Уволенный программист приговорен к 4 годам тюрьмы за саботаж систем компании

leer en español

Дэвис Лу Минюст США ФБР инсайдерская угроза Active Directory вредоносный код саботаж Kill Switch
Уволенный программист приговорен к 4 годам тюрьмы за саботаж систем компании
Дэвис Лу Минюст США ФБР инсайдерская угроза Active Directory вредоносный код саботаж Kill Switch

Как федеральный суд наказал Дэвиса Лу за его хитроумный Kill Switch?

image

Бывший сотрудник компании был осуждён за преднамеренную цифровую диверсию против своего работодателя. Министерство юстиции США сообщило , что 55-летний Дэвис Лу, гражданин Китая, проживающий в Хьюстоне, получил четыре года тюрьмы и три года надзора после освобождения. Суд признал его виновным в умышленном нанесении ущерба охраняемым компьютерам, что привело к многомесячным перебоям и финансовым потерям в сотни тысяч долларов.

По материалам дела, Лу с 2007 по 2019 год работал программистом в компании из Огайо. После внутренней реорганизации его обязанности и доступ к системам были сокращены, что стало переломным моментом. В августе 2019 года он внедрил в исходный код вредоносные фрагменты, вызывавшие сбои серверов и блокировку входа пользователей. Для этого он использовал бесконечные циклы с постоянным созданием новых Java-потоков без завершения, что приводило к краху служб.

Также он удалял профили коллег и внедрил так называемый «аварийный выключатель», автоматически активировавшийся при блокировке его учётной записи в Active Directory. Этот механизм был назван им «IsDLEnabledinAD» — сокращение от «Is Davis Lu enabled in Active Directory». После того как его отправили в административный отпуск 9 сентября 2019 года и потребовали сдать ноутбук, код сработал и парализовал доступ тысяч сотрудников по всему миру.

Часть добавленных им компонентов имела символические названия: «Hakai» — японское слово «разрушение» и «HunShui» — китайское «сон» или «вялость». В день сдачи техники Лу дополнительно удалил зашифрованные тома, попытался стереть каталоги Linux и ещё два проекта. Его поисковые запросы в интернете подтвердили, что он изучал способы повышения привилегий, скрытия процессов и удаления файлов, стараясь осложнить восстановление инфраструктуры. Следствие пришло к выводу, что эти шаги были направлены на максимальное затруднение устранения последствий атаки.

Действия Лу не только дестабилизировали ключевые сервисы, но и нанесли компании ощутимый экономический ущерб. Представители ФБР отметили, что инцидент подчёркивает необходимость выявления угроз, исходящих изнутри организаций, ещё до того, как они перерастут в катастрофу. Министерство юстиции назвало поступок Лу злоупотреблением доверием и примером того, как техническая компетентность при неправильном применении превращается в инструмент разрушения.