Всі обожнюють круті історії про помсту великим корпораціям. Але інженер-програміст, який використав свої навички проти колишнього роботодавця, дізнався на власному досвіді, що ні правоохоронні органи, ні його колеги не вважають помсту такою ж захопливою, як Голлівуд. Насправді це принесло йому чотири роки в’язниці.

Інженером, про якого йдеться, є Девіс Лу. Він працював у компанії Eaton Corporation цілих 12 років. Це величезна організація, на яку працюють понад 92 000 людей по всьому світу — і, очевидно, Лу вважав, що компанія має дуже пошкодувати, якщо він коли-небудь буде змушений шукати нову роботу.

Отже, за місяць до свого звільнення він підготував логічну бомбу з коду — і як тільки обліковий запис Лу було вимкнено, скрипт автоматично заблокував усі доступи колег до сервера, а сам сервер почав знищуватись зсередини через “вічні цикли” (у цьому випадку код, призначений для виснаження потоків Java шляхом повторного створення нових потоків без належного завершення, що призводить до збоїв або зависання серверів).

Досить вражаюче, що Лу знайшов спосіб налаштувати цей kill switch, не викликавши підозр. Однак він, схоже, не має природної схильності до підступності — Департамент юстиції повідомляє, що функція, яка використовувалася для активації вимикача, називалася “IsDLEnabledinAD” — “чи увімкнений Девіс Лу в Active Directory” — і була “автоматично активована, коли його звільнили та попросили здати свій ноутбук.”

Тож, звісно, Лу спіймали, заарештували, судили та визнали винним. Тепер він проведе 4 роки у в’язниці та 3 роки під наглядом за найгірший злочин, пов’язаний з Java та Active Directory з моменту винаходу Java та Active Directory, при цьому Департамент юстиції заявив, що логічна бомба “вплинула на тисячі корпоративних користувачів по всьому світу”, перш ніж хтось в Eaton знайшов спосіб відновити системи.

“Крім того, в день, коли йому наказали здати корпоративний ноутбук, Лу видалив зашифровані дані,” — заявив Департамент юстиції. “Його історія пошуку в інтернеті показала, що він досліджував методи підвищення привілеїв, приховування процесів та швидкого видалення файлів, що вказує на намір перешкодити зусиллям своїх колег з вирішення системних збоїв.” (Хоча слід зазначити, що це були його колишні колеги.)

Очевидно, висновок з цієї історії полягає в тому, що помсту краще залишити вигаданим персонажам та кінематографу. Це точно не означає, що будь-хто, хто хоче встановити логічну бомбу, повинен, мабуть, зробити так, щоб код перевіряв кількох користувачів в Active Directory та спрацьовував через випадковий проміжок часу після того, як одного з цих користувачів більше немає в системі, або що дослідження способів саботажу мережі колишнього роботодавця вимагає принаймні режиму інкогніто.

Що таке логічна бомба?

Логічна бомба — це тип шкідливого програмного забезпечення, яке залишається бездіяльним у системі до тих пір, поки не відбудеться певна подія або умова. У випадку Девіса Лу “бомба” була запрограмована спрацьовувати при видаленні його облікового запису з Active Directory корпоративної системи, що автоматично відбулося при його звільненні.

Цей інцидент служить суворим нагадуванням про важливість кібербезпеки на робочому місці та потенційні наслідки зловживання привілейованим доступом до корпоративних систем.

Ця стаття Програміст заклав у мережу роботодавця логічну бомбу, яка почала знищувати сервери після його звільнення раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Ви, напевно, знайомі з відомими типами шкідливого програмного забезпечення, такими як віруси, трояни та хробаки. Однак логічні бомби менш відомі, можливо, тому, що пересічна людина навряд чи стане їхньою жертвою. Отже, що ж це таке?

Логічна бомба — це шкідливий програмний код, що приховано впроваджується в програму або систему та активується лише за певних умов. На відміну від інших видів зловмисного програмного забезпечення, таких як віруси чи черв’яки, логічна бомба не розмножується самостійно.

Логічні бомби насправді надзвичайно прості за своєю концепцією. Шкідливий код вбудовується у нічим не примітне програмне забезпечення. Бомба спрацьовує, доставляючи своє корисне навантаження, тільки коли буде виконана певна умова, наприклад:

• Досягнення певної дати чи часу;
• Вхід користувача до системи;
• Виконання певної операції.

