Il mondo della cybersecurity ha spesso gli occhi puntati su hacker esterni e gruppi criminali organizzati, ma talvolta le minacce più devastanti provengono dall'interno delle stesse organizzazioni. La vicenda di Davis Lu, ex sviluppatore senior della multinazionale Eaton, dimostra come un dipendente con accesso privilegiato ai sistemi informatici possa trasformarsi nel peggior incubo di un'azienda. Il caso, conclusosi con una condanna a quattro anni di carcere, rappresenta un esempio emblematico di quello che gli esperti chiamano "insider threat", una delle sfide più complesse da affrontare nel panorama della sicurezza informatica moderna.
Lu, cinquantacinque anni, aveva trascorso dodici anni della sua carriera presso Eaton, scalando le posizioni fino a diventare sviluppatore senior per le tecnologie emergenti. La sua storia professionale ha preso una piega drammatica quando l'azienda ha deciso di ristrutturarsi, declassandolo a un ruolo inferiore. Invece di accettare la decisione aziendale, l'uomo ha scelto una strada che lo avrebbe portato dritto in tribunale.
La sua risposta al ridimensionamento è stata tanto ingegnosa quanto illegale: ha sviluppato e installato sui server aziendali un programma Java progettato come una bomba a orologeria digitale. Il malware era programmato per attivarsi automaticamente nel momento in cui l'azienda avesse revocato il suo accesso alla rete aziendale.
Il funzionamento del "kill switch" creato da Lu era relativamente semplice ma efficace: il programma generava un numero crescente di thread in un loop infinito, consumando progressivamente tutte le risorse disponibili fino a mandare in crash il server. Tuttavia, le capacità tecniche dell'ex dipendente non si sono estese alla prudenza.
Lu ha commesso errori che sembrano usciti da un manuale su "come farsi scoprire": ha battezzato il suo malware "IsDLEnabledinAD", acronimo per "Is Davis Lu enabled in Active Directory", praticamente firmando la sua opera criminale. Come se non bastasse, ha caricato il software utilizzando le sue credenziali aziendali, una mossa che gli esperti di sicurezza definirebbero tutt'altro che raffinata.
Il giorno del giudizio
Il 9 settembre 2019 Eaton ha licenziato Lu e immediatamente revocato i suoi accessi di rete. Proprio come programmato, il malware si è attivato, scatenando il caos nei sistemi informatici dell'azienda. Migliaia di dipendenti in tutto il mondo si sono trovati impossibilitati ad accedere alla rete aziendale, mentre alcuni dati corporativi venivano cancellati dal sistema.
Le prove contro Lu erano schiaccianti. Sul laptop aziendale che avrebbe dovuto restituire, gli investigatori hanno trovato una cronologia di ricerche che raccontava chiaramente la pianificazione del sabotaggio: ricerche su come cancellare dati, escalare privilegi e nascondere le tracce dei processi. L'ex sviluppatore aveva anche eliminato una consistente quantità di dati criptati.
L'arresto è arrivato meno di un mese dopo l'attivazione del malware. Nonostante avesse ammesso le sue colpe, Lu ha scelto di affrontare un processo con giuria, una strategia che si è rivelata controproducente. La giuria federale di Cleveland lo ha dichiarato colpevole di aver danneggiato intenzionalmente un computer protetto, e il 21 agosto 2025 è arrivata la sentenza: quattro anni di carcere seguiti da tre anni di libertà vigilata.
Matthew Galeotti, procuratore generale aggiunto ad interim della Divisione Criminale del Dipartimento di Giustizia, ha dichiarato che "l'imputato ha tradito la fiducia del suo datore di lavoro utilizzando il suo accesso e le sue conoscenze tecniche per sabotare le reti aziendali, causando devastazione e perdite per centinaia di migliaia di dollari".
Brett Leatherman, direttore assistente della Divisione Cyber dell'FBI, ha evidenziato come questo caso sottolinei "l'importanza di identificare precocemente le minacce interne". Il problema delle insider threats rappresenta infatti una delle sfide più complesse per le aziende moderne: nessun firewall, sistema di intelligenza artificiale o servizio di monitoraggio malware può proteggere efficacemente quando è proprio chi gestisce questi sistemi a diventare il nemico.
La vicenda Lu dimostra che investimenti milionari in cybersecurity possono essere vanificati da un singolo dipendente scontento con accesso privilegiato ai sistemi. Questo caso dovrebbe spingere le aziende a rivedere i loro protocolli di sicurezza interni, implementando controlli più stringenti e sistemi di monitoraggio delle attività degli utenti con privilegi elevati, soprattutto durante periodi di ristrutturazione o cambiamenti organizzativi.
