KnowBe4, o companie americană de securitate cibernetică, a anunțat recent că a angajat din greșeală un actor de stat nord-coreean ca Inginer Principal de Software. Acest individ a încercat să instaleze un program de furt de informații pe dispozitivele companiei.
Din fericire, acțiunile malițioase au fost detectate și oprite în timp util, prevenindu-se astfel orice breșă de date.
Acest incident subliniază amenințarea continuă reprezentată de actorii de amenințări nord-coreeni care se dau drept personal IT.
Înainte de a angaja actorul de amenințare, KnowBe4 a efectuat verificări amănunțite de fond, a verificat referințele furnizate și a realizat patru interviuri video pentru a se asigura că persoana era reală și că figura ei se potrivea cu cea de pe CV.
Cu toate acestea, s-a constatat ulterior că persoana a prezentat o identitate furată a unei persoane din SUA pentru a trece de verificările preliminare și a folosit instrumente AI pentru a crea o imagine de profil și a se potrivi cu acea față în timpul apelurilor video.
"La confruntarea cu activitatea suspectă, actorul de stat a prezentat inițial scuze, dar a încetat curând toate comunicările. Atacatorul a efectuat diverse acțiuni pentru a manipula fișierele de istoric al sesiunilor, a transfera fișiere potențial dăunătoare și a executa software neautorizat.
A folosit un Raspberry Pi pentru a descărca malware-ul.
Echipa SOC a încercat să obțină mai multe detalii de la individ, inclusiv să-l aducă într-un apel.
Individul declarat că nu este disponibil pentru un apel și a devenit ulterior necomunicativ."
CEO-ul KnowBe4, Stu Sjouwerman, a explicat că schema implică înșelarea angajatorului pentru a trimite stația de lucru către o "fermă de laptopuri IT momeală" situată aproape de adresa de domiciliu declarată de fraudator în cererea sa.
Apoi, aceștia folosesc VPN pentru a se conecta la dispozitiv în timpul nopții, astfel încât să pară că lucrează în timpul programului din SUA, și își îndeplinesc sarcinile ca de obicei.
Pentru a atenua acest risc, KnowBe4 sugerează ca firmele să mențină o zonă de testare pentru noii angajați, izolată de cele mai critice părți ale rețelei lor.
De asemenea, compania recomandă să se asigure că dispozitivele externe ale noilor angajați nu sunt utilizate de la distanță și să trateze inconsecvențele adresei de expediere ca un semnal de alarmă.
Incidentul de la KnowBe4 este un exemplu clar al riscurilor cibernetice moderne și al modului în care actorii de stat folosesc tehnologiile avansate pentru a-și masca identitatea.
Companiile trebuie să fie vigilente și să implementeze măsuri de securitate stricte pentru a preveni astfel de incidente și pentru a proteja datele sensibile.