Lorsqu’un employé de Demoti se venge de l’entreprise Eaton Corp
10 mins read

Lorsqu’un employé de Demoti se venge de l’entreprise Eaton Corp

98uy7jhn540Tagged , , , , , ,


Table des matières

La cybersécurité est souvent perçue comme une race contre les menaces externes: pirates, cybercriminels, groupes de cyberespionnage, etc. Cependant, certaines des attaques les plus destructrices viennent de l’intérieur, c’est-à-dire des employés eux-mêmes. Le boîtier de sabotage informatique au sein de la société Eaton Corp est une illustration parfaite.

Un employé frustré qui prend des mesures

Davis Lu, ancien employé de la société Eaton Corp, a été reconnu coupable d’avoir saboté les systèmes informatiques de l’entreprise après avoir été démodé. Après 12 ans de service, dont 10 en tant que développeur, il a été monté en grade pour devenir un développeur principal sur l’un des nouveaux systèmes de l’entreprise. Cependant, après une restructuration interne, il a perdu ce statut tout en continuant à travailler sur le même projet.

Plutôt que d’accepter la situation, il a rapidement préparé sa vengeance. En seulement trois jours, il a inséré du code malveillant dans le système, créant une boucle infinie qui a généré en continu de nouveaux fils sans jamais les terminer. Conséquence? L’épuisement des ressources du serveur, provoquant une ventilation généralisée et un véritable déni du service interne (retour).

Une attaque mal cachée

Le sabotage a commencé à se manifester en moins d’une semaine, ce qui a rapidement attiré l’attention des responsables techniques de l’entreprise. En enquêtant sur l’incident, ils ont remarqué que la mise à jour défaillante provenait du compte utilisateur de Davis Lu et avait été déployée à partir de son propre ordinateur.

Pire, il était le seul à avoir accès au serveur de développement situé dans le Kentucky. Il a non seulement implanté des logiciels malveillants, mais il a également supprimé des profils de collègues et mis en place un “Dead Man Switch” dans le Active Directory de la société. Ce système a automatiquement verrouillé l’accès à tous les employés si ses propres identifiants étaient supprimés. Un véritable coup de maître … sauf que son exécution était loin d’être discrète.

Le “Kill Switch” – baptisé Dl_enabled_in_ad (Davis Lu a activé dans Active Directory) – a attribué des milliers d’utilisateurs à travers le monde et a généré des pertes estimées à plusieurs centaines de milliers de dollars pour la société.

Noms du programme évocateur

Si ce premier acte de sabotage était déjà sérieux, Davis Lu ne s’est pas arrêté là. Il a déployé deux autres programmes malveillants avec des noms très révélateurs: Il ne fait pas (“Destruction” en japonais) et Hunshhui (“sommeil” en chinois). Bien que les documents judiciaires ne détaillent pas leurs effets, il est soupçonné que Hakai était une variante du botnet Mirai opérant une faute de ThinkPhp.

En plus de cela, l’histoire de la recherche de Lu a montré qu’il s’était renseigné sur diverses techniques de piratage, telles que les privilèges d’escalade, la suppression massive des fichiers et la dissimulation de processus.

Un sabotage mal préparé

Comparez cette attaque à celle du projet Xzoù les cybercriminels ont infiltré un projet open source sur plusieurs années avant d’insertion discrètement d’une porte dérobée. Contrairement à ces attaquants organisés, Davis Lu a commis plusieurs erreurs qui ont rapidement conduit à son arrestation:

  1. Il a signé ses attaques : Utiliser votre propre identifiant et nommer votre script avec ses initiales est l’erreur d’un débutant.
  2. Il agit trop vite : Un bon sabotage d’ordinateur prend du temps. Il aurait pu créer un ralentissement progressif ou rendre le code de plus en plus obscur.
  3. Il a fait ses recherches sur un appareil supervisé : Les entreprises enregistrent souvent toutes les activités menées sur leurs machines. La documentation sur les techniques de piratage sur votre propre ordinateur professionnel était une faute évidente.
  4. Il n’a pas correctement effacé ses traces : Même s’il tentait d’effacer les volumes quantifiés de son ordinateur après son licenciement, les journaux tenus sur les serveurs de l’entreprise l’ont trahi.

Les conséquences judiciaires

Arrêté et jugé, Davis Lu a été reconnu coupable et encourt jusqu’à 10 ans de prison. Il aurait pu éviter cette peine en acceptant un plaidoyer de culpabilité, mais il a choisi de se battre devant le tribunal. Malheureusement, confronté à des preuves écrasantes, sa condamnation était inévitable.Utilisé pour le sabotage

Cette histoire met en évidence un point essentiel de la cybersécurité: Les menaces internes sont souvent sous-estimées. Un employé frustré, avec des connaissances techniques, peut causer beaucoup plus de dégâts qu’une attaque externe. Le cas de Davis Lu est loin d’être isolé. Il illustre parfaitement comment un employé malheureux peut utiliser son accès aux systèmes. Mais quels sont les autres types de menaces internes?

