Przypadek KnowBe4. Jak firma zatrudniła fałszywego północnokoreańskiego pracownika IT

KnowBe4 podało, że zespół ds. bezpieczeństwa wykrył podejrzane działania pochodzące ze stacji roboczej nowo zatrudnionego głównego inżyniera oprogramowania i szybko ustalił, że złośliwy pracownik wykorzystywał Raspberry Pi do pobierania złośliwego oprogramowania, manipulowania plikami historii sesji i uruchamiania nieautoryzowanego softu.

„Wysłaliśmy stację roboczą Mac, która po dotarciu na miejsce natychmiast zaczęła ładować malware” – powiedział Stu Sjouwerman, dyrektor generalny KnowBe4.

Sjouwerman przekazał SecurityWeek, że pracownik, którego tożsamość, jak się okazało, była wygenerowana przez sztuczną inteligencję, to jeden z setek przypadków północnokoreańskich agentów udających pracowników IT w celu infiltracji amerykańskich firm. Potwierdza to fakt, że zaledwie w zeszłym miesiącu rząd USA ogłosił zarzuty, konfiskaty i aresztowania mające na celu zakłócenie projektu, w ramach którego północnokoreańscy pracownicy IT infiltrowali setki firm i zarobili dla Korei Północnej miliony dolarów.

KnowBe4 poinformowało, że po raz pierwszy zgłosiło incydent 15 lipca 2024 r. o godzinie 21:55 czasu wschodniego wybrzeża, kiedy oprogramowanie chroniące przed malware wysłało powiadomienia o nietypowej aktywności. Po dochodzeniu nowy pracownik stwierdził, że postępował zgodnie z instrukcjami zawartymi w przewodniku po routerze, a chciał tylko rozwiązać problem z szybkością łącza. Sjouwerman stwierdził jednak, że osoba atakująca wykonała różne działania, aby manipulować plikami historii sesji, przesyłać potencjalnie szkodliwe pliki i uruchamiać nieautoryzowane oprogramowanie.

„Do pobrania złośliwego oprogramowania użył Raspberry Pi. Próbowaliśmy uzyskać więcej szczegółów od pracownika, w tym umówić się z nim na rozmowę telefoniczną, ale powiedział, że jest niedostępny, i później przestał odpowiadać”.

Około godziny 22:20 czasu wschodniego Sjouwerman poinformował, że firma zabezpieczyła zainfekowaną stację roboczą i podkreślił, że „nie uzyskano ani nie naruszono żadnego dostępu do systemów KnowBe4”.

Dyrektor generalny przybliżył całą strategię hakerów:

„Działa to w ten sposób, że fałszywy pracownik prosi o wysłanie jego stacji roboczej na adres, który w zasadzie jest „farmą mułów IT”. Następnie korzysta z VPN z miejsca, w którym faktycznie się znajduje (Korea Północna lub Chiny) i pracuje na nocną zmianę, dzięki czemu wydaje się, że pracuje w dzień w USA”.

Najbardziej niebezpieczne jest to, że część hakerów faktycznie wykonuje swoją pracę. Dobrze zarabiają i przekazują dużą kwotę Korei Północnej na finansowanie nielegalnych programów. Ryzyko w takim przypadku jest poważne, bo chodzi nie tylko o poznawanie technologicznych nowinek, ale także uzyskanie możliwości przeprowadzania ataków na łańcuch dostaw.

Dyrektor generalny KnowBe4 ostrzegł, że niezidentyfikowany północnokoreański agent wykazał się „wysokim poziomem wyrafinowania w tworzeniu wiarygodnej przykrywki, wykorzystywaniu słabych punktów w procesach zatrudniania i sprawdzania przeszłości oraz próbach zdobycia przyczółku”. Wydaje się, że w dobie pracy zdalnej i globalizacji będzie to jeden z bardziej wykorzystywanych wektorów nadużyć.