Un pirate informatique nord-coréen a trompé un fournisseur de sécurité américain pour qu’il l’embauche et a immédiatement essayé de le pirater

KnowBe4, un fournisseur de sécurité basé aux États-Unis, a révélé qu’il avait embauché sans le savoir un pirate informatique nord-coréen qui a tenté de charger un logiciel malveillant dans le réseau de l’entreprise. Le PDG et fondateur de KnowBe4, Stu Sjouwerman, a décrit l’incident dans un communiqué. article de weblog cette semaine, le qualifiant de récit édifiant qui a heureusement été détecté avant de causer des problèmes majeurs.

« Tout d’abord, aucun accès illégal n’a été obtenu et aucune donnée n’a été perdue, compromise ou exfiltrée sur les systèmes KnowBe4 », a écrit Sjouwerman. « Il ne s’agit pas d’une notification de violation de données, il n’y en a pas eu. Considérez cela comme un second d’apprentissage organisationnel que je partage avec vous. Si cela peut nous arriver, cela peut arriver à presque tout le monde. Ne laissez pas cela vous arriver. »

KnowBe4 a annoncé qu’elle recherchait un ingénieur logiciel pour son équipe interne d’intelligence artificielle. L’entreprise a embauché une personne qui, en fait, était originaire de Corée du Nord et « utilisait une identité américaine valide mais volée » et une picture « améliorée » par l’intelligence artificielle. Une enquête du FBI est actuellement en cours, automobile le travailleur est soupçonné d’être ce que le weblog de KnowBe4 appelle « une menace interne/un acteur étatique ».

KnowBe4 opère dans 11 pays et est dont le siège social en Floride. Elle suggest des formations de sensibilisation à la sécurité, notamment des assessments de sécurité contre le phishing, aux purchasers professionnels. Si vous recevez occasionnellement un fake courrier électronique de phishing de votre employeur, vous travaillez peut-être pour une entreprise qui utilise le service KnowBe4 pour tester la capacité de ses employés à repérer les escroqueries.

La personne a passé avec succès la vérification des antécédents et les entretiens vidéo

KnowBe4 a embauché le pirate informatique nord-coréen selon sa procédure habituelle. « Nous avons publié l’offre d’emploi, reçu des CV, mené des entretiens, effectué des vérifications d’antécédents, vérifié les références et embauché la personne. Nous leur avons envoyé leur poste de travail Mac, et dès qu’ils l’ont reçu, il a immédiatement commencé à charger des logiciels malveillants », a déclaré l’entreprise.

Même si la picture fournie aux RH était fausse, la personne qui a été interviewée pour le poste semblait suffisamment y ressembler pour être retenue. L’équipe RH de KnowBe4 « a mené quatre entretiens par vidéoconférence à des events distinctes, confirmant que la personne correspondait à la picture fournie dans sa candidature », indique le message. « De plus, une vérification des antécédents et toutes les autres vérifications customary préalables à l’embauche ont été effectuées et se sont révélées sans erreur en raison de l’utilisation de l’identité volée. Il s’agissait d’une vraie personne utilisant une identité valide mais volée basée aux États-Unis. La picture était « améliorée » par l’IA. »

Les deux photos en haut de cet article sont une picture d’archive et ce que KnowBe4 dit être la fausse IA basée sur la picture d’archive. La picture d’archive est à gauche et la fausse IA est à droite.

L’employé, appelé « XXXX » dans le billet de weblog, a été embauché en tant qu’ingénieur logiciel principal. Les activités suspectes du nouvel employé ont été signalées par un logiciel de sécurité, ce qui a conduit le centre des opérations de sécurité (SOC) de KnowBe4 à enquêter :

Le 15 juillet 2024, une série d’activités suspectes ont été détectées sur l’utilisateur à partir de 21h55 HNE. Lorsque ces alertes sont arrivées, l’équipe SOC de KnowBe4 a contacté l’utilisateur pour s’enquérir de l’activité anormale et de la trigger attainable. XXXX a répondu au SOC qu’il suivait les étapes du information de son routeur pour résoudre un problème de vitesse et que cela avait peut-être causé un compromis.

L’attaquant a effectué diverses actions pour manipuler les fichiers d’historique de session, transférer des fichiers potentiellement dangereux et exécuter des logiciels non autorisés. Il a utilisé un Raspberry Pi pour télécharger le logiciel malveillant. SOC a tenté d’obtenir plus de détails auprès de XXXX, notamment en l’appelant. XXXX a déclaré qu’il n’était pas disponible pour un appel et n’a plus répondu par la suite. Vers 22h20 EST, SOC a confiné l’appareil de XXXX.

« Fake informaticien de Corée du Nord »

L’analyse du SOC a indiqué que le chargement du logiciel malveillant « pourrait avoir été intentionnel par l’utilisateur » et le groupe « soupçonne qu’il pourrait s’agir d’une menace interne/d’un acteur étatique », indique le billet de weblog.

« Nous avons partagé les données recueillies avec nos amis de Mandiant, un skilled mondial de premier plan en cybersécurité, et avec le FBI, afin de corroborer nos premières conclusions. Il s’est avéré qu’il s’agissait d’un fake informaticien originaire de Corée du Nord », a écrit Sjouwerman.

KnowBe4 a déclaré ne pas pouvoir fournir beaucoup de détails en raison de l’enquête en cours du FBI. Mais la personne embauchée pour ce travail pourrait s’être connectée à distance à l’ordinateur de l’entreprise depuis la Corée du Nord, a expliqué Sjouwerman :

Le principe est le suivant : le fake employé demande que son poste de travail soit envoyé à une adresse qui est en fait une « ferme d’ordinateurs portables mule informatique ». Il se connecte ensuite through VPN depuis l’endroit où il se trouve réellement (en Corée du Nord ou de l’autre côté de la frontière en Chine) et travaille de nuit de manière à donner l’impression de travailler pendant la journée aux États-Unis. L’arnaque consiste à faire le travail, à être bien payé et à donner une grosse somme à la Corée du Nord pour financer ses programmes illégaux. Je n’ai pas besoin de vous parler du risque grave que cela représente. C’est une bonne selected que nos nouveaux employés travaillent dans une zone très restreinte lorsqu’ils commencent et qu’ils n’aient pas accès aux systèmes de manufacturing. Nos contrôles l’ont détecté, mais c’était certainement un second d’apprentissage que je suis heureux de partager avec tout le monde.

Cette histoire a été initialement publiée sur Ars Technica.