Een Amerikaanse programmeur die zijn werk naar China outsourcete zodat hij zelf de hele dag video's van katten kon bekijken is betrapt na het analyseren van de netwerklogs. Dat meldt beveiligingsbedrijf Verizon dat bij het incident werd ingeschakeld. Het bedrijf in kwestie, een Amerikaanse organisatie in de kritieke infrastructuur, was geschrokken na de eerste analyse die het zelf uitvoerde.
Er was een ongeautoriseerde VPN-verbinding uit China met het bedrijfsnetwerk ontdekt. Het bedrijf gebruikte twee-factor authenticatie voor de VPN-verbinding, waaronder een RSA-token. De verbinding duidde erop dat de aanvaller deze beveiligingsmaatregel had omzeild. Mede omdat de programmeur van wie de inloggegevens werden gebruikt, gewoon in zijn kantoor zat.
VPN
Uit de VPN-logs bleek dat de werknemer, die zich op Amerikaanse bodem bevond, vanaf een Chinees IP-adres inlogde. In eerste instantie dacht het bedrijf aan malware die het verkeer van een vertrouwde interne verbinding naar China doorstuurde en dan weer terug. Opmerkelijk genoeg bleek de verdachte VPN-verbinding al zes maanden te bestaan. Dit betekende dat de aanvallers niet alleen regelmatig inlogden, maar ook al een geruime tijd actief waren.
De IT-er in kwestie was een ervaren programmeur, halverwege de 40. Hij werkte al geruime tijd bij het bedrijf, was een gezinsman en erg ingetogen. Het bedrijf was er zeker van dat het om een soort nieuwe zero day-aanval ging die VPN-verbindingen van de man zijn desktop via een externe proxy naar China opzette, waarna de verbinding weer terug naar het kantoor ging.
Er werd een forensisch onderzoek naar de computer van de man ingesteld om te bepalen of er malware actief was. Tot verbazing van de onderzoekers werden op de machine honderden facturen van een Chinese aannemer en ontwikkelaar ontdekt. Uit dezelfde regio waarvandaan de VPN-verbindingen waren opgezet.
Outsourcing
De man bleek zijn werk aan een Chinees consultancybedrijf te hebben uitbesteed. De programmeur, die een salaris van zes cijfers verdiende, liet zijn werk voor minder dan een vijfde van zijn salaris door het Chinese bedrijf uitvoeren. De authenticatie was geen enkel probleem, aangezien de man zijn RSA token via FedEx naar China had gestuurd, zodat de aannemer met zijn inloggegevens op het systeem kon inloggen. Daardoor leek het alsof hij netjes van 9 tot 5 werkte.
Een analyse van zijn surfgedrag maakte meer duidelijk. Als de man om negen uur binnenkwam, was hij eerst 2,5 uur bezig met het lezen van Reddit en het bekijken van video's van katten. Om 11:30 uur ging hij lunchen, gevold door 'eBay time' om 13:00 uur. Rond 14:00 uur werden de LinkedIn- en Facebookprofielen bijgewerkt. Om half vijf volgde een e-mail naar het management waarna de man om 17:00 uur naar huis ging.
Tevreden
Verder onderzoek wees uit dat man dezelfde 'scam' bij meerdere bedrijven in het gebied toepaste. Zo verdiende hij een paar honderdduizend dollar per jaar, en was hij voor het Chinese consultancybedrijf slechts 50.000 dollar kwijt.
Opmerkelijk genoeg waren alle bedrijven zeer te spreken over zijn prestaties, zo bleek uit de beoordelingen die de man had ontvangen. Zijn code was netjes, goed geschreven en op tijd opgeleverd. Daardoor werd hij regelmatig tot beste programmeur van het bedrijf uitgeroepen. Inmiddels is hij als programmeur bij het ene bedrijf opgestapt.
Deze posting is gelocked. Reageren is niet meer mogelijk.