Поделиться
Уволенный программист сломал сервер работодателя цифровой «бомбой замедленного действия». Посадили на четыре года
Опытный разработчик ПО, сперва пониженный в должности, а потом и вовсе уволенный компанией Eaton, в отместку «положил» сеть организации при помощи заранее заготовленного вируса. В ходе подготовки к акту саботажа неумелый киберпреступник неслабо наследил и после срабатывания «бомбы замедленного действия» был очень быстро пойман ФБР. Следующие четыре года он проведет за решеткой, после чего еще три года будет находиться под присмотром властей.Предательство программиста
Программист, ранее трудившийся в американской машиностроительной компании Eaton, приговорен к четырем годам лишения свободы за внедрение вредоносного ПО в компьютерную сеть бывшего работодателя, пишет The Register.
Карьера 55-летнего Дэвиса Лу (Davis Lu) в Eaton продолжалась более 10 лет – с 2007 по 2019 г. На ее пике Лу занимал должность старшего программиста (сеньора) в области развивающихся технологий. В 2018 г. компания провела реструктуризацию, в результате которой Лу был понижен в должности. Осознав, что в Eaton его не слишком ценят и, возможно, в будущем просто уволят, разработчик решил заблаговременно подготовиться и обеспечить себе возможность отомстить за возможное несправедливое увольнение.
Для этого Лу внедрил на сервер Eaton «рубильник» – программу, которая в случае утраты им доступа к сети организации лишила бы его и всех остальных сотрудников. Код программы был написан на языке Java и занимался тем, что порождал все новые и новые потоки в бесконечном цикле. Такая программа, в представлении Лу, при выполнении на протяжении довольно длительного промежутка времени должна была поглотить все свободные ресурсы сервера и привести к его зависанию.
«Обвиняемый подорвал доверие своего работодателя, используя свой доступ и технические знания для саботажа сетей компании, посеяв хаос и нанеся ущерб американской компании в сотни тысяч долларов, – заявил в разговоре с The Register исполняющий обязанности помощника генерального прокурора Мэтью Галеотти (Matthew Galeotti), Министерство юстиции США. – Однако техническая подкованность и ухищрения обвиняемого не спасли его от последствий его действий».
Дилетантский подход
В высоком уровне технической подкованности Лу можно усомниться – во всяком случае в том, что касается заметания следов киберпреступлений. В качестве иллюстрации небрежности программиста можно привести тот факт, что свой вирус он назвал “IsDLEnableinAD”. Это аббревиатура фразы “Is Davis Lu enabled in Active Directory” («Активен ли Дэвис Лу в Active Directory»), благодаря которой можно моментально установить ее автора и механизм активации.
Кроме того, готовую программу Лу загрузил на сервер с использованием собственной корпоративной учетной записи.
Программа вела мониторинг статуса учетной записи Лу в службе каталогов Microsoft Active Directory и ожидала его изменения “Disabled” («Отключена»).
Вирус в действии
В сентябре 2019 г. Eaton уволила Лу и отключила его корпоративную учетную запись, в результате чего программа «ожила» и ожидаемо привела к сбою в работе сервера, из-за которого тысячи сотрудников компании по всему миру не могли попасть в свои рабочие аккаунты, а также были утрачены некоторые данные.
Уже после инцидента Лу вернул компании находившийся до этого в его распоряжении ноутбук, по итогам анализа содержимого которого выяснилось, что устройство применялось в подготовке «плана мести». История поиска в интернете показала, что теперь уже бывший программист Eaton интересовался техниками повышения привилегий в системе и сокрытия следов присутствия в ней.
Расплата
Менее чем через месяц после срабатывания «рубильника» Лу был арестован Федеральным бюро расследований (ФБР). Он признал свою вину, но попросил суда присяжных, видимо, рассчитывая на снисхождение. Это план также не сработал – в марте 2025 г. коллегия присяжных признала его виновным в умышленном нанесении ущерба защищенной вычислительной машине.
В четверг, 21 августа 2025 г., суд приговорил Лу к четырем годам заключения в федеральной тюрьме, после отбывания которых он на протяжении еще трех лет будет находиться под наблюдением правоохранительных органов.
Оскорбленный инсайдер – серьезная угроза ИБ
Как отмечает The Register, инсайдеры способны нанести колоссальный урон бизнесу. В случае недостаточной эффективности внутрикорпоративной политики безопасности практически любые инструменты защиты могут оказаться бессильными, если этими инструментами управляет сотрудник, неожиданно вышедший из-под контроля.
В августе 2024 г. CNews писал о том, что бывший администратор американской корпорации заблокировал несколько сотен серверов с целью выманить у экс-работодателя крупный выкуп. Он хорошо подготовился – чтобы его затея выгорела, он сначала сбросил пароли учетных записей администраторов, чтобы те ему не помешали. Но до конца реализовать план не удалось – вымогателя поймали.
В октябре 2021 г. CNews писал о 29-летнем системном администраторе из Британии, который мстил своим работодателям за увольнение путем взлома их сетей. В числе пострадавших оказалась школа, в результате действий хакера потерявшая всю информацию и лишившаяся возможности учить детей в удаленном режиме.
Короткая ссылка
