GeekAlerts

جایی برای گیک‌ها

تیم گیک‌آلرتس نیم‌رخ
تیم گیک‌آلرتس

ساخت کلید مرگ توسط کارمند اخراجی شرکت ایتون

ساخت کلید مرگ توسط کارمند اخراجی شرکت ایتون

خلاصه

  • دیویس لو، برنامه‌نویس سابق شرکت ایتون، بعد از اینکه جایگاه شغلیش عوض شد و دسترسی‌هاش کم شد، ناراضی شد.
  • اون یک «کلید مرگ» نرم‌افزاری توی سیستم شرکت کاشت که اگه حساب کاربری خودش غیرفعال می‌شد، کل شبکه از کار می‌افتاد.
  • این کلید مرگ، یه کد جاوا بود که بی‌وقفه «thread» های جدید می‌ساخت و سرورها رو فلج می‌کرد.
  • وقتی لو اخراج شد، کلید مرگ فعال شد و چند صد هزار دلار به شرکت خسارت زد و کارمندا نتونستن وارد سیستم بشن.
  • اف‌بی‌آی از روی لپ‌تاپ و جستجوهای اینترنتی لو، پیداش کرد و کمتر از یک ماه دستگیرش کردن.
  • لو اول اعتراف کرد اما بعد خواست پرونده‌ش بره دادگاه؛ هیئت منصفه اونو مجرم شناختن.
  • دادگاه برای دیویس لو چهار سال زندان و سه سال آزادی تحت نظارت تعیین کرد.
  • این پرونده نشون میده که «تهدید داخلی» (کارمند ناراضی) چقدر می‌تونه خطرناک باشه و به اهمیت امنیت داخلی تأکید شد.

قصه از جایی شروع میشه که یک توسعه‌دهنده نرم‌افزار به اسم دیویس لو، بعد از اینکه از شرکتش جدا شد، یک خرابکاری حسابی در شبکه اونجا راه انداخت. این ماجرا نه تنها به ضرر چند صد هزار دلاری برای شرکت تموم شد، بلکه برای خود دیویس لو هم چهار سال زندان به همراه داشت. بیایید ببینیم ماجرا دقیقا از چه قرار بوده و چطور یک کارمند سابق تونست با یک کد مخرب، کل سیستم‌های یک شرکت بزرگ رو برای مدتی از کار بندازه.

ماجرای یک انتقام دیجیتالی

دیویس لو، یک مرد ۵۵ ساله چینی‌الاصل که به صورت قانونی در هیوستون آمریکا زندگی میکرد، به عنوان توسعه‌دهنده نرم‌افزار در شرکتی مشغول به کار بود. این شرکت که دفتر مرکزیش در بیچوود، اوهایو قرار داشت، در زمینه فناوری‌های حوزه برق فعالیت میکرد. وزارت دادگستری آمریکا به طور رسمی اسم این شرکت رو اعلام نکرد، اما گزارش‌ها نشون میده که این شرکت، کمپانی بزرگ «ایتون» بوده. دیویس لو سابقه طولانی در این شرکت داشت و از نوامبر ۲۰۰۷ تا اکتبر ۲۰۱۹، یعنی حدود دوازده سال، اونجا کار میکرد و حتی به جایگاه توسعه‌دهنده ارشد فناوری‌های نوظهور هم رسیده بود.

همه چیز از سال ۲۰۱۸ شروع شد. در این سال، شرکت یک سری تغییرات و تجدید ساختار داخلی انجام داد که این تغییرات مستقیما روی موقعیت شغلی دیویس لو تاثیر گذاشت. مسئولیت‌های اون کمتر شد و سطح دسترسیش به سیستم‌ها هم کاهش پیدا کرد. به نظر میرسه این اتفاق برای لو خوشایند نبود و همین موضوع، جرقه‌ای برای شروع یک نقشه خرابکارانه شد. بعد از این ماجرا، دیویس لو شروع کرد به کار گذاشتن کدهای مخرب در سیستم‌های شرکت.

