Północnokoreański haker oszukał amerykańskiego dostawcę zabezpieczeń, aby go zatrudnił, i natychmiast próbował go zhakować

KnowBe4, amerykański dostawca zabezpieczeń, ujawnił, że nieświadomie zatrudnił północnokoreańskiego hakera, który próbował załadować złośliwe oprogramowanie do sieci firmy. Dyrektor generalny i założyciel KnowBe4, Stu Sjouwerman, opisał incydent w: post na blogu w tym tygodniu, nazywając to przestrogą, która na szczęście została wykryta, zanim spowodowała jakiekolwiek poważne problemy.

„Po pierwsze: nie uzyskano żadnego nielegalnego dostępu, żadne dane nie zostały utracone, naruszone ani wydobyte z żadnego systemu KnowBe4” – napisał Sjouwerman. „To nie jest powiadomienie o naruszeniu danych, takiego nie było. Potraktuj to jako moment na naukę organizacji, którym się z Tobą dzielę. Jeśli coś takiego mogło przydarzyć się nam, może przydarzyć się niemal każdemu. Nie pozwól, żeby ci się to przydarzyło.”

KnowBe4 poinformowało, że poszukuje inżyniera oprogramowania do swojego wewnętrznego zespołu IT AI. Firma zatrudniła osobę, która – jak się okazało – pochodziła z Korei Północnej i „posługiwała się ważną, ale skradzioną tożsamością pochodzącą z USA” oraz zdjęciem „wzmocnionym” sztuczną inteligencją. Obecnie toczy się dochodzenie FBI w związku z podejrzeniem, że pracownik jest, jak w poście na blogu KnowBe4 nazwano „osobą stanowiącą zagrożenie wewnętrzne/aktorem państwa narodowego”.

KnowBe4 działa w 11 krajach i jest z siedzibą na Florydzie. Zapewnia klientom korporacyjnym szkolenia w zakresie świadomości bezpieczeństwa, w tym testy bezpieczeństwa przed phishingiem. Jeśli od czasu do czasu otrzymujesz tzw fałszywy e-mail phishingowy od swojego pracodawcy, być może pracujesz dla firmy, która korzysta z usługi KnowBe4 w celu testowania zdolności swoich pracowników do wykrywania oszustw.

Osoba przeszła weryfikację przeszłości i wywiady wideo

KnowBe4 zatrudnił północnokoreańskiego hakera w zwykły sposób. „Opublikowaliśmy ofertę pracy, otrzymaliśmy życiorysy, przeprowadziliśmy rozmowy kwalifikacyjne, sprawdziliśmy przeszłość, zweryfikowaliśmy referencje i zatrudniliśmy tę osobę. Wysłaliśmy im stację roboczą Mac, która w chwili otrzymania od razu zaczęła ładować złośliwe oprogramowanie” – podała firma.

Mimo że zdjęcie dostarczone działowi HR było fałszywe, osoba, z którą przeprowadzono rozmowę kwalifikacyjną w sprawie pracy, najwyraźniej była na tyle podobna do niej, że mogła przejść pomyślnie. Zespół HR KnowBe4 „przeprowadził cztery rozmowy wideokonferencyjne przy różnych okazjach, potwierdzając, że dana osoba pasuje do zdjęcia podanego we wniosku” – napisano w poście. „Ponadto przeprowadzono sprawdzenie przeszłości i wszystkie inne standardowe kontrole przed zatrudnieniem, które wykazały, że wszystko jest jasne ze względu na użycie skradzionej tożsamości. To była prawdziwa osoba posługująca się ważną, ale skradzioną tożsamością pochodzącą z USA. Zdjęcie zostało wzmocnione sztuczną inteligencją. „”

Dwa obrazy na górze tej historii to zdjęcia stockowe, a to, co według KnowBe4 to fałszywka sztucznej inteligencji oparta na tym zdjęciu. Zdjęcie stockowe znajduje się po lewej stronie, a podróbka AI po prawej.

Pracownik, o którym mowa w poście na blogu jako „XXXX”, został zatrudniony na stanowisku głównego inżyniera oprogramowania. Podejrzane działania nowego pracownika zostały oznaczone przez oprogramowanie zabezpieczające, co skłoniło Centrum Operacji Bezpieczeństwa (SOC) KnowBe4 do zbadania:

15 lipca 2024 r. wykryto serię podejrzanych działań na koncie użytkownika, które rozpoczęły się o godzinie 21:55 czasu wschodniego. Kiedy te alerty nadeszły, zespół SOC KnowBe4 skontaktował się z użytkownikiem, aby zapytać o anomalną aktywność i możliwą przyczynę. XXXX odpowiedział SOC, że postępuje zgodnie z instrukcjami zawartymi w przewodniku po routerze, aby rozwiązać problem z szybkością i że mógł on spowodować kompromis.

Osoba atakująca wykonywała różne działania w celu manipulowania plikami historii sesji, przesyłania potencjalnie szkodliwych plików i uruchamiania nieautoryzowanego oprogramowania. Do pobrania złośliwego oprogramowania użył Raspberry Pi. SOC próbowało uzyskać więcej szczegółów od XXXX, w tym skontaktować się z nim telefonicznie. XXXX oświadczył, że nie jest w stanie wykonać połączenia, a później przestał odpowiadać. Około 22:20 czasu EST SOC znalazł urządzenie XXXX.

„Fałszywy pracownik IT z Korei Północnej”

Analiza SOC wykazała, że ​​załadowanie złośliwego oprogramowania „mogło być zamierzone przez użytkownika”, a grupa „podejrzewała, że ​​może on stanowić zagrożenie wewnętrzne/podmiot należący do państwa narodowego” – czytamy w poście na blogu.

„Udostępniliśmy zebrane dane naszym przyjaciołom z Mandiant, wiodącego światowego eksperta ds. cyberbezpieczeństwa, oraz FBI, aby potwierdzić nasze wstępne ustalenia. Okazuje się, że był to fałszywy pracownik IT z Korei Północnej” – napisał Sjouwerman.

KnowBe4 stwierdziło, że nie może podać zbyt wielu szczegółów ze względu na aktywne dochodzenie FBI. Jednak osoba zatrudniona do tego zadania mogła zalogować się do komputera firmowego zdalnie z Korei Północnej, wyjaśnił Sjouwerman:

Działa to w ten sposób, że fałszywy pracownik prosi o wysłanie jego stacji roboczej na adres, który w zasadzie jest „farmą laptopów mułów IT”. Następnie korzystają z VPN z miejsca, w którym faktycznie się znajdują (Korea Północna lub za granicą w Chinach) i pracują na nocną zmianę, dzięki czemu wydaje się, że pracują w dzień w USA. Oszustwo polega na tym, że faktycznie wykonują swoją pracę, dobrze zarabiają i przekazują dużą kwotę Korei Północnej na finansowanie swoich nielegalnych programów. Nie muszę ci mówić o poważnym ryzyku z tym związanym. Dobrze, że na początku zatrudniamy nowych pracowników w bardzo ograniczonym obszarze i nie mamy dostępu do systemów produkcyjnych. Nasze kontrole to wychwyciły, ale z pewnością był to moment nauki, którym chętnie dzielę się ze wszystkimi.

Ta historia pierwotnie pojawiła się w Ars Technica.