如果说网络攻击里有一种最难防、最令人头疼的威胁,那大概率不是勒索病毒、APT 组织,也不是零日漏洞,而是——你的前同事。
2021 年 5 月发生在美国休斯敦的一起内部员工攻击事件,直到最近才随着法院审理推进而完全曝光:一家业务覆盖美国全国的大型企业,在短短几分钟内被打回“未激活状态”,造成 86.2 万美元(约人民币 613 万元)直接损失,并触发业务连续性危机。
而这件事的肇事者,只是一名被开除的 IT 外包人员。
外包被解雇后,又轻松回到内网
根据美国司法部(DOJ)文件,这名 IT 外包名为 Maxwell Schultz,现年 35 岁,来自美国俄亥俄州,曾作为一名合约工,为一家大型企业的IT 部门提供技术支持工作。虽然 DOJ 并未直接点名,但多家地方媒体推测,这家公司正是美国废物管理公司 Waste Management(简称 WM)。
2021 年 5 月 14 日,时年 31 岁的 Maxwell Schultz 被原公司解除合约,账号权限也按流程立即被撤销。
按理说,故事到这里就应该结束:毕竟一般而言,公司在解雇员工或外包时,会同步完成账号权限回收与系统级权限吊销;然而,现实的企业安全管理往往并不会“按理说”。
如今,大型企业的权限回收流程往往依赖人工、跨部门沟通复杂,执行容易出错,外包权限的控制更是众多公司公认的“管理盲区”。一旦权限回收流程不彻底、身份验证机制存在疏漏,攻击者便能轻易重返网络内部——Maxwell Schultz 正是钻了这个空子。
被解雇后不久,Maxwell Schultz 利用自己对内部系统架构的熟悉,冒充另一名外包人员,套取了新的网络登录凭证,重新进入公司的网络系统。
一条 PowerShell 脚本,引发大规模“账号失效”
重新进入系统后,Maxwell Schultz 并没有做复杂的渗透,也没有部署恶意程序,而是选择了一个更暴力、更影响全局的方式:运行一段 PowerShell 脚本,一键重置约 2500 个账号密码。
法院文件披露,这段脚本是 Maxwell Schultz 自己编写的,调用的是 Windows 企业环境极为常见的命令行接口。脚本执行后,WM 全公司范围内:
● 所有员工与外包的电脑被统统踢下线
● 任何登录尝试全部失败
● 从客户服务部门到现场运维团队,所有业务瞬间停摆
可以想象,这对一家在美国全国范围内布局的大型企业意味着什么——所有依赖内部系统的工作流程同步冻结,业务连续性瞬间被打断。而这,仅仅是几行 PowerShell 代码的效果。
为了掩盖自己的行为,事后 Maxwell Schultz 还上网搜索了如何删除系统日志,并成功清除了多条 PowerShell 事件记录。虽然没能完全抹掉痕迹,但这也大幅提升了事后的取证难度。
员工停工、客服中断,企业损失超 86 万美元
司法部公布的信息显示,此次 Maxwell Schultz 的攻击造成 86.2 万美元以上的损失,主要来自三部分:
(1)大量员工停工:数千名员工无法登录电脑,自然无法开展任何与系统相关的操作,可企业每天支付的薪酬成本并不会因此暂停。
(2)客户服务体系瘫痪:Waste Management 的客服体系高度依赖内部工单与处理系统,密码被重置后,客服无法访问后台系统,导致服务中断。
(3)恢复网络的人工成本:这包括重新建立账号、恢复系统、梳理日志、排查可能的额外破坏等所有技术行为。而大规模权限恢复对 IT 团队来说,往往意味着数日甚至数周的加班。
以上这些,这还不算公司名誉影响、合同延误等长期成本。某位参与事件调查的工程师形容:“这是普通技术人不会想到的攻击方式,但对内部结构熟悉的人来说,它简单到令人后怕。”
动机只有一个:“被开除而不爽”
面对 DOJ 的调查,Maxwell Schultz 坦白了自己的动机:“因为被解雇而不爽。”
是的,他不是为了勒索,也不是被人指使,更没有复杂的攻击流程,纯纯就是为了泄愤。
目前,该案件已移交至美国联邦地区法院,预计 2026 年 1 月 30 日宣判,届时 Maxwell Schultz 可能面临最高 10 年联邦监禁 + 25 万美元罚款。
针对此事,网络安全专家指出,这类因不满被解雇而发起的“内鬼攻击”(insider threat)正在快速增加,尤其是像能源和科技行业这种依赖外包、且外包人员权限较高的地区。美国网络安全与基础设施安全局(CISA)也多次提醒企业,要对前员工、前外包人员的权限回收极度重视。
毕竟,类似的“内鬼攻击”事件可谓是层出不穷。例如,今年 5 月美国最大加密货币交易所 Coinbase 遭遇内鬼勾结黑客勒索 2000 万美元,致使平台管理深层漏洞暴露,损失超 4 亿美元;去年 5 月,FinWise 银行也因前员工窃取数据导致近 70 万用户信息泄露。
你能说这些公司的安全管理机制不完善吗?实际上,多数公司都会关注防火墙、入侵检测、勒索软件防护,但往往忽略了“人”——尤其是那些曾拥有较高权限、了解内部流程、并深知系统弱点的工程师。
而他们要发起攻击,都不需要太高级的技术,只要情绪失控,就能用最简单的方式造成最严重的后果。
参考链接:https://www.justice.gov/usao-sdtx/pr/former-contractor-admits-hacking-employer-retaliation-termination
本文来自微信公众号“CSDN”,整理:郑丽媛,36氪经授权发布。
