Hackers da Coreia do Norte atacam KnowBe4 com o golpe “Fake IT Worker”
A empresa de treinamento de conscientização de segurança cibernética KnowBe4 revelou que foi enganada na contratação de um falso trabalhador de TI da Coréia do Norte, resultando em tentativas de atividade de ameaça interna.
A atividade maliciosa foi identificada e evitada antes que qualquer acesso ilegal fosse obtido ou quaisquer dados fossem comprometidos nos sistemas KnowBe4.
Em um blog publicado em 23 de julho de 2024, o KnowBe4 detalhou o alto nível de sofisticação usado pelos atacantes da Coréia do Norte na criação de uma identidade de capa crível, capaz de passar por uma extensa entrevista e verificação de antecedentes.
O caso demonstra os esforços contínuos da Coreia do Norte para alocar trabalhadores como falsos empregados em funções de TI nas empresas ocidentais, tanto como meio de gerar receita para o governo da República Popular Democrática da Coreia (RPDC) quanto para conduzir invasões cibernéticas maliciosas.
Stu Sjouwerman, CEO e Presidente da KnowBe4, observou: “Este é um grande grupo criminoso bem organizado, patrocinado pelo Estado, com amplos recursos. O caso destaca a necessidade crítica de processos de verificação mais robustos, monitorização de segurança contínua e melhor coordenação entre as equipas de RH, TI e segurança na proteção contra ameaças persistentes avançadas.”
Como um trabalhador falso conseguiu emprego
O KnowBe4 foi anunciou uma função de engenheiro de software dentro de sua equipe interna de IA de TI e recebeu um currículo de um indivíduo usando uma identidade válida, mas roubada, baseada nos EUA. A imagem fornecida na aplicação foi AI ‘enhanced.’
Quatro entrevistas em videoconferência foram realizadas em ocasiões separadas, confirmando que o indivíduo correspondia à foto fornecida em sua inscrição.
Um histórico e outras verificações padrão de pré-contratação foram realizadas e passadas devido à identidade roubada sendo usada.
Na primeira chance ele tentou atacar internamente
Após a confirmação do emprego, o KnowBe4 enviou ao trabalhador remoto uma estação de trabalho Mac.
O software KnowBe4’s EDR detetou rapidamente atividades suspeitas que ocorreram no dispositivo às 21:55 EST em 15 de julho, incluindo o download de malware.
Essas atividades incluíam várias ações para manipular arquivos de histórico de sessão, transferir arquivos potencialmente prejudiciais e executar software não autorizado. Um raspeberry-pi foi usado para baixar o malware.
O escritório do Security Operations Center (SOC) foi alertado, que avaliou que essas atividades podem ser intencionais, e que o trabalhador pode ser um agente de ameaça interna/estado nacional.
O SOC contatou o trabalhador sobre a atividade, que respondeu que ele estava seguindo as etapas em seu guia do roteador para solucionar um problema de velocidade e que isso pode ter causado um comprometimento.
O SOC também tentou fazer com que o trabalhador falso fizesse uma ligação, que afirmou que não estava disponível para uma ligação e depois não respondeu. O SOC então identificou o dispositivo em uma localização incomum.
A KnowBe4 compartilhou suas descobertas com a empresa de inteligência de ameaças Mandiant e o FBI. Isso descobriu que o funcionário falso fazia parte de uma organização criminosa patrocinada pela Coreia do Norte especializada nesses golpes de trabalhadores de TI.
Uma vez que o emprego é obtido, os trabalhadores falsos solicitam que sua estação de trabalho seja enviada para um endereço que é uma fazenda de laptop “IT mule.” Eles então usam VPNs para acessar a estação de trabalho a partir de sua localização física real, que geralmente é a Coréia do Norte ou a China.
“O golpe é que eles estão realmente fazendo o trabalho, sendo bem pagos e dando uma grande quantia à Coréia do Norte para financiar seus programas ilegais, ” explicou Sjouwerman.
Como detect o golpe do falso trabalhador
A KnowBe4 estabeleceu conselhos sobre como as empresas podem evitar o emprego de falsos trabalhadores de TI da Coreia do Norte com base em sua experiência, incluindo:
- Verificações de antecedentes mais fortes, sinalizando pequenas discrepâncias, como inconsistências no endereço e data de nascimento em diferentes fontes
- Não confie em referências de e-mail de funcionários
- Melhor retomar a digitalização de inconsistências de carreira
- Certifique-se de que os trabalhadores remotos de TI estejam fisicamente onde deveriam estar
- Coloque essas pessoas na câmera de vídeo e pergunte-lhes sobre o trabalho que estão fazendo
- Monitore todos os dispositivos remotos para garantir que eles não sejam acessados remotamente
- Implementar monitoramento aprimorado para quaisquer tentativas contínuas de acesso aos sistemas
- Revisar e fortalecer os controles de acesso e os processos de autenticação
- Fornecer treinamento de conscientização de segurança para funcionários, incluindo equipes de RH, que destacam essas táticas