サイバーセキュリティ企業、北朝鮮のハッカーを誤って雇用し、ハッキング攻撃に直面

KnowBe4、米国に本拠を置くセキュリティ意識トレーニング会社は、最近、従業員に新たに与えられたコンピュータがマルウェアに感染した後、北朝鮮の偽IT労働者を主任ソフトウェアエンジニアの役割で誤って雇用したことを発見しました。

火曜日に公開された内部脅威に関するインシデントレポートの要約で、KnowBe4のCEO兼社長であるStu Sjouwermanは、ソフトウェアエンジニアを装った北朝鮮のハッカーが、AI部門のための標準的な採用プロセスを通じて雇用されたと報告しました。このプロセスには、複数の面接、バックグラウンドチェック、リファレンス確認が含まれていました。

「私たちの人事チームは、別々の機会に4回のビデオ会議ベースの面接を実施し、応募書類に提供された写真と一致することを確認しました。さらに、バックグラウンドチェックとすべての標準的な採用前チェックが実施され、盗まれた身分が使用されていたため、すべてクリアでした。これは、正当なが盗まれた米国の身分を使用している実在の人物でした。写真はAIによって「強化」されていました」とSjouwermanはインシデントレポートの要約で述べました。

すべてが承認された後、偽のIT従業員が雇用され、彼が仕事を始めるためにMacワークステーションが支給されました。

機械を受け取った後、2024年7月15日午後9時55分ESTに新しい雇用者の機械で一連の疑わしい活動が検出され、KnowBe4の情報セキュリティセキュリティオペレーションセンター（SOC）チームに警告が発令されました。

KnowBe4のSOCチームがユーザーに不規則な活動とその可能な原因について問い合わせたところ、「XXXX」と特定された従業員は、ルーターの速度問題をトラブルシューティングする手順を踏んでおり、それが妥協を引き起こした可能性があるとSOCに応答しました。

SOCチームが追加情報を得るために彼に連絡を試みたところ、彼は電話に出られず、その後応答がなくなりました。午後10時20分EST頃、Sjouwermanは会社が感染したMacワークステーションを封じ込めたと述べました。

KnowBe4のSOCチームによる内部調査では、約25分間の間に、脅威アクターがセッション履歴ファイルを操作し、潜在的に有害なファイルを転送し、無許可のソフトウェアを実行するなどのさまざまな行動を行ったことが明らかになりました。これには、Raspberry Piを使用してマルウェアをロードすることが含まれていました。

機械を押収した後、会社はデータと調査結果を世界的なサイバーセキュリティ専門家であるMandiantおよびFBIと共有し、偽のIT労働者が実際には北朝鮮のハッカーであることが判明しました。

「この仕組みは、偽の労働者が自分のワークステーションを基本的に「ITミュールラップトップファーム」に送るように要求することです。彼らは実際にいる場所（北朝鮮または中国の国境を越えた場所）からVPNで接続し、米国の昼間に働いているように見える夜勤を行います」とSjouwermanは付け加えました。

「詐欺の本質は、彼らが実際に仕事をしており、良い報酬を得ており、北朝鮮に多額の資金を提供していることです。これがもたらす深刻なリスクについては言うまでもありません。」

このような問題にもかかわらず、Sjouwermanは、違法なアクセスは得られず、KnowBe4のシステム上でデータが失われたり、妥協されたり、流出したりすることはなかったと強調しました。

「この件は、信じられるカバーアイデンティティを作成し、採用およびバックグラウンドチェックプロセスの弱点を利用し、組織のシステム内に足場を築こうとする高いレベルの洗練を示しています」とSjouwermanはインシデントの要約で述べました。

「これは、広範なリソースを持つ、よく組織された国家支援の大規模な犯罪組織です。この事件は、より強固な審査プロセス、継続的なセキュリティ監視、HR、IT、およびセキュリティチーム間の改善された調整が、先進的な持続的脅威から保護するために必要であることを強調しています。左は元のストック写真です。右はHRに提出されたAI偽画像です。」

このような詐欺を防ぐために、Sjouwermanは、内部リモートデバイスのスキャン、堅牢な審査プロセス、キャリアの不一致に対するより良い履歴書スキャン、ビデオ面接の実施、そして新しい雇用者に対してメールのリファレンスだけに依存せず、より徹底的なバックグラウンドチェックを行うことを含むいくつかのヒントを提供しました。