Бывший сотрудник IT-отдела заложил «бомбу замедленного действия» в корпоративную сеть

17.04.2017

Вернуться к списку новостей

Компания Allegro MicroSystems, производитель полупроводников, обвинила бывшего сотрудника IT-отдела в саботаже. В исковом заявлении указано, что системный администратор, проработавший в компании 14 лет, внедрил в корпоративную базу данных вредоносный код, который сработал в начале финансового года и уничтожил данные.

Специалист IT-отдела отвечал за финансовый модуль Oracle. Во время работы он пользовался двумя ноутбуками, принадлежащими компании. После увольнения его обязали вернуть технику. Расследование инцидента показало, что вместо одного корпоративного компьютера сотрудник вернул другое устройство – еще один ноутбук, который также принадлежал Allegro MicroSystems и был выдан ранее для личного пользования.

Для атаки был использован рабочий ноутбук с доступом к внутренней сети. В иске объясняется, что только два сотрудника компании обладали навыками работы с базой данных Oracle. Однако второй специалист вернул все устройства, с помощью которых возможно попасть в корпоративную сеть.

Предполагается, что спустя две недели после увольнения бывший системный администратор приблизился к штаб-квартире компании, чтобы подключиться к корпоративной сети Wi-Fi. Как привилегированный пользователь он имел доступ к данным учетных записей сотрудников компании, так что воспользовался паролем одного из бывших коллег, чтобы авторизоваться в сети.

После он внедрил в финансовый модуль Oracle вредоносный код с «таймером». Программа запустилась 1 апреля. С этой даты в компании начинается новый финансовый год. Скрипт копировал данные в отдельную таблицу, а затем удалял из модуля.

Бывший сотрудник зашел в сеть Allegro MicroSystems легально, поэтому инцидент обнаружили только три недели спустя. Приглашенные ИБ-специалисты установили, что вход в корпоративную сеть осуществили с компьютера, которым пользовался уволенный системный администратор. Кроме того, эксперты зафиксировали многочисленные сессии удаленного подключения с рабочего компьютера экс-сотрудника.

В компании заявляют, что восстановление базы данных и работы корпоративной сети обошлось в 100 тысяч долларов. Суд рассмотрит обстоятельства дела в сентябре 2017 года.

Аналитики компании «СёрчИнформ» обратили внимание, что подобные инциденты возможно предотвратить, внедрив SIEM-систему. Система предупредила бы специалиста по безопасности о том, что одна учетная запись используется на нескольких ноутбуках одновременно и об обращении к критическим ресурсам. Установив с помощью SIEM способ доступа в корпоративную сеть и проследив действия с помощью DLP, специалисты Allegro MicroSystems могли бы «обезвредить бомбу» и восстановить данные самостоятельно.