导语:2026年5月7日,弗吉尼亚州亚历山大市,34岁的索哈伊布·阿赫特被联邦陪审团一致认定:阴谋欺诈计算机罪、密码贩卖罪、非法持有枪支罪——全部成立。这并非初犯,而是他第二次站上联邦法庭的被告席。而让他走到这一步的起因,距他被解雇仅6分钟。这是一起关于”权限治理真空期”的经典案例,也是所有安全运营者必须复盘研判的现实教材。
一、案件始末:从视频会议到”数据库清空”
案发背景
索哈伊布·阿赫特与穆尼布·阿赫特是一对双胞胎兄弟,均为34岁。这并非他们第一次触碰法律红线——2015年,二人就曾因电信诈骗与非法入侵计算机系统被定罪,穆尼布入狱3年,索哈伊布入狱2年。
出狱后,兄弟二人重新打入科技行业。2023年,穆尼布入职华盛顿特区一家服务政府机构的科技公司;2024年,索哈伊布也加入该公司。这家被媒体披露为 Opexus 的公司,为超过45个美国联邦机构提供软件与托管服务,包括平等就业机会委员会(EEOC)、国土安全部(DHS)等核心部门。
导火索:密码查询与案发
2025年2月1日,穆尼布请索哈伊布帮忙查询一条进入平等就业机会委员会公共门户系统的用户密码。索哈伊布执行了数据库查询,将一名投诉人的明文密码交给了穆尼布。该密码随后被用于未授权访问该投诉人的邮箱。
公司随后发现了两人的前科记录。
2025年2月18日,二人在一次视频会议中被当场解雇,会议于下午4:50结束。
然后,灾难开始。
|
|
|
|---|---|
|
|
|
|
|
|
|
|
穆尼布的账户漏关
|
|
|
|
|
|
|
|
|
|
对话记录曝光:一边删库,一边”提建议”
更令人震惊的是,检方披露的二人即时通讯记录显示,整个删库过程中,兄弟二人保持着冷静甚至戏谑的对话:
穆尼布:”他们可以从昨天的备份恢复。”
索哈伊布:”是啊,也许吧。”
索哈伊布:”把他们的文件系统也删了?”
穆尼布:”好主意。”
索哈伊布:”你应该搞个删除脚本……比如,勒索他们一笔……”
穆尼布:”不,那等于留下罪证。”
索哈伊布:”他们会来搜查的。”
穆尼布:”我会清理掉这些东西。”
删库完成后,兄弟二人还找来同谋,在公司笔记本电脑上重装了操作系统。2025年3月12日,联邦探员搜查了索哈伊布在亚历山大市的住所,查获7把枪械和370发子弹——作为有前科的重刑犯,他根本无权持有这些武器。
图片版权 华盟网
二、庭审结果:认罪与定罪
|
|
|
|
|---|---|---|
| 穆尼布·阿赫特 |
|
|
| 索哈伊布·阿赫特 |
|
|
| 索哈伊布量刑 |
|
|
Opexus公司事后承认:”额外的尽职调查本应被实施”且”解雇程序处理不当”。但无论公司内部流程如何,存在犯罪前科的人获得了特权账户访问权,并在被解雇后数分钟内造成实质性破坏——这是不争的事实。
三、技术剖析:AI工具成为毁灭证据的帮凶
本案的独特之处在于,攻击者在删除数据后立即转向AI工具寻求”毁灭证据”的方法。庭审证据显示:
穆尼布的AI查询记录:
-
“删除数据库后如何清除SQL服务器系统日志?” -
“如何清除Windows服务器上的所有事件和应用日志?”
这一细节在网络安全社区引发广泛讨论:AI工具是否正在降低毁灭电子证据的技术门槛?
根据MITRE ATT&CK框架分析此次攻击路径:
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
蓝队检测规则建议
针对此类内部威胁的SIEM检测策略:
# 告警规则:特权账户异常删除活动
条件:
-账户类型:service/adminaccount
-操作:执行高危数据库删除命令
-时间窗口:被解雇/转岗后4小时内
-告警阈值:连续3次以上高危数据库操作
# 告警规则:AI工具异常查询(系统日志清除)
条件:
-查询来源:内部网络IP段
-查询内容关键词:清除日志、删除日志、事件日志
-目标:系统管理工具(AI接口)
-时间窗口:非正常工作时间
# 告警规则:异常数据外带
条件:
-行为:大批量数据库查询+USB存储设备接入
-数据量阈值:单次超过1000条记录
-用户属性:当前处于离职流程中
四、特权账户管理的”黄金6分钟”困境
为什么是”6分钟”?
从4:50被解雇到4:56开始删库,穆尼布拥有整整6分钟的系统访问窗口。这6分钟的”权限治理真空期”揭示了众多组织普遍存在的致命缺陷:
问题一:账户终止流程的串行依赖 传统HR离职流程需要多系统、多团队协同完成账户关闭。任何环节的延迟都会形成攻击窗口。
问题二:共享账户与特权账户的混淆 穆尼布的账户属于”被遗漏”的情况,但在真实环境中,大量组织存在共享的特权账户(如管理员账户),其所有者的离职通知可能根本无法精确追踪。
问题三:业务连续性 vs. 安全终止 HR担心”一刀切”式账户关闭会影响在职员工的正常工作体验,导致安全措施被有意无意地绕过。
解决方案:身份与访问管理的实时化改造
基于NIST网络安全框架,建议采取以下措施:
1. 特权账户的”离职即触发”机制
-
将HR系统的离职流程与身份与访问管理系统深度集成 -
员工提交/批准离职申请后,系统自动触发账户暂停流程 -
目标:关键特权账户从”批准离职”到”权限清零”不超过5分钟
2. 不可篡改备份策略 即便攻击者拥有管理员权限,以下措施可防止数据被彻底销毁:
-
采用一次写入、多次读取的存储方式保留历史备份 -
备份删除需要多方授权 -
离线备份与云端备份交叉验证
3. 高风险账户的”双人认证”机制 对关键数据库删除操作,强制要求两名授权管理员同时在场认证。
五、行业警示:从”删库跑路”段子到21年刑期
这起案件在网络安全社区引发深刻反思:曾经被当作”IT从业者发泄情绪的段子”的删库行为,在法律层面有着怎样的代价?
根据美国联邦法律:
-
阴谋欺诈计算机罪:最高5年 -
密码贩卖罪:最高1年 -
非法持有枪支罪:最高10年 -
累计:最高21年(索哈伊布的量刑区间)
而在中国,《刑法》第286条明确规定:破坏计算机信息系统罪,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
无论是美国还是中国,对数据库管理员、运维工程师等高特权岗位而言,”删库”绝非”一时冲动”的成本可承受的行为,而是需要终身承担的刑事责任。
六、案件启示:多层防御策略
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
版权声明:本文由华盟网原创发布,封面图由华盟网AI生成。文章素材来源:美国司法部官方公告、Ars Technica、The Record、CyberInsider。
暂无评论内容