以色列网络武器交易商 NSO Group 遭遇内部人劫案,一名仅加入公司90天的员工拷贝了“天马”(Pegasus)间谍软件,并在暗网上挂出5000万美元高价售卖。
白帽网络安全行业,具体讲就是以色列网络安全公司 NSO Group,经历了员工背信弃义事件。
说起来就好像科幻剧集似的,刚加入公司不到3个月的员工拷了Pegasus就离开公司,在暗网上明码出售,售价还高达5000万美元。NSO简直不敢相信自己作为一家网络安全公司竟然也会有此遭遇。
上一次网络武器开出天价在暗网售卖,还是影子经纪人开玩笑似的叫价5亿美元卖NSA网络武器工具集了。
Pegasus是什么?
Pegasus是包含恶意软件在内的一套工具,明面上说的是禁供政府用于合法窃听项目。2016年8月的一篇《福布斯》文章曾如此描述:“NSO创建了世界上最具侵入性的手机监视工具包。”使用Pegasus可以通过短信植入恶意软件,让iPhone为审查敞开大门。iMessage、Gmail、Viber、Facebook、WhatsApp、Telegram和Skype通信内容无一幸免。
据传墨西哥就用Pegasus监视记者,阿拉伯联合酋长国则用Pegasus监视并起诉不同政见者。以色列政府、国防部国防出口控制署监管着Pegasus的销售情况。
现在谁拿着Pegasus?
目前尚无任何证据表明Pegasus买卖已成交,也没有任何信息透露出那名员工曾将该软件副本分享给他人。
被问及Pegasus是否已因该前员工的行为而流出失控时,NSO向以色列媒体《环球报》透露:“盗取公司内部信息的行为通常难以预防和发现,但本公司迅速发现了该盗窃尝试,立即展开调查并识别出了相关人员。很短的时间内警方便根据本公司提供的罪证逮捕了那名员工。”
心怀怨恨的员工
《环球报》报道,尽管NSO的声明并未提供发现该内部人行为的具体时间线,但起诉书中详细阐述了那名员工背叛公司的原因,揭示出数据丢失预防(DLP)工具仅在你真正启用的情况下才有效。
该员工的姓名尚未披露,但可以确定是一名现年38岁的男性,于2017年11月加入NSO,任职该公司自动化团队高级程序员。2018年2月,入职3个月后,他因业绩不佳而被领导召去谈话。
他是否被劝退或被放入业绩改善计划我们不得而知,目前唯一清楚的一点是:散会后他回到了自己的工作台,开始搜索规避安全软件(DLP)的方法。起诉书中描述了该员工中断安全软件并下载Pegasus相关文件的方法。他在自己的工作站上将文件拷贝到U盘上并带出了公司。
然而,他的潜在买家通知了NSO,搅黄了他的Pegasus暗网售卖计划。NSO报了警,以色列国家安全局介入,21天内就逮捕了这名前员工。
事情说到这儿,我们难免想要知道该雇员到底有没有成功禁用了NSO的DLP解决方案,或者是不是DLP发出了警报但是被安全团队忽视了。
虽然以色列国防部国防出口控制署监管着相关软件的售卖情况,确保只会卖给不对以色列造成威胁的人,但也应警惕Pegasus会不会落入非国家黑客或敌对国家之手。
鲜明的案例摆在眼前,每家公司企业或许都该扪心自问:
公司有没有在监视新员工的内部访问情况?
当员工出现业绩问题,公司内部人威胁预防团队能知道相关情况吗?
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。