A KnowBe4, uma fornecedora de segurança sediada nos EUA, revelou que contratou involuntariamente um hacker norte-coreano que tentou carregar malware na rede da empresa. O CEO e fundador da KnowBe4, Stu Sjouwerman, descreveu o incidente em um postagem de blog esta semana, chamando-o de um conto de advertência que felizmente foi detectado antes de causar qualquer problema maior.
“Primeiramente: Nenhum acesso ilegal foi obtido, e nenhum dado foi perdido, comprometido ou exfiltrado em nenhum sistema KnowBe4”, escreveu Sjouwerman. “Esta não é uma notificação de violação de dados, não houve nenhuma. Veja isso como um momento de aprendizado organizacional que estou compartilhando com você. Se isso pode acontecer conosco, pode acontecer com quase qualquer um. Não deixe que aconteça com você.”
A KnowBe4 disse que estava procurando um engenheiro de software para sua equipe interna de TI e IA. A empresa contratou uma pessoa que, ao que parece, era da Coreia do Norte e estava “usando uma identidade válida, mas roubada, dos EUA” e uma foto que foi “aprimorada” por inteligência artificial. Agora há uma investigação ativa do FBI em meio à suspeita de que o trabalhador seja o que a postagem do blog da KnowBe4 chamou de “um ator de ameaça interna/estado-nação”.
A KnowBe4 opera em 11 países e é sediado na Flórida. Ele fornece treinamento de conscientização de segurança, incluindo testes de segurança de phishing, para clientes corporativos. Se você ocasionalmente receber um e-mail de phishing falso do seu empregador, você pode estar trabalhando para uma empresa que usa o serviço KnowBe4 para testar a capacidade de seus funcionários de detectar golpes.
Pessoa passou por verificação de antecedentes e entrevistas em vídeo
A KnowBe4 contratou o hacker norte-coreano por meio de seu processo usual. “Postamos a vaga, recebemos currículos, conduzimos entrevistas, realizamos verificações de antecedentes, verificamos referências e contratamos a pessoa. Enviamos a estação de trabalho Mac e, no momento em que foi recebida, ela imediatamente começou a carregar malware”, disse a empresa.
Embora a foto fornecida ao RH fosse falsa, a pessoa que foi entrevistada para o trabalho aparentemente parecia o suficiente para passar. A equipe de RH da KnowBe4 “conduziu quatro entrevistas por videoconferência em ocasiões separadas, confirmando que o indivíduo correspondia à foto fornecida em sua inscrição”, disse a publicação. “Além disso, uma verificação de antecedentes e todas as outras verificações padrão de pré-contratação foram realizadas e voltaram limpas devido à identidade roubada que estava sendo usada. Esta era uma pessoa real usando uma identidade válida, mas roubada, com sede nos EUA. A imagem foi ‘aprimorada’ por IA.”
As duas imagens no topo desta história são uma foto de stock e o que a KnowBe4 diz ser a falsificação de IA com base na foto de stock. A foto de stock está à esquerda, e a falsificação de IA está à direita.
O funcionário, chamado de “XXXX” na postagem do blog, foi contratado como engenheiro de software principal. As atividades suspeitas do novo contratado foram sinalizadas pelo software de segurança, levando o Security Operations Center (SOC) da KnowBe4 a investigar:
“Falso trabalhador de TI da Coreia do Norte”
A análise do SOC indicou que o carregamento do malware “pode ter sido intencional pelo usuário”, e o grupo “suspeitou que ele pudesse ser uma ameaça interna/ator do Estado-nação”, disse a postagem do blog.
“Compartilhamos os dados coletados com nossos amigos da Mandiant, um especialista líder global em segurança cibernética, e o FBI, para corroborar nossas descobertas iniciais. Acontece que este era um falso trabalhador de TI da Coreia do Norte”, escreveu Sjouwerman.
A KnowBe4 disse que não pode fornecer muitos detalhes por causa da investigação ativa do FBI. Mas a pessoa contratada para o trabalho pode ter feito login no computador da empresa remotamente da Coreia do Norte, explicou Sjouwerman:
Esta história apareceu originalmente em Arte Técnica.