2019年9月9日清晨，伊頓公司（Eaton Corp）的IT部門(mén)像往常一樣處理著一項(xiàng)例行任務(wù)：從Active Directory中刪除一位剛被解雇的員工賬號(hào)。然而，賬號(hào)刪除的瞬間，屏幕上卻彈出異常警報(bào)。數(shù)秒后，全球數(shù)千名員工的登錄界面集體“黑屏”，服務(wù)器開(kāi)始無(wú)休止地重啟，仿佛整個(gè)系統(tǒng)被按下了“自毀按鈕”。

IT團(tuán)隊(duì)手忙腳亂地排查，卻發(fā)現(xiàn)惡意代碼來(lái)自一位55歲的軟件開(kāi)發(fā)工程師Davis Lu精心設(shè)計(jì)的“失業(yè)炸彈”——一個(gè)足以讓這家電源管理巨頭IT系統(tǒng)癱瘓的“自爆開(kāi)關(guān)”。

近日，涉事技術(shù)老兵因惡意破壞被美國(guó)司法部宣判有罪，面臨最高10年監(jiān)禁，而他的故事，不僅是一場(chǎng)個(gè)人復(fù)仇，更暴露了企業(yè)內(nèi)部威脅管理的深層漏洞。

潛伏六年的“搖籃系統(tǒng)”

Davis Lu于2007年加入總部位于俄亥俄州的全球電源管理巨頭伊頓公司。作為一名資深開(kāi)發(fā)人員，他在公司網(wǎng)絡(luò)和服務(wù)器開(kāi)發(fā)中扮演著關(guān)鍵角色。然而，2018年的公司“重組”成了導(dǎo)火索。據(jù)司法部文件，Lu的職責(zé)被大幅削減，系統(tǒng)權(quán)限也被限制，這讓他感到地位不保。于是，他選擇拿起“代碼武器”。

從2018年起，為了懲罰公司未來(lái)對(duì)自己的“不忠行為”，Lu開(kāi)始在企業(yè)內(nèi)網(wǎng)中部署一種類似三體小說(shuō)中“搖籃系統(tǒng)”的惡意代碼，一旦自己被公司解雇將立刻觸發(fā)該系統(tǒng)發(fā)動(dòng)攻擊。

2019年8月，Lu進(jìn)一步升級(jí)破壞行動(dòng)，部署了名為“Hakai”（日語(yǔ)“破壞”）和“HunShui”（中文“渾水”）的程序。這些代碼通過(guò)制造“無(wú)限循環(huán)”，耗盡服務(wù)器資源，導(dǎo)致系統(tǒng)崩潰，同時(shí)刪除了同事的用戶配置文件，阻止正常登錄。然而，最致命的一擊是名為“IsDLEnabledinAD”的“自爆開(kāi)關(guān)”——一個(gè)Lu以自己名字命名的“殺手锏”。這個(gè)開(kāi)關(guān)被設(shè)計(jì)為：一旦Lu的Active Directory賬戶（因裁員）被禁用，所有用戶將被踢出系統(tǒng)。

2019年9月9日，Lu被正式解雇當(dāng)天，這一開(kāi)關(guān)被觸發(fā)，全球數(shù)千名員工瞬間失去訪問(wèn)權(quán)限，伊頓的運(yùn)營(yíng)陷入癱瘓。

這場(chǎng)“數(shù)字癱瘓”給伊頓帶來(lái)了巨大損失。司法部宣稱，Lu的行為造成了“數(shù)十萬(wàn)美元”的直接經(jīng)濟(jì)損失，影響了伊頓公司全球業(yè)務(wù)運(yùn)轉(zhuǎn)。FBI克利夫蘭分部特別探員Greg Nelsen痛斥：“Lu利用他的教育、經(jīng)驗(yàn)和技術(shù)，故意傷害雇主并阻礙了數(shù)千用戶?！比欢琇u的辯護(hù)律師Ian Friedman卻堅(jiān)稱，實(shí)際損失不到5000美元，控方夸大了后果。真相究竟如何尚待法庭進(jìn)一步裁決，但無(wú)論金額多少，這場(chǎng)風(fēng)波已讓伊頓的IT安全短板暴露無(wú)遺。

更令人咋舌的是，Lu的“作案手法”并不復(fù)雜。他利用自己作為開(kāi)發(fā)者的獨(dú)有權(quán)限，在內(nèi)部服務(wù)器上部署代碼，執(zhí)行時(shí)甚至直接使用個(gè)人用戶ID。事后調(diào)查發(fā)現(xiàn)，他還曾搜索如何“提升權(quán)限、隱藏進(jìn)程、快速刪除文件”，顯示出蓄意阻撓修復(fù)的意圖。甚至在被要求歸還公司電腦當(dāng)天，他還試圖刪除加密數(shù)據(jù)和Linux目錄，進(jìn)一步掩蓋痕跡。

這些案件細(xì)節(jié)不禁讓人感慨：一個(gè)心懷不滿的程序員，竟能如此輕易地讓一家跨國(guó)企業(yè)“斷電”。

內(nèi)部威脅的“潘多拉魔盒”

Lu的案例并非孤例。近年來(lái)，“刪庫(kù)跑路”類事件頻發(fā)：2020年，前思科工程師因不滿解雇破壞云基礎(chǔ)設(shè)施被判刑兩年；2021年，特拉華州IT管理員刪除前雇主服務(wù)器文件釀成重創(chuàng)。這些事件揭示了一個(gè)殘酷現(xiàn)實(shí)——企業(yè)對(duì)外部黑客嚴(yán)防死守，卻往往忽視內(nèi)部威脅。

根據(jù)Cifas 2024年2月報(bào)告，超半數(shù)英國(guó)企業(yè)擔(dān)憂惡意內(nèi)部人員的破壞，而遠(yuǎn)程工作和高生活成本正加劇這一風(fēng)險(xiǎn)。

伊頓的失守暴露了內(nèi)部威脅管理的三大漏洞：一是權(quán)限管控失靈，Lu能以個(gè)人身份直接操作生產(chǎn)服務(wù)器，且無(wú)人察覺(jué)；二是代碼審查形同虛設(shè)，惡意代碼上線前未被攔截；三是離職流程疏忽，未及時(shí)回收權(quán)限和設(shè)備，導(dǎo)致“自毀開(kāi)關(guān)”順利生效。事后，伊頓雖未公開(kāi)回應(yīng)，但據(jù)傳已加強(qiáng)了代碼審查和Active Directory實(shí)時(shí)監(jiān)控。然而，這種“亡羊補(bǔ)牢”能走多遠(yuǎn)，仍是未知數(shù)。

Lu的結(jié)局令人唏噓。無(wú)論結(jié)果如何，這場(chǎng)風(fēng)波已為科技行業(yè)敲響警鐘：程序員不再只是代碼的書(shū)寫(xiě)者，他們的憤怒也可能成為系統(tǒng)的“定時(shí)炸彈”。

對(duì)企業(yè)而言，這意味著IT安全必須從“防外”轉(zhuǎn)向“內(nèi)外兼顧”。權(quán)限最小化、行為監(jiān)控、離職審計(jì)，每一項(xiàng)都可能是生死攸關(guān)的防線。