Zatrudnili programistę z Korei Północnej. Natychmiast zaczął instalować wirusy
Najciemniej pod latarnią, co potwierdza nietypowa historia pewnej amerykańskiej firmy. KnowBe4 zajmujące się zwiększaniem świadomości na temat cyberbezpieczeństwa, padło ofiarą północnokoreańskiego programisty, który pracę dostał dzięki... skradzionej tożsamości.
W 2022 r. FBI ostrzegało przed rosnącym zagrożeniem ze strony Korei Północnej, która aktywnie prowadzi kampanie mające na celu zatrudnianie północnokoreańskich programistów w amerykańskich firmach IT. Kraj Kimów ma w tym przynajmniej trzy cele: kradzież informacji, niszczenie systemów informatycznych od wewnątrz oraz - ojej - po prostu zarabianie pieniędzy.
Choć dla wielu alert FBI brział absurdalnie, to pewna amerykańska firma zajmująca się cyberbezpieczeństwem udowadnia, że zagrożenie jest jak najbardziej poważne.
Programista z Korei Północnej otrzymał pracę w USA. Dyrektor firmy opowiada o wtopie
KnowBe4 to amerykańska firma z zakresu cyberbezpieczeństwa, której głównym obszarem działalności są metody inżynierii społecznej towarzyszące dystrybucji złośliwego oprogramowania. Oprócz szkoleń, firma oferuje autorską platformę do treningu i świadomości na temat phishingu oraz szeroko ujętego pojęcia cyberbezpieczeństwa.
23 lipca na firmowym blogu dyrektor generalny KnowBe4 Stu Sjouwerman opublikował wpis o jakże wymownym tytule "Jak fałszywy pracownik IT z Korei Północnej próbował nas przechytrzyć", opisujący jak doszło do zatrudnienia w firmie pracownika z Korei Północnej.
KnowBe4 potrzebowało programisty w "wewnętrznym zespole zajmującym się sztuczną inteligencją". Dział zasobów ludzkich uruchomił standardową rekrutację: opublikował ogłoszenia o pracę, otrzymał garść CV, a po ich analizie rozmawiał z kandydatami.
Nasz zespół HR przeprowadził cztery rozmowy kwalifikacyjne w formie wideokonferencji przy różnych okazjach potwierdzając, że dana osoba pasuje do zdjęcia widniejącego w aplikacji.
Pracownik opisywany przez Sjouwermana jako XXXX natychmiast po otrzymaniu dostępu do narzędzi niezbędnych do pracy rozpoczął przesyłanie na serwery firmy.
Atakujący wykonywał różne działania w celu manipulowania plikami historii sesji, przesyłania potencjalnie szkodliwych plików i uruchamiania nieautoryzowanego oprogramowania. Do pobrania złośliwego oprogramowania użył raspberry pi. Centrum Operacji Bezpieczeństwa [SOC] próbowało uzyskać więcej szczegółów od XXXX, w tym uzyskać od niego połączenie telefoniczne. XXXX stwierdził, że był niedostępny, a później przestał odpowiadać. Około 22:20 EST SOC przejęło urządzenie XXXX.
Po incydencie dział zasobów ludzkich ponownie spojrzał w dane pracownika, który okazał się posługiwać skradzioną tożsamością, a zdjęcie załączone do CV było wygenerowane komputerowo.
KnowBe4 zapewnia swoim programistom laptopy MacBook do pracy zdalnej. Po weryfikacji adresu, na który wysłano komputer, okazało się, że jest to adres farmy laptopów-mułów na terenie Stanów Zjednoczonych, która wykorzystywana jest przez nielegalnych pracowników spoza kraju do symulowania obecności na terytorium państwa.
Następnie VPN używany jest z miejsca, w którym fizycznie się znajdują (Korea Północna lub przez granicę w Chinach) i pracują na nocnej zmianie, tak by wydawało się, że pracują w ciągu dnia w USA. Oszustwo polega na tym, że w rzeczywistości wykonują pracę, otrzymują dobre wynagrodzenie i przekazują Korei Północnej dużą kwotę na finansowanie swoich nielegalnych programów. Nie muszę mówić o poważnym ryzyku związanym z tym procederem.
Pomimo dość poważnego charakteru incydentu, Stu Sjouwerman zapewnia, że SOC zareagowało na tyle szybko, iż XXXX nie wyrządził żadnej szkody ani dla systemów KnowBe4, ani dla klientów firmy. Sjouwerman nazwał sytuację lekcją, którą chętnie podzieli się z innymi.
Może zainteresować cię także:
