在抵达公司总部后,很快就使用 Rhyne 账户登录了 Rhyne 电脑,并曾多次使用该账户访问隐藏虚拟机。当 Rhyne 不在受害者总部时,Rhyne 电脑的使用者会通过分配给 Rhyne 位于新泽西州沃伦县住所的互联网协议(IP)地址远程访问受害者的计算机网络,包括隐藏虚拟机。
当局随后成功将勒索信息追溯到了 Rhyne 控制的电子邮件地址,并于 2024 年 8 月 27 日在密苏里州将其逮捕。Rhyne 被指控犯有一项设施勒索罪、一项故意损坏受保护计算机罪和一项电信欺诈罪,目前面临共计最高 35 年的监禁和 75 万美元的罚款。值得注意的是,Rhyne 今年已经 57 岁了。
“快乐的员工可能不会做这种事”
这件事在 Reddit 上被网友热议,核心在企业与员工上。
“感觉这类事情现在发生得越来越频繁了。我绝不是纵容这种行为,但不得不怀疑,这是否是公司对待员工的‘副产品’,让少数人在即将离职时充满了这种‘我不在乎’的心态。”有网友评价道。
事实上,前不久,39 岁在新加坡工作的印度人 Kandula Nagaraju 因被解雇而感到“困惑和沮丧”,因为他认为自己在工作期间表现良好,并为公司“做出了良好贡献”。于是,他进入前公司的计算机测试系统并删除了 180 台虚拟服务器,给公司造成损失约 678,000 美元。最后,他因一项未经授权访问计算机资料的指控被判处两年零八个月监禁,另一项指控正在量刑。
“在一家公司工作多年,与黑客和垃圾邮件发送者抗争,日夜工作。修补 100 台机器、升级和维护新用户等。然后,无缘无故被解雇。我完全可以理解在一家公司欺骗了你和你认识的在那里工作的每个人之后,你对这家公司的态度。”网友 Noct 表示。
有网友分享了自己的身边的真实案例。“在我工作的一家初创公司,也发生过类似的事情,只是规模比较小。我们有一个和蔼可亲但完全不称职的 IT 经理,他最终被解雇了。他离开后,我们发现他创建了一家与我们公司名称相似的假公司,并将供应商支票寄到了这个公司。他还创建了与供应商名称相似的假公司,因此他可以从两方榨取利润。他还负责我们的网站,并以自己的名义注册了网站,被解雇的那天,他又重定向到了我们最大的竞争对手。”
有网友认为,这在一定程度上反映了企业文化对人们思维的影响。“你不需要懂心理学就可以知道,更快乐的员工可能不会做出这种事情。”
当然,也有网友提出,有的员工即使没有那么多怨恨,也可能会做同样的事情,即使他们曾经受到良好的待遇,并且因为正当理由而被解雇。
还有网友对做出这种行为的人表示惋惜。“真是愚蠢!我知道你对工作、老板或生活不满意,但不要对别人那么粗鲁,优雅体面地处理你的问题,然后另谋出路。”“被解雇是一件很艰难、很有压力的事情,但为此无法再在自己的领域工作是不值得的。”
“内鬼”安全该被关注?
IT Governance 治理、风险与合规管理(GRC)主管 Damian Garcia 在接受媒体采访时表示,该事件应当成为企业实施强有力离职流程、以防止内部人士恶意攻击的典型案例。
“这家公司所经历的情况,正是那些缺乏强有力离职流程的企业所面临的典型威胁——当员工因违纪等理由被迫离开组织时,特别是包括系统管理员在内的拥有较强技术能力的员工,必须及时撤销其对系统的访问权限。”
Garcia 还提到,内部威胁对于组织来说已经构成严重风险。他指出,这类威胁常常遭到忽视,因为人们更倾向于抵御受到更多关注的外部威胁。
“内部威胁对于组织来说已经构成极其严重的风险。从历史上看,企业往往会忽视这一点,宁愿把精力集中在外部威胁行为者身上(比如那种身着连帽衫、把面部遮挡起来的刻板网络犯罪分子形象)。然而,企业应当意识到内部威胁已经成为更大的问题,同样是需要认真对待的风险因素。”他解释道。
“根据具体工作性质,我们需要保证员工能够访问系统以获取必要的信息,借此履行他们受雇承担的职责。也正是由于这种系统访问权限以及我们需要绝对信任员工这一事实,才导致组织面临严峻风险,毕竟没人能保证这些员工永远规规矩矩。”
Trustwave 在其针对金融行业的内部研究研究中发现,与前几年相比,如今 40% 的企业报告称内部威胁攻击频率有所增加,近半数(45%)的企业承认过去一年间曾经历五次以上的此类攻击。
Trustwave 计算出,内部威胁事件造成的平均损失为 500 万美元,凸显出此类攻击可能造成的重大财务影响。
当然,并非所有内部威胁都出于恶意,员工的疏忽大意也可能对所在组织造成风险。攻击面管理专业服务商 Armis 的研究表明,67% 的英国员工会在未经 IT 部门或者安全团队许可的情况下下载软件,进而对业务环境造成威胁。
为了最大限度减少企业承受的内部威胁风险(无论出于恶意还是无意),Garcia 都建议企业开展员工安全意识培训,借此改善整体安全文化,具体措施包括营造一种支持性的办公环境,让员工更坦然地上报自己可能犯下的任何错误。
“应对内部威胁最有效的方法,就是组织员工安全意识培训——缺少了这关键的一环,数据泄漏将不可避免。必须建立起一种安全意识文化,让每个人(而不仅仅是 IT 部门)了解到自己在安全领域扮演的角色和发挥的作用。员工应当可以更坦然地上报无心之失,比如意外点击了钓鱼链接,以确保问题能够快速得到响应。”Garcia 表示。
此外,Garcia 认为,组织也可以实施多种技术措施来缓解内部威胁,包括部署电子邮件过滤器和监控工具。“我们永远无法预测下一个威胁来自哪里,因此多重保护体系才是保障组织安全的关键所在。”
参考链接:
https://www.justice.gov/usao-nj/media/1365476/dl?inline
https://www.itpro.com/security/why-you-should-always-be-wary-of-insider-threats-a-disgruntled-employee-at-a-us-industrial-firm-deleted-backups-and-locked-it-admins-out-of-workstations-in-a-failed-data-extortion-attempt
https://www.channelnewsasia.com/singapore/former-employee-hack-ncs-delete-virtual-servers-quality-testing-4402141