Davis Lu a caché une « bombe logique » dans le réseau de son employeur qui a supprimé les profils Active Directory d’autres employés lorsque son identifiant a été révoqué.
Un développeur de logiciels qui a lancé des bombes logiques perturbatrices dans le réseau de son employeur en tant qu’acte de vengeance a été condamnée à quatre ans de prison par un tribunal de l’Ohio.
Selon le département américain de la Justice, le ressortissant chinois de 55 ans Davis Lu était mécontent qu’une réorganisation de 2018 de la société de fabrication électrique Eaton Corporation ait abouti à sa rétrogradation du développeur principal.
En réponse, en 2019, Lu a commencé à saboter les systèmes de l’entreprise depuis l’utilisation de routines malveillantes cachées. Le premier, une «boucle infinie», exécutée le 4 août, provoquant constamment de nouveaux threads Java en constante évolution jusqu’à ce que les serveurs de production soient accrochés ou écrasés de l’épuisement des ressources.
De plus, Lu a caché une deuxième attaque qui a interrogé la base de données Windows Active Directory (AD) de la société pour vérifier si son profil de compte était actif. Si ce n’était pas le cas – une condition s’est réunie lorsque l’accès et l’emploi du réseau de LU ont finalement été suspendus le 9 septembre – le code «Kill Switch» a été automatiquement exécuté pour supprimer les profils des autres utilisateurs d’annonces, les verrouillant du réseau.
Finalement, les journaux ont révélé que la perturbation avait été exécutée par l’ID utilisateur de Lu à partir d’un ordinateur situé dans le Kentucky.
«L’accusé a violé la confiance de son employeur en utilisant son accès et ses connaissances techniques pour saboter les réseaux de l’entreprise, faire des ravages et causer des centaines de milliers de dollars en pertes pour une entreprise américaine», a déclaré Matthew R. Galeotti de la division pénale du ministère de la Justice.
« Cependant, le savoir-faire technique et le subterfuge technique de l’accusé ne l’ont pas sauvé des conséquences de ses actions », a-t-il ajouté.
Voir ce que j’ai fait
Un aspect étrange de l’affaire est que L, semble avoir fait peu d’efforts pour cacher des preuves de sa planification et de ses actions, et a presque décidé d’annoncer son implication par dépit, ce qui a conduit à sa reconnaissance coupable par un jury en mars.
Un exemple est le nom qu’il a donné le code de commutateur AD Kill, «IsdleNabledInad», qui a abrégé l’expression «Davis Lu est-il activé dans Active Directory?»
Lu doit également savoir que l’une des premières places, les procureurs chercheraient des preuves serait ses recherches sur Internet. Ceux-ci ont révélé qu’il avait «des méthodes recherchées pour intensifier les privilèges, masquer les processus et supprimer rapidement des fichiers, indiquant une intention d’obstruction aux efforts de ses collègues pour résoudre les perturbations du système», a déclaré le ministère de la Justice.
Au moment où Lu a été invité à remettre son ordinateur portable de l’entreprise en septembre 2019, il a dû réaliser que le jeu était en place. Sa réponse a été de supprimer les volumes cryptés de la machine tout en essayant de supprimer deux projets plus les répertoires Linux. Selon l’acte d’accusation de la cour de LU, il a finalement admis la responsabilité de l’attaque le 7 octobre 2019.
Loups solitaires
C’est l’attaque que chaque entreprise craint encore plus que des pirates ou une violation de données: un initié avec des compétences et des connaissances qui décident de devenir voyous.
Bien que de telles attaques restent des exceptions, celles qui viennent à l’attention du public dans les affaires judiciaires font toujours une lecture stressante. Le défi est que les développeurs et les administrateurs doivent avoir un certain degré de privilèges pour faire leur travail. Cela rend intrinsèquement difficile de distinguer l’accès légitime avec un loup solitaire sur le déchaînement avant les dommages.
L’affaire souligne la nécessité de limiter les privilèges de l’administration et d’utiliser la surveillance de la journalisation pour surveiller l’accès aux tendances suspectes. Si quelque chose d’étrange est détecté, quelqu’un doit être à portée de main le plus rapidement possible. La présence simple de ces contrôles peut également agir comme un moyen de dissuasion.
Les choses ont cependant énormément changé au cours de la dernière décennie. Prenez le cas de Terry Childs, l’administrateur du réseau de San Francisco qui a refusé de remettre des mots de passe administratifs au système Fiberwan de la ville, niant l’organisation Admin Control pendant 12 jours en 2008. Sa justification? Il était le seul à savoir comment administrer correctement le système.
Alors que certains dans le monde sysadmin ont exprimé leur sympathie pour Childs, l’idée qu’un employé devrait avoir un accès unique à tout système serait expulsé très rapidement aujourd’hui. Bénéré coupable en 2010, Childs a été condamné à quatre ans de prison et condamné à verser une restitution de 1,5 million de dollars.
Néanmoins, des exemples d’abus surgissent toujours. Un exemple récent effronté est le cas de Nickolas Sharp, un administrateur bien rémunéré pour Ubiquiti Networks, qui, en 2020, a volé des données à son entreprise, a tenté d’impliquer d’autres employés pour le vol, puis a prolongé l’entreprise pour 2 millions de dollars pour retourner les données – tout en menant censément effectuer une réparation d’attaque.
