Флоридская компания KnowBe4, специализирующаяся на проведении тренингов по кибербезопасности, рассказала об инциденте, с которым недавно столкнулась. Северокорейский хакер выдал себя за инженера-программиста, обошел все проверки при приеме на работу и устроился в KnowBe4. Сразу после этого он установил малварь на компьютер компании.
KnowBe4 сообщает, что все началось с того, что ее команда безопасности обнаружила подозрительную активность, исходящую с рабочей станции недавно нанятого инженера-программиста.
«Мы отправили ему рабочую станцию Mac, и как только она была получена, на нее сразу же начали загружаться вредоносные программы», — рассказывает руководитель KnowBe4 Стю Шуверман (Stu Sjouwerman).
В KnowBe4 обнаружили происходящее 15 июля 2024 года, когда антивирусное ПО отправило предупреждение об аномальной активности на машине нового сотрудника. В ходе расследования инцидента тот заявил, что просто пытался устранить проблемы со скоростью маршрутизатора, следуя руководству, и это якобы могло привести к компрометации.
Однако быстро выяснилось, что на самом деле инсайдер использовал Raspberry Pi для загрузки вредоносного ПО, манипулирования файлами сессий и выполнения неавторизованного ПО. Так как инсайдер пытался развернуть на машине инфостилер, нацеленный на данные, хранящиеся в браузерах, предполагается, что он надеялся извлечь информацию, оставшуюся в системе от прошлого владельца.
«Он использовал Raspberry Pi для загрузки вредоносного ПО. Мы попытались получить от сотрудника более подробную информацию, в том числе предложили связаться с ним по телефону, но он сказал, что недоступен для звонка, а позже перестал реагировать», — рассказываю в компании.
Вечером того же дня компания изолировала зараженную рабочую станцию. Подчеркивается, что «к системам KnowBe4 не был получен доступ, и они не были скомпрометированы».
Прежде чем нанять инсайдера на работу, KnowBe4 проверила его биографию, предоставленные рекомендации и провела четыре видеоинтервью, чтобы убедиться, что это реальный человек. Но позже было установлено, что он использовал украденную у гражданина США личность, чтобы обойти проверки, а для создания фотографий и лица во время видеоконференций применялись ИИ-инструменты.
По словам Шувермана, этот сотрудник, чья личность оказалась сфабрикована при помощи ИИ, стал еще одним примером в череде сотен случаев, когда северокорейские агенты проникают в американские компании под видом ИТ-специалистов.
Напомним, что в мае текущего года американские правоохранители предъявили обвинения пяти лицам (гражданке США, украинцу и трем гражданам других стран) за участие в схемах, которые позволяли гражданам Северной Кореи устраиваться на удаленную работу в американские ИТ-компании и якобы «приносить доход ядерной программе Северной Кореи».
«Это работает следующим образом: фальшивый работник просит отправить ему рабочую станцию на адрес, который, по сути, является „фермой ноутбуков“. Затем он подключается к сети через VPN из того места, где физически находятся (Северная Корея или Китай), и работает в ночную смену, так что создается впечатление, что он работает в дневное время из США, — объясняет Шуверман. — Мошенничество заключается в том, что на самом деле он выполняют работу, получает хорошую зарплату и отдает большие суммы правительству Северной Кореи для финансирования их незаконных программ. Не нужно объяснять, насколько это опасно».
Глава KnowBe4 предупреждает, что неизвестный северокорейский агент продемонстрировал «высокий уровень изощренности при создании правдоподобного прикрытия, а также использовал слабые места в процессе найма и проверок биографических данных».
