Уволенный сотрудник IT-отдела остановил производство ковбойских сапог в Техасе

03.04.2017

Вернуться к списку новостей

Бывший инженер технической поддержки компании Lucchese Bootmaker, известного в США производителя обуви, признал вину в том, что умышленно сорвал работу фабрики в сентябре 2016 года.

Атака на сервера компании произошла через час после того, как IT-инженеру сообщили об увольнении. В момент увольнения он повел себя агрессивно, и коллегам пришлось приложить усилия, чтобы вывести его из здания. Поэтому служба безопасности компании и полиция сразу связали инцидент с увольнением.

ИБ-специалисты выяснили, что уволенный инженер воспользовался созданной ранее учетной записью, замаскированной под принтер, чтобы получить удаленный доступ к системе. Он отключил почтовый сервер и сервер, который отвечал за обработку заказов и производственные процессы. При этом он удалили системные файлы, из-за чего штатным IT-специалистам не удалось перезагрузить и восстановить работу сервера. Кроме того, он заблокировал доступ к учетным записям работников, задав новые пароли.

В результате инцидента производство ковбойских сапог остановилось. Полдня сотрудники не могли оформлять и рассылать заказы. Руководство было вынуждено отправить по домам 300 работников. На восстановление работы серверов подрядчикам потребовалось несколько часов, а чтобы вернуться к нормальному производственному циклу – несколько недель. Убытки Lucchese Bootmaker достигли 100 тыс. долларов только из-за сбоя в центре отгрузки, не считая вынужденного простоя и оплаты услуг подрядчиков.

Разозлившийся из-за увольнения инженер потратил на операцию 45 минут, но забыл тщательно стереть следы присутствия в корпоративной сети. В результате расследования удалось не только воссоздать ход инцидента.

Обнаружилось также, что подозреваемый хранил базу с учетными записями сотрудников и незадолго до увольнения отправил файл с корпоративного на личный почтовый ящик. Порядок логинов и паролей в документе соответствовал порядку, в котором блокировались аккаунты сотрудников в день атаки. Еще выяснилось, что фальшивую учетную запись, с помощью которой подозреваемый удаленно администрировал сервера, уже использовали с его служебного компьютера, защищенного паролем. Учетную запись, которая выглядела как обычный принтер, заблокировали.

Суд вынесет решение о наказании в начале июня. Бывшему IT-инженеру грозит до 10 лет в федеральной тюрьме и штраф 250 тысяч долларов.