Логічні бомби особливо підступні, тому що до виконання запрограмованих умов вони просто нічого не роблять. У випадку з вірусом, наприклад, шкідливе програмне забезпечення намагається поширюватися саме по собі і буде поводитися так, що антивірусне програмне забезпечення вважатиме це підозрілим. Крім того, оскільки логічні бомби зазвичай створюються для ураження конкретної цілі, ви не можете покладатися на еквівалент вірусного підпису.

Як працюють і спрацьовують логічні бомби

Логічна бомба зазвичай інтегрується у легітимне програмне забезпечення або систему. Зловмисники можуть залишити цей код під час створення програми, оновлення або навіть шляхом отримання несанкціонованого доступу до системи. Коли задані умови виконуються, бомба активується і може виконувати різноманітні дії, зокрема:

• Видалення чи пошкодження файлів;
• Знищення баз даних;
• Виведення конфіденційної інформації;
• Виведення системи з ладу.

Програміст створює логічну бомбу, щоб сидіти і чекати, коли відбудуться дуже конкретні умови. Це може бути досягнення певної дати і часу, видалення певного файлу або вхід певного користувача на робочу станцію. Один з факторів, чому з цією формою шкідливого програмного забезпечення так важко боротися, полягає в тому, що вона дуже специфічна.

Логічні бомби найчастіше створюються інсайдерами, які мають певну образу або мету щодо конкретної цілі. Цією ціллю може бути людина, компанія або будь-що, що вирішить визначити творець бомби.

Важливо також знати, що логічні бомби можуть бути корисним навантаженням для інших типів шкідливого програмного забезпечення. Таким чином, вірус або троянець може заразити систему, розмістити логічну бомбу, а потім видалити себе.

Відомі приклади атак з використанням логічних бомб

В історії було кілька прикладів успішних атак з використанням логічних бомб. Один з перших відомих в історії – інцидент з INSLAW у 1980-ті роки: Логічна бомба була інтегрована у програмне забезпечення для управління судовими справами. Вона активувалася, якщо клієнт не продовжував ліцензію на програму.

Одним з останніх на момент написання цієї статті було виявлення у 2023 році, що поїзди Newag були запрограмовані на поломку, якщо GPS повідомляв, що вони обслуговуються в майстерні конкурента.

У 2013 році логічна бомба знищила жорсткі диски трьох південнокорейських банків і двох медіакомпаній в один і той самий час.

Було кілька спроб атак за допомогою логічних бомб, які були вчасно зупинені. Наприклад, у 2008 році американська іпотечна компанія Fannie Mae виявила логічну бомбу, закладену ІТ-підрядником. Якби вона вибухнула, всі сервери компанії були б стерті з лиця землі.

Як виявити та запобігти логічним бомбам

Логічні бомби важко виявити, а запобігти їм, можливо, ще важче. Не існує чарівного програмного забезпечення, яке можна завантажити для захисту від них, і є лише кілька способів спробувати зловити їх до того, як вони спрацюють.

• Контроль доступу: Обмежуйте права доступу до системи та програмного забезпечення, особливо для тимчасових працівників.
• Аудит коду має вирішальне значення для того, щоб не допустити потрапляння шкідливого коду в програмне забезпечення. Це особливо важливо, якщо ви або ваша компанія пишете власне програмне забезпечення, і багато людей мають доступ до вихідного коду. Як я вже згадував у прикладах вище, нерідкі випадки, коли незадоволений програміст або інший колишній працівник закладає логічну бомбу, яка вибухає задовго після того, як вони звільняються. У деяких випадках може бути занадто пізно, щоб пов’язати логічну бомбу з цією особою.
• Моніторинг аномальної поведінки програмного забезпечення: ще один спосіб виявити логічну бомбу, але знову ж таки, це складно, оскільки деякі корисні навантаження логічних бомб не викликають негайних тривог.
• Профілактика: найважливіший спосіб уникнути шкоди, яку можуть завдати логічні бомби. Зазвичай це означає перевірку того, хто має доступ до коду програми, а також всі звичайні засоби кібербезпеки, такі як навчання людей не завантажувати випадкове програмне забезпечення з інтернету.
• Резервне копіювання: Регулярне створення резервних копій дозволить швидко відновити дані у разі атаки.

Висновок

Логічна бомба — це серйозна кіберзагроза, яка може завдати значної шкоди комп’ютерним системам та даним. Розуміння того, як вона працює, а також дотримання базових принципів кібербезпеки, допоможе захистити вашу інформацію та мінімізувати ризики. Сучасні технології та обізнаність користувачів є ключовими елементами ефективного захисту від цієї загрози.

Ця стаття Що таке логічна бомба? раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня