Hotdry.

Article

解雇通话后六分钟:96个政府数据库被删的访问控制窗口分析

从Opexus双胞胎工程师案解析离职触发与权限撤销的时间差风险,提供同步撤销流程、AI反取证检测与数据库写保护的工程化控制参数。

2026-05-14security

解雇通话后六分钟:96 个政府数据库被删的访问控制窗口分析

2025 年 2 月 18 日下午 4 点 50 分,Opexus 公司通过视频会议解雇了两名工程师。六分钟后,其中一人开始删除政府数据库。到当天结束时,96 个数据库已被清除,包括国土安全部生产环境、FOIA 请求记录以及 450 多名纳税人的联邦税务数据。这起案件的核心教训不在于攻击者的技术能力,而在于一个被忽视的流程缺口:权限撤销与解雇通知之间存在致命的时间窗口。

分钟级时间线:窗口如何形成

根据法庭文件记录,事件按分钟展开:

  • 16:50:双胞胎兄弟 Muneeb 和 Sohaib Akhter 在视频会议中被告知解雇决定
  • 16:55:Sohaib 尝试访问公司网络,但 VPN 已被停用,Windows 账户已禁用,攻击失败
  • 16:56:Muneeb 仍保持网络连接,开始访问政府数据库,执行写保护命令阻止其他用户连接,随后删除数据库
  • 约 16:57:删除国土安全部数据库后一分钟内,Muneeb 向 AI 工具询问 "如何清除 SQL Server 的系统日志" 以及 "如何清除 Windows Server 2012 的所有事件和应用程序日志"

这个时间线揭示了一个关键事实:Opexus 对 Sohaib 的权限撤销是成功的 ——VPN 和 Windows 账户同步禁用阻止了他的访问尝试。但 Muneeb 的会话保持活跃,使他能够在权限最终被撤销前执行破坏性操作。

写保护命令与恢复阻断

攻击者使用的技术细节值得安全团队关注。Muneeb 不仅删除了数据库,还首先执行了写保护命令(write-protecting databases),这一操作阻止了其他用户连接或修改数据库,有效阻断了常规恢复尝试。这种 "先锁后删" 的模式表明攻击者对数据库管理有深入了解,也暴露了组织在紧急访问控制方面的脆弱性。

当攻击者试图利用 AI 工具清除日志时,这一行为本身成为了联邦调查的证据。起诉书明确记录了 Muneeb 向 AI 工具提交的原始查询语句,这是首次在联邦案件中将 LLM 提示作为意图证据。对于防御者而言,这意味着 AI 查询日志可能成为取证分析的新数据源。

背景审查缺口:被重复雇佣的罪犯

这起案件的根本性失败发生在雇佣阶段。Akhter 兄弟在 2015 年已因入侵国务院和化妆品公司而被联邦定罪,分别被判处 39 个月和 24 个月监禁。然而 Opexus 在雇佣时未能识别这一历史记录。

问题的暴露具有偶然性:当 Sohaib 被提供 FDIC 监察长办公室的一个职位时,该职位要求进行新的背景审查,这才发现了他的犯罪记录。FDIC 官员随后将这一情况通报给 Opexus 的首席信息安全官,触发了解雇流程。这一发现序列揭示了一个系统性问题:跨机构的背景审查信息未能共享,导致有犯罪记录的承包商能够在联邦系统中流动。

同步撤销的工程化控制

从这起案件可以提炼出三个可落地的控制措施:

1. 同步撤销协议

对于具有系统管理员级别访问权限的员工,网络和应用程序访问应在解雇通话期间或之前被切断,而非通话结束后。这要求 HR、IT 和安全团队在解雇流程中实现实时协调。具体实施包括:

  • 在解雇会议开始前 30 分钟,将目标账户标记为 "待撤销" 状态
  • 会议开始时,安全团队实时监控目标账户的所有活动
  • 会议结束瞬间,触发自动化撤销流程:禁用 VPN、AD 账户、云访问密钥、数据库凭证
  • 对于活跃会话,实施强制注销而非等待会话过期

2. 数据库写保护默认策略

攻击者利用写保护命令阻止恢复,这一技术可以被转化为防御措施。关键数据库应默认处于写保护状态,任何修改都需要通过变更控制流程。结合不可变备份(immutable backups)和与生产环境凭证分离的离线存储,可以将恢复时间从数月缩短到数小时。

3. AI 查询监控信号

虽然直接监控消费者 LLM 的 API 活动通常不可行,但网络级信号具有取证价值。安全团队应监控:

  • 特权用户终端对 LLM 提供商域名的 DNS 查询
  • 敏感系统活动与 LLM 使用时间的关联性
  • 包含特定日志文件路径、审计子系统或反取证术语的企业账户 LLM 提示

风险终止的跨职能协议

对于高风险终止场景 —— 特别是涉及数据库管理员访问权限的虚拟解雇 —— 组织应建立跨职能协议。安全运营中心应在终止后 24-72 小时内实时监控目标账户,定义明确的升级路径。HR、IT、安全和法务团队应共同参与终止流程,确保技术控制与人员流程同步。

这起案件的最终代价仍在计算中。Sohaib Akhter 于 2026 年 5 月 7 日被联邦陪审团定罪,面临最高 21 年监禁;Muneeb Akhter 的案件仍在审理中,面临最高 45 年监禁。但对于安全从业者而言,真正的教训在于:最危险的攻击窗口往往不在系统被入侵时,而在权限本应被撤销却尚未撤销的那几分钟内。

资料来源

  • The Register: Twin brothers charged with deleting 96 US govt databases (2025-12-04)
  • The Cyber Signal: Federal Jury Convicts Sohaib Akhter Over 96 Wiped Govt Databases (2026-05-08)

security

内容声明:本文无广告投放、无付费植入。

如有事实性问题,欢迎发送勘误至 i@hotdrydog.com