以色列網絡武器交易商 NSO Group 遭遇內部人劫案,一名僅加入公司90天的員工拷貝了“天馬”(Pegasus)間諜軟件,並在暗網上掛出5000萬美元高價售賣。
白帽網絡安全行業,具體講就是以色列網絡安全公司 NSO Group,經歷了員工背信棄義事件。
說起來就好像科幻劇集似的,剛加入公司不到3個月的員工拷了Pegasus就離開公司,在暗網上明碼出售,售價還高達5000萬美元。NSO簡直不敢相信自己作為一家網絡安全公司竟然也會有此遭遇。
上一次網絡武器開出天價在暗網售賣,還是影子經紀人開玩笑似的叫價5億美元賣NSA網絡武器工具集了。
Pegasus是什麼?
Pegasus是包含惡意軟件在內的一套工具,明面上說的是禁供政府用於合法竊聽項目。2016年8月的一篇《福布斯》文章曾如此描述:“NSO創建了世界上最具侵入性的手機監視工具包。”使用Pegasus可以通過短信植入惡意軟件,讓iPhone為審查敞開大門。iMessage、Gmail、Viber、Facebook、WhatsApp、Telegram和Skype通信內容無一倖免。
據傳墨西哥就用Pegasus監視記者,阿拉伯聯合酋長國則用Pegasus監視並起訴不同政見者。以色列政府、國防部國防出口控制署監管著Pegasus的銷售情況。
現在誰拿著Pegasus?
目前尚無任何證據表明Pegasus買賣已成交,也沒有任何信息透露出那名員工曾將該軟件副本分享給他人。
被問及Pegasus是否已因該前員工的行為而流出失控時,NSO向以色列媒體《環球報》透露:“盜取公司內部信息的行為通常難以預防和發現,但本公司迅速發現了該盜竊嘗試,立即展開調查並識別出了相關人員。很短的時間內警方便根據本公司提供的罪證逮捕了那名員工。”
心懷怨恨的員工
《環球報》報道,儘管NSO的聲明並未提供發現該內部人行為的具體時間線,但起訴書中詳細闡述了那名員工背叛公司的原因,揭示出數據丟失預防(DLP)工具僅在你真正啟用的情況下才有效。
該員工的姓名尚未披露,但可以確定是一名現年38歲的男性,於2017年11月加入NSO,任職該公司自動化團隊高級程序員。2018年2月,入職3個月後,他因業績不佳而被領導召去談話。
他是否被勸退或被放入業績改善計劃我們不得而知,目前唯一清楚的一點是:散會後他回到了自己的工作臺,開始搜索規避安全軟件(DLP)的方法。起訴書中描述了該員工中斷安全軟件並下載Pegasus相關文件的方法。他在自己的工作站上將文件拷貝到U盤上並帶出了公司。
然而,他的潛在買家通知了NSO,攪黃了他的Pegasus暗網售賣計劃。NSO報了警,以色列國家安全局介入,21天內就逮捕了這名前員工。
事情說到這兒,
我們難免想要知道該僱員到底有沒有成功禁用了NSO的DLP解決方案,或者是不是DLP發出了警報但是被安全團隊忽視了。雖然以色列國防部國防出口控制署監管著相關軟件的售賣情況,確保只會賣給不對以色列造成威脅的人,但也應警惕Pegasus會不會落入非國家黑客或敵對國家之手。
鮮明的案例擺在眼前,每家公司企業或許都該捫心自問:
公司有沒有在監視新員工的內部訪問情況?
當員工出現業績問題,公司內部人威脅預防團隊能知道相關情況嗎?
閱讀更多 安全牛 的文章
