KnowBe4 по ошибке нанимает северокорейского хакера и подвергается атаке инфопохитителей

Американская компания KnowBe4, специализирующаяся на кибербезопасности, сообщила, что человек, которого она недавно наняла на должность главного инженера-программиста, оказался государственным актером из Северной Кореи, который пытался установить на ее устройства средства кражи информации.

Компания вовремя обнаружила и пресекла вредоносные действия, поэтому утечки данных не произошло. Однако этот случай подчеркивает сохраняющуюся угрозу со стороны северокорейских угроз, выдающих себя за ИТ-персонал, о чем ФБР неоднократно предупреждало, начиная с 2023 года.

В КНДР существует высокоорганизованная армия ИТ-работников, которые скрывают свою настоящую личность, чтобы быть нанятыми сотнями американских фирм.

Доходы, получаемые от этих работников, используются для финансирования оружейных программ и киберопераций страны, а также для сбора разведывательной информации.

Маскировка с помощью искусственного интеллекта
Прежде чем нанять угрожающего актера, KnowBe4 проверила его биографию, проверила предоставленные рекомендации и провела четыре видеоинтервью, чтобы убедиться, что это реальный человек и что его лицо соответствует тому, что указано в его резюме.

Однако позже было установлено, что этот человек предоставил украденную личность жителя США, чтобы избежать предварительных проверок, а также использовал инструменты искусственного интеллекта для создания фотографии профиля и подбора лица во время видеоконференций.

Компания KnowBe4, специализирующаяся на обучении навыкам безопасности и моделировании фишинга, заподозрила неладное 15 июля 2024 года, когда ее продукт EDR сообщил о попытке загрузить вредоносное ПО с рабочей станции Mac, которая только что была отправлена новому сотруднику.

Представитель KnowBe4 сообщил BleepingComputer, что вредоносная программа представляет собой похитителя информации, нацеленного на данные, хранящиеся в веб-браузерах, и что нелегальный сотрудник, скорее всего, надеялся извлечь информацию, оставшуюся на компьютере до того, как он был ему передан.

«Злоумышленник мог использовать эту программу для поиска учетных данных, оставшихся от предыдущих сеансов работы с браузером в результате начального процесса инициализации ИТ-отдела, или для извлечения информации, оставшейся от неполного или неправильно очищенного ноутбука, ранее выданного другому сотруднику», - сообщил BleepingComputer представитель KnowBe4.

Когда ИТ-персонал фирмы столкнулся с этой деятельностью, государственный деятель сначала оправдывался, но вскоре прекратил всякое общение.

«Когда появились эти оповещения, команда SOC компании KnowBe4 связалась с пользователем, чтобы узнать об аномальной активности и возможной причине. XXXX (участник угрозы) ответил SOC, что он следовал шагам в руководстве по маршрутизатору для устранения проблем со скоростью и что это могло привести к компрометации.

Злоумышленник выполнял различные действия по манипулированию файлами истории сеансов, передаче потенциально опасных файлов и выполнению несанкционированного программного обеспечения. Для загрузки вредоносного ПО он использовал Raspberry Pi. Сотрудники SOC попытались получить более подробную информацию от XXXX, включая его звонок. XXXX заявил, что он недоступен для звонка, а позже не отреагировал на звонок».

❖ KnowBe4

В сообщении генерального директора KnowBe4 Стю Сьювермана объясняется, что схема включает в себя обман работодателя с целью отправки рабочей станции на «ферму ноутбуков ИТ-мулов», расположенную недалеко от места, которое мошенник указал в своем заявлении в качестве домашнего адреса.

Затем они используют VPN для подключения к этому устройству в ночное время, так что создается впечатление, что они работают в США, и выполняют поставленные перед ними задачи в обычном режиме.

Чтобы снизить этот риск, KnowBe4 предлагает компаниям создать для новых сотрудников «песочницу», изолированную от наиболее важных частей сети.

Компания также советует следить за тем, чтобы внешние устройства новых сотрудников не использовались удаленно, и рассматривать несоответствие адресов доставки как тревожный сигнал.