來自美國休斯頓的 55 歲程式設計師戴維斯・盧 (Davis Lu) 是個經驗豐富的程式設計師,不過在公司專案裡預留惡意程式碼於 2019 年被逮捕,美國聯邦法院即將做出判決。
戴維斯・盧在 2007 年 11 月~2019 年 10 月就職於伊頓電源管理公司,在 2019 年伊頓公司進行重組,而戴維斯也被降職以及工作職責和伺服器訪問許可權均被降級。
可能是已經預感到自己將面臨裁員,戴維斯在 2019 年 8 月 9 日開始編寫惡意程式碼並將其載入到伊頓公司的某個生產子系統上,這個惡意程式碼使用 Java 編寫,當啟動後會無限迴圈建立非終止執行緒從而消耗硬體資源,直到執行這個惡意程式碼的伺服器徹底崩潰並阻止員工登入和使用這臺伺服器。
戴維斯編寫的這段惡意程式碼也非常有意思,執法機關稱這段惡意程式碼為終止開關,但或許叫死人開關更合適,因為這段程式碼會監視戴維斯在伊頓公司的 Microsoft Azure Active Directory 賬號。
當 Microsoft AAD 賬戶系統終止戴維斯的賬戶時,也就是戴維斯被伊頓公司裁員後,這段程式碼就會自動啟動,隨後對伊頓公司的員工系統造成破壞性攻擊。
這段程式碼被命名為 IsDLEnabledinAD,意思就是戴維斯盧是否在 Microsoft AAD 中啟用了,戴維斯自己給這個惡意程式命名為 Hakai,在日語中這是破壞的意思;另一個惡意程式被命名為 Hunshui,這是中文中是昏睡的意思。
最終戴維斯在 2019 年 9 月 9 日被裁員,隨後這段惡意程式碼被啟用,伊頓公司位於全球的數千名員工被阻止登入公司內部網路,最終造成數十萬美元的損失。
伊頓公司報警後,調查人員很快就發現這可能與戴維斯有關,因為一臺內部開發伺服器上出現了這個惡意程式的原始碼,而戴維斯是團隊中唯一一個有這臺開發機訪問許可權的成員。
隨後的調查還發現戴維斯在歸還公司筆記型電腦當天,刪除了一大塊加密資料,戴維斯還嘗試移除其 Linux 作業系統目錄和兩個專案程式碼,另外調查人員還發現戴維斯曾搜尋如何提升許可權、刪除資料和資料夾以及隱藏程序等。
到 2019 年 10 月 7 日面對證據戴維斯最終承認伊頓公司伺服器出現的故障是他造成的,但戴維斯否認存在故意破壞行為,然而否認也沒什麼用,戴維斯將面臨最高 10 年的監禁。