«کلید مرگ» چی بود و چطور کار میکرد؟

اصل خرابکاری دیویس لو، چیزی بود که بهش میگن «کلید مرگ» یا «kill switch». این یک اصطلاح برای کدیه که طوری طراحی شده تا در یک شرایط خاص، به طور خودکار فعال بشه و یک سیستم رو از کار بندازه. کلید مرگی که لو طراحی کرده بود، به وضعیت استخدامی خودش گره خورده بود. منطقش ساده بود: اگه شرکت تصمیم بگیره دسترسی‌های کاربری من رو غیرفعال کنه، این کد فعال میشه و کل شبکه رو دچار اختلال میکنه.

از نظر فنی، این کد مخرب یک برنامه جاوا بود. کاری که این برنامه انجام میداد این بود که «حلقه‌های بی‌نهایت» یا «infinite loops» ایجاد میکرد. اگه بخوایم ساده توضیح بدیم، تصور کنید به کامپیوتر دستور میدید یک کار جدید رو شروع کنه، بعد دوباره همون کار رو شروع کنه، و باز هم شروع کنه، بدون اینکه هیچ کدوم از کارهای قبلی رو تموم کنه. هر کدوم از این کارها در دنیای برنامه‌نویسی جاوا به عنوان یک «thread» شناخته میشه. برنامه لو، بی‌وقفه و پشت سر هم threadهای جدیدی میساخت که هیچ وقت تموم نمیشدن. این کار باعث میشد منابع سرور، مثل حافظه و قدرت پردازش، به سرعت مصرف بشه و در نهایت سرورها یا هنگ کنن یا به طور کامل از کار بیفتن و کرش کنن.

اما این همه ماجرا نبود. لو علاوه بر این کلید مرگ، فایل‌های پروفایل همکارانش رو هم پاک کرده بود تا مشکلات بیشتری برای سیستم ایجاد کنه.

نکته جالب و شاید بشه گفت غیرحرفه‌ای ماجرا، اسمی بود که دیویس لو برای این کد خرابکارانه انتخاب کرده بود. اون اسم این کد رو گذاشته بود «IsDLEnabledinAD». این اسم در واقع مخفف جمله «Is Davis Lu enabled in Active Directory» بود. یعنی «آیا دیویس لو در اکتیو دایرکتوری فعال است؟». اکتیو دایرکتوری مثل یک دفترچه تلفن بزرگ و هوشمند برای تمام کارمندان یک شرکته که اطلاعات و دسترسی‌های اونها رو مدیریت میکنه. وقتی کاربری در شرکت غیرفعال میشه، وضعیتش در اکتیو دایرکتوری هم تغییر میکنه. لو با انتخاب این اسم، خیلی واضح نشون داده بود که این کد مستقیما به وضعیت حساب کاربری خودش ربط داره. این کار از نظر متخصصان امنیت، یک اشتباه بزرگ در زمینه «امنیت عملیاتی» یا OPSEC به حساب میاد، چون ردیابی خرابکار رو خیلی راحت میکنه.

روزی که کلید مرگ فعال شد

نقطه اوج داستان در تاریخ ۹ سپتامبر ۲۰۱۹ رقم خورد. در این روز، شرکت تصمیم گرفت دیویس لو رو در وضعیت مرخصی اجباری قرار بده. ازش خواستن که لپ‌تاپ شرکت رو تحویل بده و همزمان، دسترسی‌ها و اعتبارنامه‌های کاربریش رو هم غیرفعال کردن. دقیقا همین اقدام، یعنی غیرفعال شدن حساب کاربری لو در اکتیو دایرکتوری، باعث شد که کلید مرگ به طور خودکار فعال بشه.

