Bivši infrastrukturni inženjer priznao krivicu za sajber napad na sopstvenu firmu
Bivši infrastrukturni inženjer priznao je krivicu za federalne optužbe za hakovanje i iznudu nakon što je izveo ozbiljan napad na svog bivšeg poslodavca u Nju Džerziju. Prema tekstu, koristio je ugrađene Windows administrativne alate, skrivenu virtuelnu mašinu i automatizovane zakazane zadatke da iznutra poremeti IT okruženje, obriše administratorske naloge i resetuje lozinke stotinama korisnika. Posledice su bile gašenje ili zaključavanje 254 Windows servera i 3.284 radne stanice, uz zahtev za otkup od 20 bitkoina.
Neprijatni deo ove priče je to što napad nije izveden egzotičnim malwareom, nego legitimnim alatima i znanjem čoveka koji je dobro poznavao unutrašnji sistem. Kada insajder ili bivši zaposleni iskoristi postojeća ovlašćenja, administrativne alate i slabe tačke u kontroli pristupa, odbrana postaje mnogo teža jer aktivnost dugo može da izgleda kao redovan administrativni rad.
- Ograničiti i redovno proveravati privilegovane naloge, posebno posle odlaska zaposlenih
- Pratiti upotrebu administrativnih alata kao što su PsPasswd, net user i zakazani zadaci
- Uvesti strožu kontrolu udaljenog pristupa, virtuelnih mašina i administratorskih skripti
- Razdvojiti dužnosti i uvesti dodatnu proveru za promene nad domenom i lozinkama
- Pripremiti procedure za brzo gašenje privilegovanog pristupa pri promeni statusa zaposlenog