Сисадмин в день увольнения вывел из строя компанию

Безопасность Стратегия безопасности Бизнес Кадры
мобильная версия
, Текст: Валерия Шмырова

Системный администратор Джо Вито Вензор, уволенный из компании Lucchese Bootmaker, в отместку обрушил ее сервер. Он также удалил файлы, необходимые для его восстановления. Производство ковбойских сапог Lucchese Bootmaker, существующее с 1883 г., простаивало, пока сторонний подрядчик не починил сервер.


Увольнение Джо Вито Вензора

Бывший системный администратор, который в день своего увольнения остановил сервер компании-работодателя, признал себя виновным в суде.41-летний Джо Вито Вензоре (Joe Vito Venzor) вплоть до сентября 2016 г. работал инженером службы технической поддержки в компании Lucchese Bootmaker, которая находится в техасском городе Эль Пасо и производит ковбойские сапоги с 1883 г.

Утром 1 сентября 2016 г. около 10:30 по местному времени, Вензор узнал, что уволен. Судебные документы свидетельствуют, что «неуравновешенного» мужчину около часа не могли выдворить из здания. Как показало следствие, уже около 11:30 Вензор воспользовался потайным аккаунтом, который был создан им в корпоративной сети на имя elplaser, и обрушил серверы почты и приложений компании.

Вензоре был арестован 7 октября 2016 г. Позднее его освободили под залог в размере $10 тыс. После признания Вензора ожидает приговор, который будет вынесен 6 июня. Ему грозит до 10 лет лишения свободы и штраф на сумму до $250 тыс.

Что именно сделал обиженный сисадмин

Обрушенные серверы отвечали за обработку заказов, поступающих от клиентов, а также за производственную линию, склад и центр дистрибуции. После того, как они рухнул, на фабрике Lucchese Bootmaker остановилось производство. ИТ-отдел попытался вернуть серверы в рабочее состояние. После трех часов напрасных попыток руководство отпустило 300 работников фабрики по домам. Отгрузка товара в центре дистрибуции была остановлена, из-за чего компания потеряла около $100 тыс. выручки, не считая убытков от простоя производства.

Уволенный сисадмин остановил производство ковбойских сапогов, существующее с 1883 г.

По словам ИТ-отдела компании, серверы почты и приложений невозможно было восстановить, поскольку Вензор еще и удалил основные системные файлы, критически важные для запуска. Кроме того, он заблокировал учетные записи своих коллег, изменив их пароли. В результате Lucchese Bootmaker обратилась за помощью к сторонним специалистам. Сервер восстановили, но компания потратила несколько недель, чтобы наверстать упущенные заказы и разогнать производство. Вензору же на всю процедуру потребовалось около 45 минут.

Как вычислили преступника

Вычислить злоумышленника помогло то, что он плохо замел следы. Поскольку увольнение Вензора сразу же связали с атакой, компания и правоохранительные органы решили проверить его рабочий аккаунт. Там они обнаружили текстовый файл, в котором хранилась коллекция логинов и паролей сотрудников Lucchese Bootmaker. Этот файл был отправлен сисадмином с рабочей почты на личную.

Порядок, в котором были перечислены логины и пароли в документе Вензора, совпадал с порядком, в котором неизвестный злоумышленник менял пароли во время атаки. Кроме того, потайной аккаунт elplaser использовался преступником и ранее. Со стороны он выглядел как офисный лазерный принтер. Записи указывали та то, что вход в elplaser осуществлялся с рабочего компьютера Вензора, защищенного паролем. ИТ-отдел заблокировал потайной аккаунт, чтобы избежать дальнейших проникновений.