Home Economia Um hacker norte-coreano enganou um fornecedor de segurança dos EUA para contratá-lo — e imediatamente tentou hackea-lo

Um hacker norte-coreano enganou um fornecedor de segurança dos EUA para contratá-lo — e imediatamente tentou hackea-lo

Por Humberto Marchezini


A KnowBe4, uma fornecedora de segurança sediada nos EUA, revelou que contratou involuntariamente um hacker norte-coreano que tentou carregar malware na rede da empresa. O CEO e fundador da KnowBe4, Stu Sjouwerman, descreveu o incidente em um postagem de blog esta semana, chamando-o de um conto de advertência que felizmente foi detectado antes de causar qualquer problema maior.

“Primeiramente: Nenhum acesso ilegal foi obtido, e nenhum dado foi perdido, comprometido ou exfiltrado em nenhum sistema KnowBe4”, escreveu Sjouwerman. “Esta não é uma notificação de violação de dados, não houve nenhuma. Veja isso como um momento de aprendizado organizacional que estou compartilhando com você. Se isso pode acontecer conosco, pode acontecer com quase qualquer um. Não deixe que aconteça com você.”

A KnowBe4 disse que estava procurando um engenheiro de software para sua equipe interna de TI e IA. A empresa contratou uma pessoa que, ao que parece, era da Coreia do Norte e estava “usando uma identidade válida, mas roubada, dos EUA” e uma foto que foi “aprimorada” por inteligência artificial. Agora há uma investigação ativa do FBI em meio à suspeita de que o trabalhador seja o que a postagem do blog da KnowBe4 chamou de “um ator de ameaça interna/estado-nação”.

A KnowBe4 opera em 11 países e é sediado na Flórida. Ele fornece treinamento de conscientização de segurança, incluindo testes de segurança de phishing, para clientes corporativos. Se você ocasionalmente receber um e-mail de phishing falso do seu empregador, você pode estar trabalhando para uma empresa que usa o serviço KnowBe4 para testar a capacidade de seus funcionários de detectar golpes.

Pessoa passou por verificação de antecedentes e entrevistas em vídeo

A KnowBe4 contratou o hacker norte-coreano por meio de seu processo usual. “Postamos a vaga, recebemos currículos, conduzimos entrevistas, realizamos verificações de antecedentes, verificamos referências e contratamos a pessoa. Enviamos a estação de trabalho Mac e, no momento em que foi recebida, ela imediatamente começou a carregar malware”, disse a empresa.

Embora a foto fornecida ao RH fosse falsa, a pessoa que foi entrevistada para o trabalho aparentemente parecia o suficiente para passar. A equipe de RH da KnowBe4 “conduziu quatro entrevistas por videoconferência em ocasiões separadas, confirmando que o indivíduo correspondia à foto fornecida em sua inscrição”, disse a publicação. “Além disso, uma verificação de antecedentes e todas as outras verificações padrão de pré-contratação foram realizadas e voltaram limpas devido à identidade roubada que estava sendo usada. Esta era uma pessoa real usando uma identidade válida, mas roubada, com sede nos EUA. A imagem foi ‘aprimorada’ por IA.”

As duas imagens no topo desta história são uma foto de stock e o que a KnowBe4 diz ser a falsificação de IA com base na foto de stock. A foto de stock está à esquerda, e a falsificação de IA está à direita.

O funcionário, chamado de “XXXX” na postagem do blog, foi contratado como engenheiro de software principal. As atividades suspeitas do novo contratado foram sinalizadas pelo software de segurança, levando o Security Operations Center (SOC) da KnowBe4 a investigar:

Em 15 de julho de 2024, uma série de atividades suspeitas foram detectadas no usuário a partir das 21h55 EST. Quando esses alertas chegaram, a equipe SOC da KnowBe4 entrou em contato com o usuário para perguntar sobre a atividade anômala e a possível causa. XXXX respondeu ao SOC que estava seguindo as etapas do guia do roteador para solucionar um problema de velocidade e que isso pode ter causado um comprometimento.

O invasor realizou várias ações para manipular arquivos de histórico de sessão, transferir arquivos potencialmente prejudiciais e executar software não autorizado. Ele usou um Raspberry Pi para baixar o malware. O SOC tentou obter mais detalhes de XXXX, incluindo colocá-lo em uma chamada. XXXX declarou que não estava disponível para uma chamada e depois ficou sem resposta. Por volta das 22h20 EST, o SOC continha o dispositivo de XXXX.

“Falso trabalhador de TI da Coreia do Norte”

A análise do SOC indicou que o carregamento do malware “pode ​​ter sido intencional pelo usuário”, e o grupo “suspeitou que ele pudesse ser uma ameaça interna/ator do Estado-nação”, disse a postagem do blog.

“Compartilhamos os dados coletados com nossos amigos da Mandiant, um especialista líder global em segurança cibernética, e o FBI, para corroborar nossas descobertas iniciais. Acontece que este era um falso trabalhador de TI da Coreia do Norte”, escreveu Sjouwerman.

A KnowBe4 disse que não pode fornecer muitos detalhes por causa da investigação ativa do FBI. Mas a pessoa contratada para o trabalho pode ter feito login no computador da empresa remotamente da Coreia do Norte, explicou Sjouwerman:

Como isso funciona é que o trabalhador falso pede para que sua estação de trabalho seja enviada para um endereço que é basicamente uma “fazenda de laptops de mulas de TI”. Eles então fazem VPN de onde realmente estão fisicamente (Coreia do Norte ou na fronteira com a China) e trabalham no turno da noite para que pareçam estar trabalhando durante o dia nos EUA. O golpe é que eles estão realmente fazendo o trabalho, sendo bem pagos e dando uma grande quantia para a Coreia do Norte para financiar seus programas ilegais. Não preciso falar sobre o risco grave disso. É bom termos novos funcionários em uma área altamente restrita quando eles começam e não têm acesso aos sistemas de produção. Nossos controles perceberam, mas esse foi certamente um momento de aprendizado que estou feliz em compartilhar com todos.

Esta história apareceu originalmente em Arte Técnica.



Source link

Related Articles

Deixe um comentário