Cài mã độc phá hoại hệ thống công ty, một kỹ sư IT lĩnh 4 năm tù
Một kỹ sư phần mềm bị kết án 4 năm tù vì tạo mã độc gây sập hệ thống toàn cầu của công ty cũ sau khi bị sa thải.
Từ nhân viên lâu năm đến kẻ phá hoại hệ thống
Bộ Tư pháp Mỹ ngày 21/8 cho biết Davis Lu, 55 tuổi, cựu kỹ sư phần mềm của tập đoàn Eaton Corp (Ohio, Mỹ), đã bị kết án 4 năm tù giam và 3 năm quản chế vì hành vi cài đặt mã độc phá hoại hệ thống mạng nội bộ. Vụ việc do Văn phòng FBI tại Cleveland điều tra và được xem là một trong những án điển hình về tội phạm công nghệ đến từ chính nội bộ doanh nghiệp.
Lu sinh ra tại Trung Quốc, sang Mỹ năm 1999 theo diện thị thực lao động và trở thành thường trú nhân hợp pháp từ năm 2007. Ông bắt đầu làm việc tại Eaton từ tháng 11/2007 với vai trò nhà phát triển phần mềm. Trong hơn một thập kỷ, Lu tham gia phát triển các giải pháp công nghệ cho tập đoàn đa quốc gia chuyên về quản lý năng lượng, điện, thủy lực và cơ khí.
Tuy nhiên, năm 2018, Eaton tiến hành tái cấu trúc nhân sự và Lu nằm trong danh sách bị cho nghỉ việc. Không chấp nhận quyết định này, ông ta âm thầm lợi dụng quyền truy cập để xây dựng một “công tắc ẩn” nguy hiểm trong hệ thống. Phần mềm độc hại được thiết kế dưới dạng vòng lặp vô tận, tạo ra luồng xử lý Java không bao giờ kết thúc, khiến máy chủ cạn kiệt tài nguyên. Ngoài ra, Lu còn cài đặt đoạn mã xóa dữ liệu của đồng nghiệp và gián tiếp làm tê liệt hoạt động toàn cầu của công ty.
"Công tắc tử thần" kích hoạt sau ngày bị sa thải
Ngày 9/9/2019, ngay sau khi chính thức bị chấm dứt hợp đồng, công tắc ẩn mang tên IsDLEnabledinAD (“Davis Lu có được kích hoạt trong Active Directory không”) đã được kích hoạt. Sự kiện này khiến hàng nghìn nhân viên và khách hàng trên toàn cầu của Eaton không thể truy cập hệ thống. Công ty chịu thiệt hại hàng trăm nghìn USD do gián đoạn hoạt động.
Theo cáo trạng, Lu không hề hưởng lợi từ hành động này. Daniel Riedl, trợ lý luật sư Mỹ, cho biết: “Anh ta chỉ muốn chứng kiến công ty và các đồng nghiệp đau khổ. Anh ta biết rõ hậu quả mình gây ra nhưng vẫn thực hiện.”
FBI đã nhanh chóng vào cuộc. Chưa đầy một tháng sau khi sự cố xảy ra, Lu bị bắt giữ và buộc tội phá hoại hệ thống máy tính. Ban đầu ông ta thừa nhận hành vi, nhưng vẫn yêu cầu đưa vụ án ra xét xử trước bồi thẩm đoàn. Kết quả, tòa tuyên phạt 4 năm tù giam và 3 năm quản chế.
Giới chức Mỹ nhấn mạnh vụ án là lời cảnh tỉnh cho các doanh nghiệp về mối nguy xuất phát từ chính những nhân viên am hiểu hệ thống. Matthew R. Galeotti, quyền trợ lý Tổng chưởng lý Vụ Hình sự, khẳng định: “Sự am hiểu kỹ thuật của bị cáo không thể giúp ông ta thoát khỏi hậu quả. Chúng tôi cam kết truy tố những kẻ tấn công, dù từ bên trong hay bên ngoài các công ty Mỹ.”