Azienda di Cybersecurity Assume Erroneamente Hacker Nordcoreano, Affronta Attacco Hacker

KnowBe4, un’azienda statunitense di formazione sulla consapevolezza della sicurezza, ha recentemente scoperto di aver assunto involontariamente un falso lavoratore IT nordcoreano per il ruolo di Ingegnere Software Principale dopo che il computer recentemente assegnato all’impiegato è stato infettato da malware.

In un riepilogo del rapporto sugli incidenti riguardanti minacce interne pubblicato martedì, Stu Sjouwerman, CEO e Presidente di KnowBe4, ha dichiarato che l’hacker nordcoreano che si spacciava per un ingegnere software era stato presumibilmente assunto attraverso un normale processo di reclutamento per la loro divisione AI, che prevedeva più colloqui, controlli dei precedenti e verifiche delle referenze.

“Il nostro team HR ha condotto quattro colloqui video in momenti separati, confermando che l’individuo corrispondeva alla foto fornita nella sua domanda. Inoltre, è stato effettuato un controllo dei precedenti e tutti gli altri controlli standard pre-assunzione sono stati eseguiti e sono risultati chiari a causa dell’identità rubata utilizzata. Questa era una persona reale che utilizzava un’identità valida ma rubata basata negli Stati Uniti. La foto era ‘migliorata’ dall’AI,” ha dichiarato Sjouwerman nel riepilogo del rapporto sugli incidenti.

Una volta che tutto è stato approvato, il falso dipendente IT è stato assunto e gli è stata assegnata una workstation Mac in modo che potesse iniziare a lavorare.

Dopo aver ricevuto la macchina, una serie di attività sospette sono state rilevate sulla macchina del nuovo assunto il 15 luglio 2024, a partire dalle 21:55 EST, attivando avvisi al team del Centro Operativo di Sicurezza (SOC) di KnowBe4.

Quando il team SOC di KnowBe4 ha contattato l’utente per chiedere informazioni sull’attività irregolare e sulla possibile causa, l’impiegato identificato come “XXXX” ha risposto al SOC che stava seguendo i passaggi per risolvere un problema di velocità con il suo router e che questo potrebbe aver causato una compromissione.

Quando il team SOC ha tentato di contattarlo per ottenere ulteriori informazioni, non era disponibile per una chiamata e in seguito è diventato irraggiungibile. Intorno alle 22:20 EST, Sjouwerman ha dichiarato che l’azienda ha contenuto la workstation Mac infetta.

Un’indagine interna del team SOC di KnowBe4 ha rivelato che durante il periodo di circa 25 minuti, l’attore della minaccia aveva eseguito varie azioni per manipolare i file di cronologia delle sessioni, trasferito file potenzialmente dannosi ed eseguito software non autorizzato, incluso l’uso di un Raspberry Pi per caricare il malware.

Dopo aver confiscato la macchina, l’azienda ha condiviso i suoi dati e le sue scoperte con Mandiant, un esperto globale di cybersecurity, e l’FBI, scoprendo che il falso lavoratore IT era in realtà un hacker nordcoreano.

“Come funziona è che il falso lavoratore chiede di far inviare la propria workstation a un indirizzo che è fondamentalmente una ‘fattoria di laptop mule IT’. Poi si collegano tramite VPN da dove si trovano fisicamente (Corea del Nord o oltre il confine in Cina) e lavorano il turno di notte in modo che sembrino lavorare durante il giorno negli Stati Uniti,” ha aggiunto Sjouwerman.

“La truffa è che stanno effettivamente svolgendo il lavoro, venendo pagati bene e dando una grande somma alla Corea del Nord per finanziare i loro programmi illegali. Non devo dirti del grave rischio di questo.”

Nonostante l’imposizione, Sjouwerman ha sottolineato che non è stato ottenuto alcun accesso illegale e che nessun dato è andato perso, compromesso o esfiltrato su nessun sistema di KnowBe4.

“Il soggetto ha dimostrato un alto livello di sofisticazione nella creazione di un’identità di copertura credibile, sfruttando le debolezze nei processi di assunzione e controllo dei precedenti, e cercando di stabilire una base all’interno dei sistemi dell’organizzazione,” ha dichiarato Sjouwerman in un riepilogo dell’incidente.

“Questo è un anello criminale ben organizzato, sponsorizzato dallo stato, con risorse estese. Il caso evidenzia la necessità critica di processi di selezione più robusti, monitoraggio della sicurezza continuo e miglior coordinamento tra i team HR, IT e di sicurezza per proteggere contro minacce persistenti avanzate. A sinistra c’è l’immagine originale di archivio. A destra c’è il falso AI presentato all’HR.”

Per prevenire questo tipo di truffe, Sjouwerman ha fornito alcuni suggerimenti per le organizzazioni, che includono la scansione dei dispositivi remoti interni, un processo di selezione robusto, una migliore scansione dei curriculum per incoerenze professionali, la conduzione di colloqui video e non dipendere solo dalle referenze via email per i nuovi assunti, ma anche condurre controlli dei precedenti più approfonditi.