一对双胞胎程序员被公司解雇后,决定报复。他们远程登录前雇主的系统,删除数据库备份,修改DNS配置,还讨论了如何勒索公司。唯一的疏漏是:他们全程开着微软Teams的会议录制功能,把对话一字不漏地录了下来。
这段录音后来成为法庭上的关键证据。起诉书详细记录了兄弟俩的对话内容,让我们得以一窥网络犯罪者在作案时的真实状态——不是电影里的黑客帝国,而是两个慌慌张张、互相试探、随时担心被抓的普通人。
对话从确认VPN连接开始。Sohaib问:"还在连吗?还在VPN上?"接着提议:"把他们的数据库全删了?"Muneeb倒是冷静些:"呃,他们能恢复……有备份,我确定。"Sohaib追问:"每日备份?"Muneeb:"对。"
但报复的冲动很快压倒了理性。两人开始讨论更激进的方案。Sohaib提出勒索:"我们该怎么回应他们?是不是该说每人要25000美元?"Muneeb的反应耐人寻味:"我们现在做的是 petty shit( petty 的事)。"这句话后来被反复引用——他明明意识到行为的性质,却没有停手。
录音中最具戏剧性的部分,是两人对"谁来做、谁担责"的博弈。Muneeb说:"我要把电脑清干净。"Sohaib则透露自己还留着客户邮箱:"我进不了系统了,但eCase和FOIAXpress的客户邮件地址我还有。"
当Sohaib追问Muneeb在做什么时,后者明显在隐瞒:"没什么重要的,伙计。""为什么不告诉我?我不会告密的。""不需要。别担心。"
几分钟后,Muneeb觉得时机成熟:"人们今天都下线了,这是完美时机。"Sohaib这才意识到对方还有系统访问权限:"你怎么还有权限?什么时候连的VPN?"Muneeb得意地回答:"在他们那个蠢会议开始前10分钟。"Sohaib估算:"你可能还有权限,至少6小时,到今天结束。"
Muneeb的回应充满警告意味:"别担心,伙计。你别做任何事,别尝试任何东西。他们在盯着你,没在盯我。"但Sohaib已经通过屏幕共享看到了操作:"我看到你在清空他们的数据库备份。"Muneeb再次强调:"别担心。你没做任何事,别尝试任何东西。"
Sohaib随后说出那句成为罪证的话:"我要RDP进他们的系统,删除所有数据。"但他也表现出犹豫:"那样后果会更严重。"Muneeb立刻撇清:"你在说什么?我什么都没做。他们开会的时候就把我的权限关了。"Sohaib最后确认:"好吧,如果你有合理的推诿理由。"
两人继续讨论删除备份和修改DNS。Muneeb评估破坏程度:"呃,他们能从昨天恢复。[IT经理]得忙活一阵了。"他们还提到了具体客户:退伍军人事务部监察长办公室、教育部监察长办公室、国土安全部监察长办公室。Muneeb特别指出:"DHS是个大客户。"
Sohaib给出操作指令:"逐个进去,启动删除流程。需要时间……最终会删掉所有文件。"Muneeb用西班牙语提醒:"Sabes(你知道的),什么都别说,好吗,别担心。"Sohaib保证:"我什么都不说。"
录音末尾,两人的关系出现裂痕。Sohaib埋怨:"你早该想到的,伙计。"Muneeb不解:"什么意思?比如准备个kill脚本,什么意思?"Sohaib透露真实想法:"勒索他们要点钱本来可以……"Muneeb打断:"不,"
录音到此中断。但已经足够。
这段对话暴露了几个关键事实:第一,攻击是有预谋的,而非冲动行为——Muneeb提前10分钟连接VPN,说明他预料到会被解雇;第二,两人存在分工和博弈,Muneeb负责执行,Sohaib掌握客户信息作为筹码,但互相不信任;第三,他们对技术后果有清醒认知(知道有备份、知道删除需要时间),却对法律后果严重低估。
最讽刺的细节是Teams录制。企业协作工具本意是提升效率,却成为犯罪行为的忠实记录者。这提醒我们:数字时代的"房间"从来都不是私密的,每一个未关闭的麦克风、摄像头、录屏功能,都可能成为呈堂证供。
对网络安全从业者而言,这个案例还有另一层启示。攻击者来自内部,拥有合法凭证,熟悉系统架构,且作案时机选在"人们下线"的傍晚——这正是最难防御的"可信内部人"威胁。公司可以加固防火墙,却很难防范前员工用提前保存的VPN权限登录。
目前案件已进入司法程序。那段录音将作为核心证据,证明被告不仅实施了破坏行为,而且具备主观故意。对于Sohaib和Muneeb来说,"别担心"成了最徒劳的安慰——他们担心的终究发生了,而且是以一种他们完全没预料到的方式。
热门跟贴