با فعال شدن این کد، برنامه جاوا شروع به ساختن بی‌وقفه threadها کرد و سرورها رو تحت فشار شدید قرار داد. نتیجه این اتفاق، یک اختلال گسترده و سراسری در سیستم‌های شرکت بود. هزاران کارمند شرکت در سراسر جهان، دیگه نمیتونستن وارد سیستم بشن و به اطلاعات و ابزارهای کاریشون دسترسی داشته باشن. این خرابکاری ضرر مالی سنگینی به شرکت زد و وزارت دادگستری آمریکا اعلام کرد که خسارت وارد شده، «چندین صد هزار دلار» بوده.

سرنخ‌ها و دستگیری

بعد از این اتفاق، تحقیقات برای پیدا کردن دلیل این اختلال گسترده شروع شد. یکی از مهم‌ترین سرنخ‌ها، لپ‌تاپ شرکتی بود که دست خود دیویس لو بود. در همون روزی که ازش خواسته بودن لپ‌تاپ رو تحویل بده، لو حجم زیادی از داده‌های رمزنگاری شده رو از روی اون پاک کرده بود. اما تاریخچه جستجوهای اینترنتی اون، داستان دیگه‌ای رو روایت میکرد.

بازرسان با بررسی تاریخچه جستجوهاش متوجه شدن که لو به دنبال موضوعات مشخصی بوده که نشون از نیت خرابکارانه داشت. جستجوهای اون شامل این موارد بود:

  • «روش‌هایی برای بالا بردن سطح دسترسی» (escalate privileges)
  • «روش‌هایی برای مخفی کردن فرایندها» (hide processes)
  • «روش‌هایی برای حذف سریع فایل‌ها» (rapidly delete files)

این جستجوها به وضوح نشون میداد که اون قصد داشته نه تنها به سیستم‌ها آسیب بزنه، بلکه تلاش‌های همکارانش برای پیدا کردن و حل مشکل رو هم سخت‌تر کنه.

با این شواهد، دفتر کلیولند اف‌بی‌آی که مسئولیت تحقیق روی این پرونده رو بر عهده داشت، به سرعت به دیویس لو رسید. کمتر از یک ماه بعد از اینکه کد مخربش فعال شده بود، ماموران فدرال اون رو دستگیر کردن. جالبه که لو بعد از دستگیری به جرمش اعتراف کرد، اما با این وجود تصمیم گرفت که به جای پذیرش اتهام، کار رو به دادگاه و هیئت منصفه بکشونه.

روند دادگاه و صدور حکم

پرونده دیویس لو در دادگاه فدرال کلیولند بررسی شد. در ماه مارس، هیئت منصفه فدرال اون رو به خاطر «وارد کردن آسیب عمدی به کامپیوترهای حفاظت شده» مجرم شناخت. در ابتدا گفته میشد که لو ممکنه با حکمی تا سقف ۱۰ سال زندان روبرو بشه.

مسئولیت پیگیری قضایی این پرونده به عهده تیمی از دادستان‌ها بود. این تیم شامل کاندینا اس. هیث، مشاور ارشد بخش جرایم کامپیوتری و مالکیت معنوی (CCIPS) از زیرمجموعه بخش کیفری وزارت دادگستری، و همچنین دستیاران دادستان دنیل جی. ریدل و برایان اس. دکرت از ناحیه شمالی اوهایو بود.

بخش CCIPS که در این پرونده نقش داشت، یک واحد تخصصی در زمینه تحقیق و پیگرد جرایم سایبریه که با آژانس‌های اجرای قانون داخلی و بین‌المللی همکاری میکنه. این بخش از سال ۲۰۲۰ تا زمان این پرونده، موفق شده بود بیش از ۱۸۰ مجرم سایبری رو محکوم کنه و دستور بازگشت بیش از ۳۵۰ میلیون دلار از پول قربانیان رو از دادگاه بگیره.

سرانجام، روز صدور حکم نهایی فرا رسید. تاریخ برگزاری جلسه صدور حکم برای ۲۳ ژوئن تعیین شده بود. دادگاه در نهایت دیویس لو رو به چهار سال زندان محکوم کرد. علاوه بر این، اون به سه سال آزادی تحت نظارت هم محکوم شد، یعنی بعد از پایان دوره زندانش هم باید برای سه سال تحت نظر باشه.

