Спецпроекты

Безопасность Стратегия безопасности Госрегулирование Бизнес Кадры

Обиженный сисадмин уничтожил ИТ-систему компании за то, что к нему не прислушивались

ИТ-администратор удалил все финансовые данные с двух серверов своей компании. Ранее он многократно обращался к руководству с просьбой закрыть бреши в безопасности компьютерной сети, которые он выявил, но его раз за разом игнорировали. В результате взлома компания понесла крупные убытки, многим ее сотрудникам задержали зарплату, а сам хакер получил семь лет тюрьмы.

Семь лет за удачный взлом

ИТ-специалист Хань Бин (Han Bing), работавший на китайского гиганта по операциям с недвижимостью Lianjia попал в тюрьму за удаление баз данных своего работодателя, пишет Bleeping Computer. Его приговорили к семи годам заключения за несанкционированное проникновение в сеть Lianjia, уничтожение информации и саботирование работы компании.

По информации следствия, свой проступок Хань Бин совершил в июне 2018 г. Он воспользовался своим служебным положением, вошел в сеть с паролем суперпользователя (root), после чего удалил всю информацию с жестких дисков внутри двух серверов Lianjia, входивших в финансовую систему компании. На первом сервере хранились базы данных, на втором – необходимые приложения.

Последствия действия Хань Бина были незамедлительными – значительная часть операций компании была парализована, а поскольку он «покопался» в финансовом сегменте ИТ-системы, компания Lianjia не смогла вовремя выплатить зарплату своим сотрудникам. Таким образом, пытаясь насолить компании, Хань Бин подставил еще и своих коллег. В дополнение к этому Lianjia пришлось потратиться на восстановление удаленных им данных. Расходы на это составили в пределах $30 тыс.

У всего есть свои причины

На 16 мая 2022 г. не было достоверно известно, что побудило Хань Бина взломать сеть своего работодателя и освободить несколько винчестеров от корпоративной информации. Однако, по данным следствия, он неоднократно пытался достучаться до руководства и сообщить ему о пробелах в безопасности финансовой системы компании.

ar600.jpg
Взлом систем с собственного компьютера почти всегда чреват арестом

ИТ-администратор рассылал письма руководству другим специалистам ИТ-отдела, в которых выражал обеспокоенность сложившейся ситуацией. Однако вместо каких-либо действий по улучшению безопасности системы руководство попросту игнорировало Хань Бина и все его письма. Как пишет Bleeping Computer, руководители его отдела никогда не одобряли проект безопасности, который он предлагал запустить.

Это было подтверждено показаниями директора по этике в Lianjia. Он сообщил суду, что Хань Бин считал, будто его организационные предложения не ценятся, и часто вступал в споры со своими руководителями.

Таким образом, нельзя исключать, что действия Хань Бина были лишь попыткой наглядно доказать свою правоту. Или же это был акт мести за игнорирование со стороны руководства.

Все тайное становится явным

Ущерб от действий Хань Бина не ограничился задержкой зарплаты и восстановлением данных за $30 тыс. Точный размер потерь не сообщается, но Lianjia – это крупная компания в сфере недвижимости. Сеть компании насчитывает тысячи офисов, в которых работают свыше 120 тыс. брокеров. Кроме того, в ее распоряжении есть 51 дочерняя компания, плюс ее собственная рыночная стоимость оценивается в $6 млрд.

Согласно судебным документам, Хань Бин был одним из пяти главных подозреваемых в деле об удалении данных. Администратор сразу же вызвал подозрения, поскольку отказался сообщить следователям компании пароль от своего ноутбука.

По его утверждению, на ноутбуке были его личные данные. Он согласился предоставить пароль исключительно представителям госорганов, но не сделал исключение для следователей. Вместо этого он сам ввел его и присутствовал на всех проверках.

Со слов следователей, то, что натворил в сети Lianjia взломщик, гарантированно не оставило бы следов на компьютере. Поэтому они провели проверку с одной лишь целью – изучить реакцию подозреваемых.

В ходе расследования технические специалисты извлекли журналы доступа с серверов и отследили активность до внутренних IP-адресов и MAC-адресов. Инспекторы даже извлекли журналы подключений Wi-Fi и временные метки и в конечном итоге подтвердили свои подозрения, сопоставив их с записями с камер видеонаблюдения.

Окончательная оценка нанятого судебного эксперта заключалась в том, что Бинь использовал команды «shred» и «rm» для очистки баз данных. Команда rm удаляет символические ссылки файлов, в то время как shred трижды перезаписывает данные несколькими шаблонами, после чего они становятся невосстановимыми.

ИТ-специалистов лучше не злить

Сотрудник ИТ-отдела может принести компании массу неприятностей, если руководство так или иначе перейдет ему дорогу. Примеров, доказывающих это, масса. Об одном из таких стало известно в октябре 2021 г. – 29-летний системный администратор из Британии годами мстил своим работодателям за увольнение путем взлома их сетей. В числе пострадавших оказалась школа, в результате действий хакера потерявшая всю информацию и лишившаяся возможности учить детей в удаленном режиме.

В сентябре 2021 г. бывшая сотрудница кредитного учреждения из Нью-Йорка (США) отомстила своим руководителям за свое увольнение, удалив более 21,3 ГБ документов. Она влезла на сервер бывшего работодателя и удалила там множество заявок на ипотечные кредиты, а заодно ПО для защиты от шифровальщиков.

В конце марта 2021 г. выяснилось, что экс-сотрудник американской ИТ-консалтинговой компании Дипаншу Кхер (Deepanshu Kher) взломал сеть компании-клиента, повлиявшей на его увольнение, и удалил 1200 учетных записей в Microsoft 365 из 1500. Это полностью парализовало работу компании. На восстановление данных ушло $600 тыс. и три недели.

Подобные случаи нередки не только за границей. В марте 2018 г. CNews освещал инцидент в туристической фирме из Санкт-Петербурга. Ее сотрудник не смог смириться с увольнением и уничтожил базу данных компании, в которой хранилась информация для доступа работников в офис.

Мотивом киберпреступника стал его конфликт с руководителем ИТ-отдела. Сам инцидент произошел 14 февраля 2017 г. Для уничтожения базы данных он использовал свой ПК, откуда имелся доступ к серверу компании, где хранилась база. Против него было заведено уголовное дело, расследованием которого занялось ГУ МВД России по Санкт-Петербургу и Ленобласти. Хакеру грозило до четырех лет лишения свободы.

Короткая ссылка