Une entreprise de cybersécurité engage par erreur un hacker nord-coréen, fait face à une attaque

KnowBe4, une entreprise américaine de formation à la sensibilisation à la sécurité, a récemment découvert qu’elle avait involontairement engagé un faux travailleur informatique nord-coréen pour le poste d’ingénieur logiciel principal après que l’ordinateur nouvellement attribué à l’employé ait été infecté par un logiciel malveillant.

Dans un résumé de rapport d’incident sur la menace interne publié mardi, Stu Sjouwerman, PDG et président de KnowBe4, a déclaré que le hacker nord-coréen se faisant passer pour un ingénieur logiciel avait été apparemment engagé par le biais d’un processus de recrutement standard pour leur division IA, qui impliquait plusieurs entretiens, vérifications de références et vérifications de fond.

“Notre équipe RH a mené quatre entretiens par vidéoconférence à des occasions séparées, confirmant que l’individu correspondait à la photo fournie dans sa candidature. De plus, une vérification de fond et toutes les autres vérifications préalables à l’embauche standard ont été effectuées et se sont révélées claires en raison de l’identité volée utilisée. C’était une vraie personne utilisant une identité valide mais volée basée aux États-Unis. La photo a été ‘améliorée’ par IA,” a déclaré Sjouwerman dans le résumé du rapport d’incident.

Une fois que tout a été approuvé, le faux employé informatique a été engagé, et une station de travail Mac lui a été attribuée pour qu’il puisse commencer à travailler.

À la réception de la machine, une série d’activités suspectes ont été détectées sur la machine du nouvel employé le 15 juillet 2024, commençant à 21h55 HAE, déclenchant des alertes auprès de l’équipe du Centre des opérations de sécurité (SOC) de KnowBe4.

Lorsque l’équipe SOC de KnowBe4 a contacté l’utilisateur pour s’enquérir de l’activité irrégulière et de la cause possible, l’employé identifié comme “XXXX” a répondu au SOC qu’il suivait des étapes pour résoudre un problème de vitesse avec son routeur et que cela avait pu causer une compromission.

Lorsque l’équipe SOC a tenté de le contacter pour obtenir des informations supplémentaires, il n’était pas disponible pour un appel et est devenu par la suite injoignable. Vers 22h20 HAE, Sjouwerman a déclaré que l’entreprise avait contenu la station de travail Mac infectée.

Une enquête interne menée par l’équipe SOC de KnowBe4 a révélé que pendant la période d’environ 25 minutes, l’acteur de la menace avait effectué diverses actions pour manipuler les fichiers d’historique de session, transféré des fichiers potentiellement nuisibles et exécuté des logiciels non autorisés, y compris l’utilisation d’un Raspberry Pi pour charger le logiciel malveillant.

Après avoir confisqué la machine, l’entreprise a partagé ses données et ses conclusions avec Mandiant, un expert mondial en cybersécurité, et le FBI, et a découvert que le faux travailleur informatique était en réalité un hacker nord-coréen.

“Comment cela fonctionne, c’est que le faux travailleur demande à ce que sa station de travail soit envoyée à une adresse qui est essentiellement une ‘ferme d’ordinateurs de mule IT’. Ils se connectent ensuite par VPN depuis l’endroit où ils se trouvent réellement (Corée du Nord ou de l’autre côté de la frontière en Chine) et travaillent de nuit pour sembler travailler pendant la journée aux États-Unis,” a ajouté Sjouwerman.

“L’escroquerie est qu’ils font réellement le travail, sont bien payés et donnent une grande partie à la Corée du Nord pour financer leurs programmes illégaux. Je n’ai pas besoin de vous parler du risque sévère que cela représente.”

Malgré cette imposition, Sjouwerman a souligné qu’aucun accès illégal n’avait été obtenu, et aucune donnée n’avait été perdue, compromise ou exfiltrée sur les systèmes de KnowBe4.

“Le sujet a démontré un haut niveau de sophistication dans la création d’une identité de couverture crédible, exploitant les faiblesses des processus d’embauche et de vérification de fond, et tentant d’établir un point d’ancrage au sein des systèmes de l’organisation,” a déclaré Sjouwerman en résumé de l’incident.

“C’est un réseau criminel bien organisé, parrainé par l’État, avec des ressources étendues. L’affaire souligne le besoin critique de processus de vérification plus robustes, de surveillance continue de la sécurité, et d’une meilleure coordination entre les équipes RH, IT et de sécurité pour se protéger contre les menaces persistantes avancées. À gauche se trouve l’image d’origine. À droite se trouve le faux IA soumis aux RH.”

Pour prévenir ces types d’escroqueries, Sjouwerman a fourni quelques conseils aux organisations, qui incluent le scan des dispositifs distants internes, un processus de vérification robuste, une meilleure analyse des CV pour les incohérences de carrière, la réalisation d’entretiens vidéo, et ne pas se fier uniquement aux références par email pour les nouvelles recrues mais également effectuer des vérifications de fond plus approfondies.