Ảnh minh họa. A-B Tech

Vụ việc cho thấy rủi ro an ninh đặc biệt nghiêm trọng từ các “người trong cuộc” (insider) có quyền truy cập quản trị và nhấn mạnh yêu cầu tăng cường kiểm soát truy cập cũng như giám sát hệ thống.

Chi tiết vụ tấn công

Maxwell Schultz (Columbus, Ohio) bị chấm dứt hợp đồng kỹ thuật viên IT ngày 14/5/2021. Chỉ vài ngày sau khi bị cho nghỉ việc, Schultz đã thực hiện một cuộc tấn công có chủ đích dựa trên chính hiểu biết kỹ thuật và quyền truy cập nội bộ của mình.

Anh ta mạo danh một nhà thầu khác để lấy thông tin đăng nhập hợp lệ, sau đó triển khai một tập lệnh PowerShell nhằm đặt lại khoảng 2.500 mật khẩu trong toàn bộ tổ chức.

Hành vi này khiến hàng nghìn nhân viên và nhà thầu trên khắp nước Mỹ bị khóa tài khoản, làm tê liệt hoạt động kinh doanh.

Không dừng lại ở đó, Schultz còn cố xóa dấu vết bằng cách tìm cách xóa nhật ký hệ thống, nhật ký sự kiện PowerShell và nhiều log quan trọng khác. Nỗ lực che giấu này thể hiện hiểu biết sâu cơ chế ghi log và cách các dấu vết kỹ thuật số được lưu trữ trong hệ thống.

Theo hồ sơ, cuộc tấn công gây thiệt hại hơn 862.000 USD, bao gồm thời gian nhân viên phải ngừng làm việc, gián đoạn dịch vụ khách hàng và chi phí khôi phục hệ thống.

Trong lời nhận tội, Schultz thừa nhận rõ ràng rằng hành vi tấn công mạng này nhằm trả đũa việc bị sa thải.

Đối mặt án tù liên bang

Thẩm phán Liên bang Lee Rosenthal dự kiến tuyên án ngày 30/1/2026. Schultz có thể phải đối mặt mức án lên tới 10 năm tù liên bang và khoản phạt tối đa 250.000 USD.

Vụ án được điều tra bởi FBI và truy tố bởi các Trợ lý Công tố viên Rodolfo Ramirez và Michael Chu.

Sự cố này cho thấy tầm quan trọng của chương trình phòng ngừa mối đe dọa nội bộ, bao gồm việc thu hồi ngay lập tức quyền truy cập khi nhân sự nghỉ việc, tăng cường giám sát hoạt động của tài khoản quản trị và áp dụng cơ chế lưu trữ log bất biến.

An Lâm (Theo Cyber Press)