如果说网络攻击中有一种最难防范、最令人头疼的威胁,那或许不是勒索病毒或高级持续性威胁(APT),而是来自内部,特别是那些心怀不满的前员工或外包人员。
2021年5月发生在美国休斯敦的一起内部攻击事件,近期随着法院审理的推进而曝光。一家业务覆盖全美的大型企业,在短短几分钟内,其内部系统被打回“未激活”状态,造成直接经济损失超过86.2万美元(约合人民币613万元),并引发严重的业务连续性危机。而事件的实施者,仅是一名被解雇的IT外包人员。
权限回收流程失效,被裁外包轻易重返内网
根据美国司法部(DOJ)披露的文件,这名IT外包人员名为Maxwell Schultz,现年35岁。2021年5月14日,时年31岁的他因故被服务公司解除合约,其账号权限也按流程被撤销。
然而,现实中的企业安全管理与权限回收流程往往存在漏洞。尤其是在处理外包人员权限时,依赖人工、跨部门沟通的流程极易出现疏漏,未能彻底清除其在各系统中的访问凭证。Schultz正是利用了这一点。被解雇后不久,他凭借对内部系统的熟悉,冒充另一名外包人员,成功获取了新的网络登录凭证,重新潜入公司网络。
一条PowerShell脚本,瘫痪全国业务运营
重新进入系统后,Schultz并未进行复杂的横向移动或数据窃取,而是采取了一种更为直接、影响范围更广的攻击方式。他运行了一段自己编写的PowerShell脚本,该脚本调用Windows企业环境中常见的命令行接口,一键重置了公司内部约2500个用户账号的密码。
脚本执行后,产生了灾难性后果:
- 所有员工与外包人员的电脑被强制踢下线。
- 任何登录内部系统的尝试均告失败。
- 从客户服务中心到全国各地的现场运维团队,所有依赖内部系统的工作流程瞬间中断。
对于一家业务遍布全国的大型企业而言,这意味着核心运营的全面冻结。而这一切,仅仅源于几行脚本命令。为了掩盖行迹,Schultz事后还尝试搜索并删除了部分系统日志,增加了事后取证的难度。
攻击造成的经济损失与业务影响
司法部估算,此次攻击造成的直接损失高达86.2万美元,主要构成如下:
- 生产力损失:数千名员工因无法登录系统而停工,但企业仍需支付薪资。
- 客户服务中断:高度依赖后台工单系统的客服体系陷入瘫痪,导致客户请求无法处理。
- 应急恢复成本:IT团队需要投入大量人力进行账号恢复、系统排查和安全加固,这项工作往往持续数日。
这还不包括企业声誉受损、合同履行延误等潜在的长期间接损失。有参与事件调查的工程师表示,这种攻击方式技术门槛不高,但对于熟知内情的内部人员而言,破坏力极其惊人。
攻击动机与行业警示
调查显示,Schultz的动机非常简单:对遭到解雇感到不满,并以此进行报复。目前该案已移交联邦地区法院,预计将于2026年1月宣判,Schultz可能面临最高10年监禁和25万美元罚款。
这起事件是典型的“内部威胁”案例。网络安全专家指出,此类因劳务纠纷引发的内部攻击正在增多,尤其在大量依赖外包且权限管理粗放的行业,如科技、能源等领域。攻击者通常无需高深技术,仅凭对内部弱点的了解和一时的情绪冲动,就能造成巨大破坏。
此前,类似事件也时有发生,例如加密货币交易所的内鬼勾结黑客、银行前员工窃取用户数据等。这些案例共同揭示了一个安全盲区:许多企业将防护重点置于边界防火墙和外部威胁,却忽视了从身份验证到权限回收整个生命周期的内部访问控制。对于曾拥有高权限的离职人员,其权限的彻底、及时清理,必须被视为安全运维的关键一环。 | 
发表于 4 天前
|
查看: 15|
回复: 0
