Przypadek KnowBe4. Jak firma zatrudniła fałszywego północnokoreańskiego pracownika IT

kapitanhack.pl 3 miesięcy temu

Dzisiaj będzie o tym, jak socjotechnika wchodzi na wyższy poziom. KnowBe4, znana naszej redakcji i dobrze przez nas oceniana firma zajmująca się szkoleniem w zakresie świadomości bezpieczeństwa, poinformowała we wtorek, iż północnokoreański pracownik podający się za inżyniera systemu prześlizgnął się przez weryfikację, w tym badania dotyczące przeszłości potencjalnych pracowników. Pierwsze 25 minut w nowej pracy haker spędził, próbując zainstalować złośliwe oprogramowanie na firmowej stacji roboczej.

KnowBe4 podało, iż zespół ds. bezpieczeństwa wykrył podejrzane działania pochodzące ze stacji roboczej nowo zatrudnionego głównego inżyniera systemu i gwałtownie ustalił, iż złośliwy pracownik wykorzystywał Raspberry Pi do pobierania złośliwego oprogramowania, manipulowania plikami historii sesji i uruchamiania nieautoryzowanego softu.

„Wysłaliśmy stację roboczą Mac, która po dotarciu na miejsce natychmiast zaczęła ładować malware” – powiedział Stu Sjouwerman, dyrektor generalny KnowBe4.

Sjouwerman przekazał SecurityWeek, iż pracownik, którego tożsamość, jak się okazało, była wygenerowana przez sztuczną inteligencję, to jeden z setek przypadków północnokoreańskich agentów udających pracowników IT w celu infiltracji amerykańskich firm. Potwierdza to fakt, iż zaledwie w zeszłym miesiącu rząd USA ogłosił zarzuty, konfiskaty i aresztowania mające na celu zakłócenie projektu, w ramach którego północnokoreańscy pracownicy IT infiltrowali setki firm i zarobili dla Korei Północnej miliony dolarów.

KnowBe4 poinformowało, iż po raz pierwszy zgłosiło incydent 15 lipca 2024 r. o godzinie 21:55 czasu wschodniego wybrzeża, kiedy oprogramowanie chroniące przed malware wysłało powiadomienia o nietypowej aktywności. Po dochodzeniu nowy pracownik stwierdził, iż postępował zgodnie z instrukcjami zawartymi w przewodniku po routerze, a chciał tylko rozwiązać problem z szybkością łącza. Sjouwerman stwierdził jednak, iż osoba atakująca wykonała różne działania, aby manipulować plikami historii sesji, przesyłać potencjalnie szkodliwe pliki i uruchamiać nieautoryzowane oprogramowanie.

„Do pobrania złośliwego systemu użył Raspberry Pi. Próbowaliśmy uzyskać więcej szczegółów od pracownika, w tym umówić się z nim na rozmowę telefoniczną, ale powiedział, iż jest niedostępny, i później przestał odpowiadać”.

Około godziny 22:20 czasu wschodniego Sjouwerman poinformował, iż firma zabezpieczyła zainfekowaną stację roboczą i podkreślił, iż „nie uzyskano ani nie naruszono żadnego dostępu do systemów KnowBe4”.

Dyrektor generalny przybliżył całą strategię hakerów:

„Działa to w ten sposób, iż fałszywy pracownik prosi o wysłanie jego stacji roboczej na adres, który w zasadzie jest „farmą mułów IT”. Następnie korzysta z VPN z miejsca, w którym faktycznie się znajduje (Korea Północna lub Chiny) i pracuje na nocną zmianę, dzięki czemu wydaje się, iż pracuje w dzień w USA”.

Najbardziej niebezpieczne jest to, iż część hakerów faktycznie wykonuje swoją pracę. Dobrze zarabiają i przekazują dużą kwotę Korei Północnej na finansowanie nielegalnych programów. Ryzyko w takim przypadku jest poważne, bo chodzi nie tylko o poznawanie technologicznych nowinek, ale także uzyskanie możliwości przeprowadzania ataków na łańcuch dostaw.

Dyrektor generalny KnowBe4 ostrzegł, iż niezidentyfikowany północnokoreański agent wykazał się „wysokim poziomem wyrafinowania w tworzeniu wiarygodnej przykrywki, wykorzystywaniu słabych punktów w procesach zatrudniania i sprawdzania przeszłości oraz próbach zdobycia przyczółku”. Wydaje się, iż w dobie pracy zdalnej i globalizacji będzie to jeden z bardziej wykorzystywanych wektorów nadużyć.

Idź do oryginalnego materiału