Empresa de Cibersegurança Contrata Acidentalmente Hacker Norte-Coreano, Enfrenta Ataque Cibernético

KnowBe4, uma empresa de treinamento em conscientização de segurança com sede nos EUA, descobriu recentemente que havia contratado inadvertidamente um falso trabalhador de TI norte-coreano para o cargo de Engenheiro de Software Principal, após o computador recém-fornecido ao funcionário ter sido infectado por malware.

Em um resumo do relatório de incidentes sobre ameaças internas publicado na terça-feira, Stu Sjouwerman, CEO e Presidente da KnowBe4, disse que o hacker norte-coreano se passando por engenheiro de software foi supostamente contratado através de um processo de recrutamento padrão para sua divisão de IA, que envolveu várias entrevistas, verificações de antecedentes e verificações de referências.

“Nossa equipe de RH conduziu quatro entrevistas por videoconferência em ocasiões separadas, confirmando que o indivíduo correspondia à foto fornecida em sua inscrição. Além disso, uma verificação de antecedentes e todas as outras verificações padrão pré-contratação foram realizadas e retornaram limpas devido à identidade roubada que estava sendo usada. Esta era uma pessoa real usando uma identidade válida, mas roubada, baseada nos EUA. A foto foi ‘melhorada’ por IA”, afirmou Sjouwerman no resumo do relatório de incidentes.

Uma vez que tudo foi aprovado, o falso funcionário de TI foi contratado e uma estação de trabalho Mac foi fornecida a ele para que pudesse começar a trabalhar.

Ao receber a máquina, uma série de atividades suspeitas foram detectadas na máquina do novo contratado em 15 de julho de 2024, começando às 21h55 EST, acionando alertas para a equipe do Centro de Operações de Segurança (SOC) da KnowBe4.

Quando a equipe do SOC da KnowBe4 entrou em contato com o usuário para perguntar sobre a atividade irregular e a possível causa, o funcionário identificado como “XXXX” respondeu ao SOC que estava seguindo etapas para solucionar um problema de velocidade com seu roteador e que isso poderia ter causado uma violação.

Quando a equipe do SOC tentou contatá-lo para obter informações adicionais, ele não estava disponível para uma chamada e depois se tornou não responsivo. Por volta das 22h20 EST, Sjouwerman disse que a empresa contenha a estação de trabalho Mac infectada.

Uma investigação interna pela equipe do SOC da KnowBe4 revelou que durante o período de aproximadamente 25 minutos, o ator da ameaça havia realizado várias ações para manipular arquivos de histórico de sessão, transferiu arquivos potencialmente prejudiciais e executou software não autorizado, incluindo o uso de um Raspberry Pi para carregar o malware.

Após a apreensão da máquina, a empresa compartilhou seus dados e descobertas com a Mandiant, um especialista global em cibersegurança, e o FBI, e descobriu que o falso trabalhador de TI era na verdade um hacker norte-coreano.

“Como isso funciona é que o trabalhador falso pede para que sua estação de trabalho seja enviada para um endereço que é basicamente uma ‘fazenda de laptops de mulas de TI’. Eles então se conectam via VPN de onde realmente estão fisicamente (Coreia do Norte ou do outro lado da fronteira na China) e trabalham no turno da noite para que pareçam estar trabalhando durante o dia nos EUA”, acrescentou Sjouwerman.

“O golpe é que eles estão realmente fazendo o trabalho, sendo bem pagos e dando uma grande quantia para a Coreia do Norte para financiar seus programas ilegais. Não preciso dizer sobre o risco severo disso.”

Apesar da imposição, Sjouwerman enfatizou que nenhum acesso ilegal foi obtido, e nenhum dado foi perdido, comprometido ou exfiltrado em qualquer sistema da KnowBe4.

“O sujeito demonstrou um alto nível de sofisticação na criação de uma identidade de cobertura crível, explorando fraquezas nos processos de contratação e verificação de antecedentes, e tentando estabelecer uma base dentro dos sistemas da organização”, disse Sjouwerman em um resumo do incidente.

“Este é um anel criminoso bem organizado, patrocinado pelo estado, com recursos extensivos. O caso destaca a necessidade crítica de processos de verificação mais robustos, monitoramento contínuo de segurança e melhor coordenação entre as equipes de RH, TI e segurança na proteção contra ameaças persistentes avançadas. À esquerda está a imagem original de estoque. À direita está o falso de IA enviado ao RH.”

Para prevenir esses tipos de golpes, Sjouwerman forneceu algumas dicas para organizações, que incluem a verificação de dispositivos remotos internos, um processo de verificação robusto, melhor verificação de currículos para inconsistências na carreira, condução de entrevistas por vídeo e não depender apenas de referências por e-mail para novos contratados, mas também realizar verificações de antecedentes mais rigorosas.