La empresa de ciberseguridad contrata por error a un hacker norcoreano y enfrenta un ataque cibernético

KnowBe4, una empresa estadounidense de capacitación en concienciación sobre seguridad, descubrió recientemente que había contratado inadvertidamente a un falso trabajador de TI norcoreano para el puesto de Ingeniero Principal de Software después de que la computadora recién asignada al empleado se infectara con malware.

En un resumen del informe de incidentes sobre amenazas internas publicado el martes, Stu Sjouwerman, CEO y presidente de KnowBe4, dijo que el hacker norcoreano que se hacía pasar por ingeniero de software fue supuestamente contratado a través de un proceso de reclutamiento estándar para su división de IA, que involucró múltiples entrevistas, verificaciones de antecedentes y verificaciones de referencias.

“Nuestro equipo de recursos humanos realizó cuatro entrevistas por videoconferencia en diferentes ocasiones, confirmando que la persona coincidía con la foto proporcionada en su solicitud. Además, se realizó una verificación de antecedentes y todas las demás verificaciones estándar previas a la contratación y resultaron limpias debido a la identidad robada que se estaba utilizando. Esta era una persona real usando una identidad válida pero robada basada en EE. UU. La imagen fue ‘mejorada’ por IA”, declaró Sjouwerman en el resumen del informe de incidentes.

Una vez que todo fue aprobado, se contrató al falso empleado de TI y se le asignó una estación de trabajo Mac para que pudiera comenzar a trabajar.

Al recibir la máquina, se detectaron una serie de actividades sospechosas en la máquina del nuevo empleado el 15 de julio de 2024, comenzando a las 9:55 p. m. EST, lo que activó alertas al equipo del Centro de Operaciones de Seguridad (SOC) de InfoSec de KnowBe4.

Cuando el equipo SOC de KnowBe4 se comunicó con el usuario para preguntar sobre la actividad irregular y la posible causa, el empleado identificado como “XXXX” respondió al SOC que estaba siguiendo pasos para solucionar un problema de velocidad con su enrutador y que esto podría haber causado una violación.

Cuando el equipo SOC intentó contactarlo para obtener información adicional, no estaba disponible para una llamada y luego se volvió inalcanzable. Alrededor de las 10:20 p. m. EST, Sjouwerman dijo que la empresa contuvo la estación de trabajo Mac infectada.

Una investigación interna del equipo SOC de KnowBe4 reveló que durante el período de aproximadamente 25 minutos, el actor de la amenaza había realizado varias acciones para manipular archivos de historial de sesión, transferir archivos potencialmente dañinos y ejecutar software no autorizado, incluyendo el uso de una Raspberry Pi para cargar el malware.

Después de confiscar la máquina, la empresa compartió sus datos y hallazgos con Mandiant, un experto global en ciberseguridad, y el FBI, y descubrió que el falso trabajador de TI era en realidad un hacker norcoreano.

“Cómo funciona esto es que el falso trabajador pide que su estación de trabajo sea enviada a una dirección que es básicamente una ‘granja de computadoras de TI’. Luego se conectan a través de VPN desde donde realmente están físicamente (Corea del Norte o al otro lado de la frontera en China) y trabajan en el turno de noche para que parezca que están trabajando en el horario diurno de EE. UU.”, agregó Sjouwerman.

“La estafa es que en realidad están haciendo el trabajo, siendo bien pagados y dando una gran cantidad a Corea del Norte para financiar sus programas ilegales. No tengo que decirte sobre el grave riesgo de esto.”

A pesar de la imposición, Sjouwerman enfatizó que no se obtuvo acceso ilegal y que no se perdió, comprometió o exfiltró ningún dato en los sistemas de KnowBe4.

“El sujeto ha demostrado un alto nivel de sofisticación en la creación de una identidad de cobertura creíble, explotando debilidades en los procesos de contratación y verificación de antecedentes, y tratando de establecer un punto de apoyo dentro de los sistemas de la organización”, dijo Sjouwerman en un resumen del incidente.

“Este es un anillo criminal bien organizado, patrocinado por el estado, con amplios recursos. El caso destaca la necesidad crítica de procesos de selección más robustos, monitoreo de seguridad continuo y una mejor coordinación entre los equipos de recursos humanos, TI y seguridad para protegerse contra amenazas persistentes avanzadas. A la izquierda está la imagen original de archivo. A la derecha está la falsificación de IA presentada a recursos humanos.”

Para prevenir este tipo de estafas, Sjouwerman ha proporcionado algunos consejos para las organizaciones, que incluyen el escaneo de dispositivos remotos internos, un proceso de selección robusto, mejor escaneo de currículums para inconsistencias laborales, realización de entrevistas por video y no depender únicamente de referencias por correo electrónico para nuevos empleados, sino también realizar verificaciones de antecedentes más exhaustivas.