Кибербезопасная компания ошибочно нанимает северокорейского хакера, сталкивается с хакерской атакой

KnowBe4, компания по обучению осведомленности в области безопасности, базирующаяся в США, недавно обнаружила, что она случайно наняла северокорейского фальшивого IT-работника на должность главного инженера-программиста после того, как новый компьютер сотрудника был заражен вредоносным ПО.

В сводке отчета о внутренней угрозе, опубликованной во вторник, Стю Сьюверман, генеральный директор и президент KnowBe4, сообщил, что северокорейский хакер, выдававший себя за инженера-программиста, был нанят через стандартный процесс набора для их AI-отдела, который включал несколько собеседований, проверок биографии и верификаций рекомендаций.

“Наша команда HR провела четыре видеоконференции в разные дни, подтвердив, что человек соответствует фотографии, предоставленной в их заявлении. Кроме того, была проведена проверка биографии и все другие стандартные проверки перед наймом, которые вернулись с положительным результатом из-за использования украденной личности. Это был реальный человек, использующий действительную, но украденную личность из США. Фотография была “улучшена” с помощью ИИ,” - заявил Сьюверман в сводке отчета о происшествии.

После того как все было одобрено, фальшивый IT-сотрудник был нанят, и ему выдали рабочую станцию Mac, чтобы он мог начать работу.

После получения машины 15 июля 2024 года на новом рабочем месте были обнаружены подозрительные действия, начиная с 21:55 по восточному времени, что вызвало тревогу в Центре операций безопасности (SOC) KnowBe4.

Когда команда SOC KnowBe4 связалась с пользователем, чтобы узнать о нерегулярной активности и возможной причине, сотрудник, идентифицированный как “XXXX”, ответил SOC, что он выполняет действия по устранению проблемы со скоростью своего маршрутизатора и что это могло вызвать компрометацию.

Когда команда SOC попыталась связаться с ним для получения дополнительной информации, он был недоступен для звонка и позже стал неотзывчивым. Около 22:20 по восточному времени Сьюверман сообщил, что компания локализовала зараженную рабочую станцию Mac.

Внутреннее расследование команды SOC KnowBe4 показало, что в течение примерно 25 минут злоумышленник выполнил различные действия для манипуляции файлами истории сеансов, передал потенциально вредоносные файлы и выполнил несанкционированное программное обеспечение, включая использование Raspberry Pi для загрузки вредоносного ПО.

После конфискации машины компания поделилась своими данными и выводами с Mandiant, ведущим мировым экспертом в области кибербезопасности, и ФБР, и выяснила, что фальшивый IT-работник на самом деле был северокорейским хакером.

“Как это работает, так это то, что фальшивый работник просит отправить их рабочую станцию на адрес, который по сути является “фермой ноутбуков IT-курьеров”. Затем они подключаются через VPN откуда они на самом деле находятся (Северная Корея или за границей в Китае) и работают в ночную смену, чтобы казаться работающими в дневное время в США,” - добавил Сьюверман.

“Мошенничество в том, что они на самом деле выполняют работу, получают хорошую оплату и передают значительную сумму Северной Корее для финансирования их незаконных программ. Я не должен говорить вам о серьезном риске этого.”

Несмотря на инцидент, Сьюверман подчеркнул, что не было получено незаконного доступа, и никакие данные не были потеряны, скомпрометированы или эксфильтрованы в системах KnowBe4.

“Субъект продемонстрировал высокий уровень сложности в создании правдоподобной прикрывающей личности, используя слабости в процессах найма и проверки биографии, и пытаясь установить опору в системах организации,” - сказал Сьюверман в резюме инцидента.

“Это хорошо организованная, спонсируемая государством, крупная преступная группировка с обширными ресурсами. Дело подчеркивает критическую необходимость более надежных процессов проверки, непрерывного мониторинга безопасности и улучшенной координации между командами HR, IT и безопасности для защиты от продвинутых постоянных угроз. Слева оригинальное стоковое изображение. Справа - фальшивка ИИ, представленная в HR.”

Чтобы предотвратить такие мошенничества, Сьюверман предоставил несколько советов для организаций, которые включают сканирование внутренних удаленных устройств, надежный процесс проверки, лучшее сканирование резюме на несоответствия в карьере, проведение видеособеседований и не полагаться только на электронные рекомендации для новых сотрудников, но также проводить более тщательные проверки биографии.