واکنش مقامات و اهمیت پرونده

این پرونده واکنش مقامات وزارت دادگستری و اف‌بی‌آی رو هم به همراه داشت.

متیو آر. گالئوتی، دستیار موقت دادستان کل از بخش کیفری وزارت دادگستری، در این باره گفت: «متهم با استفاده از دسترسی و دانش فنی خود برای خرابکاری در شبکه‌های شرکت، اعتماد کارفرمایش را زیر پا گذاشت، ویرانی به بار آورد و صدها هزار دلار خسارت به یک شرکت آمریکایی وارد کرد». اون اضافه کرد: «با این حال، زیرکی فنی و فریبکاری متهم، او را از عواقب کارهایش نجات نداد. بخش کیفری متعهد به شناسایی و پیگرد قانونی کسانی است که به شرکت‌های آمریکایی حمله میکنند، چه از داخل و چه از خارج، تا آنها را مسئول اعمالشان بداند.»

برت لدرمن، دستیار مدیر بخش سایبری اف‌بی‌آی، هم بیانیه‌ای در این مورد داشت. اون گفت: «اف‌بی‌آی هر روز بی‌وقفه تلاش میکند تا اطمینان حاصل کند که عاملان سایبری که کدهای مخرب را به کار میگیرند و به کسب‌وکارهای آمریکایی آسیب میزنند، با عواقب اعمال خود روبرو شوند.» لدرمن ادامه داد: «من به کار تیم سایبری اف‌بی‌آی که منجر به صدور حکم امروز شد افتخار میکنم و امیدوارم این حکم پیام محکمی برای دیگرانی باشد که ممکن است به فکر انجام فعالیت‌های غیرقانونی مشابه بیفتند.» اون همچنین به نکته مهم دیگه‌ای اشاره کرد و گفت: «این پرونده همچنین بر اهمیت شناسایی زودهنگام تهدیدهای داخلی تاکید میکند و نیاز به تعامل پیشگیرانه با دفتر محلی اف‌بی‌آی شما را برای کاهش خطرات و جلوگیری از آسیب بیشتر برجسته میسازد.»

حرف‌های لدرمن به یک مفهوم کلیدی در امنیت سایبری اشاره داره: تهدید داخلی (Insider Threat). کارشناسان امنیتی بارها تاکید کردن که گاهی خطرناک‌ترین تهدیدها برای یک سازمان، نه هکرهای خارجی، بلکه کارمندان خود اون سازمان هستن. یک کارمند ناراضی که به سیستم‌ها دسترسی داره، میتونه به راحتی آسیب‌های جدی‌تری نسبت به یک مهاجم خارجی وارد کنه. تمام دیوارهای آتش (فایروال‌ها)، ابزارهای هوش مصنوعی و سرویس‌های نظارت بر بدافزار نمیتونن جلوی کسی رو بگیرن که خودش مسئول مدیریت اون سیستم‌هاست و تصمیم به خرابکاری میگیره.

شرکت ایتون، که گفته میشه قربانی این ماجرا بوده، در مورد حکم صادر شده برای کارمند سابقش هیچ اظهارنظری نکرد.

منابع

  • [۲] Office of Public Affairs | Chinese National Who Deployed “Kill Switch” Code on Employer’s Network Sentenced to Four Years in Prison | United States Department of Justice
  • [۴] Developer jailed for malware that took out his employer • The Register
  • [۱] Developer gets prison time for sabotaging former employer’s network with a ‘kill switch’ | TechCrunch
  • [۳] Texas man faces prison for activating ‘kill switch’ on former employer’s network | TechCrunch
خانههوش‌مصنوعیگیک و تکنولوژیعلم و فضاسلامتکار و تحصیلشبکه‌های اجتماعیفرهنگ و کالچرامنیت و حریم‌خصوصیاخبار ۲۴ ساعت اخیر (6)

© ۲۰۲۵ GeekAlerts . تمامی حقوق محفوظ است.

دیدگاه‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *