Cybersecurity-Firma stellt versehentlich nordkoreanischen Hacker ein und sieht sich einem Hackerangriff gegenüber

KnowBe4, ein in den USA ansässiges Unternehmen für Sicherheitsschulungen, hat kürzlich entdeckt, dass es versehentlich einen nordkoreanischen falschen IT-Mitarbeiter für die Rolle des Principal Software Engineer eingestellt hat, nachdem der neu zugewiesene Computer des Mitarbeiters mit Malware infiziert wurde.

In einer Zusammenfassung des Vorfallsberichts über Insider-Bedrohungen, die am Dienstag veröffentlicht wurde, sagte Stu Sjouwerman, CEO und Präsident von KnowBe4, dass der nordkoreanische Hacker, der sich als Software-Ingenieur ausgab, Berichten zufolge durch einen standardmäßigen Rekrutierungsprozess für ihre KI-Abteilung eingestellt wurde, der mehrere Interviews, Hintergrundprüfungen und Referenzüberprüfungen umfasste.

„Unser HR-Team führte an verschiedenen Tagen vier Video-Interviews durch und bestätigte, dass die Person mit dem auf ihrem Antrag bereitgestellten Foto übereinstimmte. Darüber hinaus wurden eine Hintergrundüberprüfung und alle anderen standardmäßigen Vorabprüfungen durchgeführt und kamen aufgrund der verwendeten gestohlenen Identität zurück. Dies war eine echte Person, die eine gültige, aber gestohlene US-basierte Identität verwendete. Das Bild wurde von KI ‘verbessert’,“ erklärte Sjouwerman in der Zusammenfassung des Vorfallsberichts.

Nachdem alles genehmigt wurde, wurde der falsche IT-Mitarbeiter eingestellt und ihm wurde eine Mac-Workstation zugewiesen, damit er mit der Arbeit beginnen konnte.

Bei Erhalt der Maschine wurden am 15. Juli 2024 um 21:55 Uhr EST eine Reihe verdächtiger Aktivitäten auf dem Computer des neuen Mitarbeiters festgestellt, was Warnungen an das InfoSec Security Operations Center (SOC) Team von KnowBe4 auslöste.

Als das SOC-Team von KnowBe4 den Benutzer kontaktierte, um nach der unregelmäßigen Aktivität und möglichen Ursachen zu fragen, antwortete der als „XXXX“ identifizierte Mitarbeiter dem SOC, dass er Schritte zur Fehlersuche bei einem Geschwindigkeitsproblem mit seinem Router unternahm und dass dies möglicherweise zu einem Kompromiss geführt habe.

Als das SOC-Team versuchte, ihn zu kontaktieren, um weitere Informationen zu erhalten, war er für einen Anruf nicht erreichbar und wurde später unresponsive. Gegen 22:20 Uhr EST sagte Sjouwerman, dass das Unternehmen die infizierte Mac-Workstation isoliert habe.

Eine interne Untersuchung des SOC-Teams von KnowBe4 ergab, dass der Bedrohungsakteur während des etwa 25-minütigen Zeitraums verschiedene Aktionen durchgeführt hatte, um Sitzungsverlaufdateien zu manipulieren, potenziell schädliche Dateien zu übertragen und nicht autorisierte Software auszuführen, einschließlich der Verwendung eines Raspberry Pi, um die Malware zu laden.

Nach der Beschlagnahme der Maschine teilte das Unternehmen seine Daten und Erkenntnisse mit Mandiant, einem führenden globalen Cybersicherheitsexperten, und dem FBI, und stellte fest, dass der falsche IT-Mitarbeiter tatsächlich ein nordkoreanischer Hacker war.

„Wie das funktioniert, ist, dass der falsche Mitarbeiter darum bittet, ihre Workstation an eine Adresse zu senden, die im Grunde eine ‘IT-Maultier-Laptop-Farm’ ist. Sie verbinden sich dann über VPN von ihrem tatsächlichen Standort (Nordkorea oder über die Grenze in China) und arbeiten die Nachtschicht, sodass sie scheinen, als würden sie tagsüber in den USA arbeiten,“ fügte Sjouwerman hinzu.

„Der Betrug besteht darin, dass sie tatsächlich die Arbeit erledigen, gut bezahlt werden und einen großen Betrag nach Nordkorea überweisen, um ihre illegalen Programme zu finanzieren. Ich muss Ihnen nicht von dem erheblichen Risiko erzählen, das damit verbunden ist.“

Trotz der Umstände betonte Sjouwerman, dass kein illegaler Zugriff erlangt wurde und keine Daten auf den Systemen von KnowBe4 verloren, kompromittiert oder exfiltriert wurden.

„Das Subjekt hat ein hohes Maß an Raffinesse bei der Erstellung einer glaubwürdigen Deckidentität, der Ausnutzung von Schwächen im Einstellungs- und Hintergrundprüfungsprozess und dem Versuch, einen Fuß in die Systeme der Organisation zu bekommen, demonstriert,“ sagte Sjouwerman in einer Zusammenfassung des Vorfalls.

„Dies ist ein gut organisiertes, staatlich unterstütztes, großes kriminelles Netzwerk mit umfangreichen Ressourcen. Der Fall hebt den kritischen Bedarf an robusteren Prüfprozessen, kontinuierlicher Sicherheitsüberwachung und verbesserter Koordination zwischen HR, IT und Sicherheitsteams zum Schutz vor fortgeschrittenen anhaltenden Bedrohungen hervor. Links ist das ursprüngliche Stockbild. Rechts ist das von der KI eingereichte Fake, das an die HR gesendet wurde.“

Um diese Arten von Betrügereien zu verhindern, hat Sjouwerman einige Tipps für Organisationen gegeben, die das Scannen interner Remote-Geräte, einen robusten Prüfprozess, eine bessere Lebenslaufüberprüfung auf Karriereinkonsistenzen, die Durchführung von Video-Interviews und nicht nur die Abhängigkeit von E-Mail-Referenzen für neue Mitarbeiter, sondern auch gründlichere Hintergrundprüfungen umfassen.