Menaces internes: un danger omniprésent dans le monde informatique

Qu’est-ce qu’une menace interne?

Une menace interne peut prendre plusieurs formes:

  • Un employé malheureux Qui cherche à se venger après un licenciement ou une rétrogradation (comme Davis le lit dans notre histoire).
  • Un employé néglige Qui, par accident, laisse fuir des informations sensibles ou installe des logiciels malveillants sans le savoir.
  • Un espion industriel qui profite de son accès aux données pour les revendre à un concurrent.
  • Un administrateur système corrompu ce qui abuse de ses privilèges pour surveiller l’accès ou l’exfiltrage des données confidentielles.

Contrairement aux cybercriminels externes, ces individus n’ont pas besoin de forcer la porte: ils ont déjà la clé. Ils connaissent les systèmes, les procédures et parfois même les défauts internes que personne d’autre ne peut exploiter.

L’impact des menaces internes

Les attaques internes peuvent être beaucoup plus chères que les cyberattaques conventionnelles. Selon une étude de Institut PonmonLes menaces internes coûtent en moyenne plus de 11 millions de dollars par an Aux entreprises, un chiffre en constante augmentation. L’une des raisons est simple: Ces attaques sont plus difficiles à détecter et souvent plus dévastatrices.

Prenez une analogie: imaginez une banque ultra-sécurisée avec des portes blindées et des caméras partout. Imaginez maintenant que le voleur est en fait un employé qui a accès à la salle de poitrine et qui sait comment désactiver l’alarme. C’est exactement ce qui se passe avec les menaces internes.

Une attaque bien dirigée par un employé malveillant peut:

  • Paralyser Et provoquer des pertes financières directes (pannes, ransomwares internes, sabotage de base de données).
  • Voler des informations sensibles et présenter des données clients ou des secrets industriels.
  • Compromettre la réputation de l’entreprisequi peuvent avoir des conséquences à long terme beaucoup plus graves.

Cas célèbres de menaces internes

L’histoire de Davis Lu n’est pas un cas isolé. Voici quelques exemples célèbres:

ðÿ ”´ Tesla (2023): une fuite de données massives par deux anciens employésDeux anciens employés de Tesla divulgués aux médias étrangers Informations personnelles de plus de 75 000 employésainsi que Secrets de fabrication et Données de la banque client. L’impact sur la réputation de Tesla a été significatif.

ðÿ ”´ Yahoo (2022): Un employé vole des secrets industriels avant de rejoindre un concurrent
Quelques minutes après avoir reçu une offre d’emploi à Le commerce, Qian a chantéchercheur à Yahoo, copié 570 000 pages de données confidentielles lié à l’algorithme publicitaire de l’entreprise. Yahoo a provoqué trois procédures judiciaires contre lui pour Vol de propriété intellectuelle.

ðÿ ”´ Stradis Healthcare (2020): Sabotage d’un employé sous licence en pandémie complète
Après son licenciement, Christopher DobbinsL’ancien vice-président de Stradis Healthcare, a utilisé un compte caché verser Supprimer les données critiques Expéditions d’équipements médicaux, retardant les livraisons essentielles aux hôpitaux. Il a été arrêté et condamné à 12 mois de prison.

Pourquoi ces menaces sont-elles difficiles à prévenir?

Contrairement aux attaques externes, les entreprises ne peut pas simplement bloquer toutes les connexions de l’intérieur. Ils doivent faire confiance à leurs employés pour faire leur travail. Cela crée un dilemme: comment protéger les systèmes sans tomber dans la paranoïa et réduire la productivité?

Certaines stratégies peuvent aider:

  1. Principe du moins privilège : Un employé ne devrait pas avoir accès que aux ressources dont il a vraiment besoin.
  2. Surveillance et détection comportementales : L’IA et l’apprentissage automatique peuvent identifier le comportement suspect (accès inhabituel, modifications dans les fichiers critiques) qui peuvent être des signes de menaces internes.
  3. Segmentation d’accès : Éviter qu’un individu puisse causer des dommages majeurs Distribution des responsabilités.
  4. Gestion stricte des départs et des déclarations : Surveillez toujours l’activité d’un employé juste avant et après une annonce importante (licenciement, rétrogradation).

Conclusion: un danger sous-estimé mais évitable

Les menaces internes sont L’un des risques les plus sous-estimés de la cybersécuritéMais avec des mesures appropriées, il est possible de réduire leur impact.

Et vous, avez-vous déjà rencontré ou entendu parler de cas similaires de menaces internes dans les affaires? Comment pensez-vous que les entreprises devraient gérer ce type de risque? Partagez votre opinion dans les commentaires!





Hosting

Leave a Reply

Your email address will not be published. Required fields are marked *

Website https://marplewebsitehosting.co.uk

Related Posts