Davis Lu, ex sviluppatore della Eaton Corporation, è stato condannato a quattro anni di carcere per aver sabotato la rete Windows dell’azienda. Dopo una ristrutturazione e una retrocessione avvenuti nel 2018, Lu ha deciso di vendicarsi.

Secondo il Dipartimento di Giustizia USA, l’uomo ha inserito codice malevolo nei sistemi aziendali, compreso un loop Java infinito pensato per sovraccaricare i server. Ma il colpo più grave è arrivato con la creazione di un kill switch personalizzato chiamato “IsDLEnabledinAD”.

Il funzionamento del kill switch era semplice ma devastante. Se l’account di Lu fosse stato disattivato in Active Directory, il sistema avrebbe bloccato automaticamente tutti gli altri utenti.

Il 9 settembre 2019, con la sua cessazione del rapporto di lavoro, la trappola si è attivata. Risultato? Migliaia di dipendenti improvvisamente tagliati fuori dai propri account e una paralisi operativa che ha generato centinaia di migliaia di dollari di perdite.

Il DOJ ha definito l’attacco un grave abuso di fiducia. Oltre al danno tecnico, Lu ha cercato di cancellare prove dai dispositivi e aveva effettuato ricerche su come ottenere privilegi elevati, nascondere processi e cancellare file rapidamente.

Dalla condanna alla lezione di sicurezza informatica : il destino dello sviluppatore

Lu è stato dichiarato colpevole di aver intenzionalmente danneggiato sistemi informatici protetti. Dopo i quattro anni di carcere, dovrà affrontare anche tre anni di libertà vigilata.

Come ha spiegato Matthew R. Galeotti, Acting Assistant Attorney General:

“Il convenuto ha sfruttato la sua posizione e le sue competenze per sabotare i sistemi aziendali, causando gravi danni economici e operativi a un’azienda statunitense.”

Il caso di Davis Lu evidenzia quanto siano pericolosi gli attacchi interni. Non si tratta di hacker esterni, ma di dipendenti o ex dipendenti con accesso privilegiato, capaci di compromettere la sicurezza aziendale dall’interno.

Le aziende devono quindi rafforzare non solo le proprie difese esterne, ma anche i controlli interni e i protocolli di revoca degli accessi, per evitare che un singolo individuo possa causare un disastro simile.