Amerykańska firma KnowBe4, specjalizująca się w szkoleniach z zakresu cyberbezpieczeństwa, odkryła, iż zatrudniła północnokoreańskiego hakera jako zdalnego programistę. Administratorzy wykryli podstęp zaraz po tym, jak nowo zatrudniony pracownik otrzymał służbowego Maca, który natychmiast zaczął rozsyłać złośliwe oprogramowanie (malware).
Haker, wykorzystując fałszywą tożsamość, zgłosił się na stanowisko głównego inżyniera oprogramowania. Celem było zyskanie zaufania pracodawcy i dostęp do wewnętrznych zasobów IT. Dzięki zaawansowanym technikom socjotechnicznym, takim jak manipulacja emocjonalna oraz fałszowanie dokumentów oraz zdjęć, cyberprzestępca zdołał przejść przez początkowe etapy procesu rekrutacyjnego.
Po lewej zdjęcie pobrane przez hakera z ogólnodostępnych zbiorów. Po lewej fake, który trafił do działu HR frmy jako zdjęcie pracownika / Źródło: KnowBe4Oddajmy głos specjalistom z KnowBe4, którzy dokładnie opisali cały proceder.
Śledztwo dotyczące pracownika o ID: XXXX, zatrudnionego jako główny inżynier oprogramowania. 15 lipca 2024 roku wykryto serię podejrzanych działań na jego koncie użytkownika. Zespół SOC, po ocenie tych działań, uznał, iż mogą być one celowe i podejrzewał, iż użytkownik może stanowić zagrożenie wewnętrzne lub być agentem obcego państwa. W wyniku wstępnego dochodzenia i izolacji hosta przeprowadzono bardziej szczegółowe badanie nowego pracownika.
15 lipca 2024 roku, około godziny 21:55 EST, zarejestrowano podejrzane działania użytkownika. Po otrzymaniu alertów zespół SOC KnowBe4 skontaktował się z użytkownikiem, aby zapytać o te anomalie i ich możliwą przyczynę. XXXX wyjaśnił, iż próbował rozwiązać problem z niską prędkością internetu, korzystając z instrukcji swojego routera, co mogło spowodować naruszenie bezpieczeństwa.
Atakujący podejmował różne działania, takie jak manipulacja plikami historii sesji, transfer potencjalnie szkodliwych plików oraz uruchamianie nieautoryzowanego oprogramowania. Do pobrania złośliwego systemu użył urządzenia Raspberry Pi. Zespół SOC próbował uzyskać więcej szczegółów od XXXX, w tym zorganizować rozmowę telefoniczną. XXXX stwierdził, iż nie jest dostępny, a później przestał odpowiadać. Około godziny 22:20 EST, zespół SOC odizolował urządzenie XXXX.
Mechanizm działania fałszywego pracownika polega na tym, iż prosi on o wysłanie swojego firmowego komputera na adres będący w rzeczywistości „farmą laptopów”. Następnie łączy się przez VPN z miejsca, gdzie faktycznie przebywa (Korea Północna lub Chiny), i pracuje na nocnej zmianie, aby wyglądało to tak, iż pracuje w USA. Oszustwo polega na faktycznym wykonywaniu pracy, otrzymywaniu wynagrodzenia i przekazywaniu dużej części tych środków Korei Północnej.
Próby infiltracji przez północnokoreańskich cyberprzestępców stają się coraz bardziej powszechne i zaawansowane. Celem takich działań jest nie tylko kradzież danych, ale również sabotowanie działalności firm oraz zdobycie informacji mogących mieć strategiczne znaczenie dla państwa.
Źródło: KnowBe4
