如果说网络安全领域有一种最难防、最令人头疼的威胁,那可能不是勒索病毒或APT组织,而是了解你内部架构的前员工。
2021年5月发生在美国的一起真实案例,直到最近才随法院审理而完全曝光:一家业务覆盖全美的大型企业,在几分钟内被打回“未激活状态”,直接经济损失超过86.2万美元(约合人民币613万元),并触发了严重的业务连续性危机。
而这一切的始作俑者,仅是一名被解雇的IT外包人员。
外包被解雇后,轻松重返内网
根据美国司法部公开的文件,这名IT外包人员名为Maxwell Schultz,现年35岁,来自俄亥俄州。他曾作为合约工,为一家大型企业的IT部门提供技术支持。尽管司法部未直接点名,但多家媒体推断,受害企业正是美国废物管理巨头Waste Management。
2021年5月14日,时年31岁的Schultz被解除合约,其账号权限也按流程被撤销。理论上,故事到此就该结束。然而,现实中的企业安全管理往往存在盲区。
在大型组织中,权限回收流程通常依赖人工操作,跨部门沟通复杂,执行极易出错,外包人员的权限控制更是众所周知的薄弱环节。一旦流程执行不彻底,或身份验证机制存在疏漏,熟悉内情的攻击者便能轻易重返网络——Maxwell Schultz正是钻了这个空子。
被解雇后不久,他利用对内部系统架构的熟悉,冒充另一名外包人员,成功套取了新的网络登录凭证,重新进入了公司网络。
一条PowerShell脚本,引发大规模“账号失效”
重新潜入系统后,Schultz没有进行复杂的渗透测试或部署恶意软件,而是选择了一种更为直接和暴力的方式:运行一段自己编写的PowerShell脚本。
这段脚本的功能简单却致命:一键重置了公司范围内约2500个账号的密码。脚本执行后,Waste Management全公司瞬间陷入瘫痪:
- 所有员工与外包人员的电脑被强制踢下线;
- 任何登录尝试均告失败;
- 从客户服务部门到现场运维团队,所有依赖内部系统的业务流程瞬间停摆。
可以想象,这对于一家业务遍布全美的大型企业意味着什么——几行PowerShell代码就导致了全国性业务的连续性中断。
为了掩盖行迹,Schultz事后还上网搜索了如何删除系统日志,并成功清除了多条PowerShell事件记录。虽然未能完全抹去所有痕迹,但这大大增加了事后取证的难度。
员工停工、客服中断,企业损失超86万美元
司法部公布的信息显示,此次攻击造成的直接损失超过86.2万美元,主要来自三个方面:
(1)大规模员工停工:数千名员工无法登录电脑开展工作,但企业每日支付的薪酬成本并未停止。
(2)客户服务体系瘫痪:Waste Management的客服体系高度依赖内部工单与处理系统,密码被重置后,客服人员无法访问后台,导致服务全面中断。
(3)高昂的恢复成本:这包括重新建立账号、恢复系统、梳理日志、排查潜在额外破坏等一系列技术工作。对于IT团队而言,这种大规模的权限恢复往往意味着数日甚至数周的紧急加班。
以上还仅是直接经济损失,尚未计算公司声誉受损、合同履约延误等难以估量的长期成本。一位参与事件调查的工程师事后感叹:“这是普通技术人员想不到的攻击方式,但对于熟悉内部结构的人来说,它简单得令人后怕。”
动机单纯:“被开除而不爽”
面对调查,Maxwell Schultz坦白了他的动机:“因为被解雇而不爽。”是的,他并非为了勒索钱财,也非受人指使,没有复杂的攻击链规划,纯粹是为了泄愤。
目前,该案已移交美国联邦地区法院,预计将于2026年1月30日宣判。Schultz将面临最高10年联邦监禁及25万美元罚款的严厉刑罚。
网络安全专家指出,这类因不满被解雇而发起的“内鬼攻击”正在快速增加,尤其在能源、科技等广泛依赖外包且外包人员权限较高的行业。美国网络安全与基础设施安全局也曾多次提醒企业,必须对前员工及前外包人员的权限回收给予极度重视。
类似的内部威胁事件其实层出不穷。例如,某大型加密货币交易所曾因内部员工勾结黑客导致巨额损失;亦有银行因前员工窃取数据致使近70万用户信息泄露。
你能说这些公司的安全机制不完善吗?实际上,多数企业都会在防火墙、入侵检测、勒索软件防护上投入重金,却往往忽略了“人”的因素——尤其是那些曾拥有高权限、深谙内部流程、清楚知道系统弱点的工程师。当他们情绪失控,往往只需最简单的方式,就能造成最严重的后果。
这起事件为企业安全敲响了警钟,也值得每一位技术管理者深思。对于更多安全技术讨论与实践分享,欢迎关注云栈社区的相关板块。
发表于 8 小时前
|
查看: 3|
回复: 0
