LISTIGE BEWEGUNGEN - Sicherheitsfirma stellt Nordkoreanischen Spion fest - und stellt ihn zufällig fest
## Vorsichtige Stellungnahme von KnowBe4: Der Nordkoreaner-Hacker enttarnt
Die Cyber-Sicherheitsexperten von KnowBe4 waren vorsichtig in ihrem Rekrutierungsverfahren. Sie durchsuchten gründlich die Anwendung, überprüften sein CV und führten Stelleninterviews über Videotelefonie durch. Es dauerte jedoch nicht lange, bis sie entdeckten, dass alles eine Tarnung war für einen Nordkoreaner-Hacker. Angriff begann.
Nach dem in dem Blogeintrag, in dem die Firma ihre Hacking-Vorfälle beschrieb, erhielten sie von ihm eine Arbeit Mac und als er ankam, begann er sofort mit der Installation von schädlichem Software. Jetzt ermittelt die FBI.
Ein falscher Mitarbeiter mit falser Identität
Das Sicherheitsunternehmen, das in mehreren Ländern aktiv ist, suchte tatsächlich nach einem Software Entwickler mit AI-Erfahrung. Der Anwender, der im Bericht nur als XXXX bezeichnet wird, rief keinerlei Verdacht auf. Das Personalteam überprüfte seine Hintergrundprüfungen und überprüfte auch seine Referenzen. In vier Videostelleninterviews sicherte sich das Team, dass die Person in den vorgelegten Bildern tatsächlich der Anwender war. Aber es war alles eine Fassade.
Derjenige, der unter einem echten US-Identität angeworben hatte, hatte nie in den USA gefühlte. Der Nordkoreaner hatte die Daten manipuliert, um die Sicherheitsmaßnahmen zu umgehen. Zum Beispiel hatte er sein Gesicht mit einem allgemeinen Büro-Lagerhausfoto durch künstliche Intelligenz ersetzt, wie spätere Untersuchungen ergaben.
25 Minuten im System
Die Verkleidung hielt nicht lange – dank der beobachtenden Sicherheitsabteilung der Firma. Um 21:55 Uhr auf seinem ersten Arbeitstag versprang das System eine Alarmauslösung, die von verdächtiger Aktivität des neuen Mitarbeiters auf seinem Laptop berichtete.
Er hatte versucht, die Internetgeschichte auf seinem Computer zu manipulieren und Malware zu installieren. Konfrontiert, versuchte er zu erklären, dass er nur versuchen wollte, die Verbindung in Arbeit zu bringen. Er lehnte einen Anruf ab, mit dem Begründung, dass er nicht sprechen könne. Dann hörte man von ihm nichts mehr. Um 22:20 Uhr entschied die Firma, das Computer zu isolieren. Und sie hörte nichts mehr von dem neuen Mitarbeiter.
Was hinter der Nordkoreaner-Maske steckt?
Die Tatsache, dass der Spion enttarnt wurde, könnte auf seine Verkleidung selbst zurückzuführen sein: Da er nicht in den USA war, konnte er den von ihm zugesandten Arbeitscomputer nicht auf dem Platz verwenden. Stattdessen war es wahrscheinlich in sogenannten "Laptop Farms" gelandet. Diese Computer werden manipuliert, um Fernsteuerung durch die tatsächlichen Nordkoreaner-Nutzer zu ermöglichen. Letztendlich hat dies jedoch gegen ihn eingeschlagen.
Genau was der Hacker mit seiner Täuschung vorhatte, ist unbekannt. KnowBe4 identifiziert Sicherheitslücken in den Systems ihrer Kunden, wie zum Beispiel durch falsche Spam-Emails zu locken. Diese Emails werden normalerweise von anderen Schutzmaßnahmen ausgeschlossen, um die Mitarbeiter zu erreichen. Ein Insider könnte dies leicht missbrauchen.
Vielleicht gibt es etwas Banaleres hinter der Nordkoreaner-Verschwörung. "Sie arbeiten in Nordkorea während der Nachtschicht, um den Eindruck zu erwecken, sie arbeiten in den USA am Tag. Der Betrug besteht darin, dass sie tatsächlich arbeiten und dann gut bezahlt werden. Danach überweisen sie große Teile ihres Gehalts, um Nordkoreas illegalen Programmen Geld zu spenden," erklärt der Blogeintrag. Nordkoreanische Hacker arbeiten tatsächlich – und umgehen Sanktionen im Prozess. Die Sicherheitsforscher von Mandiant haben diese Annahme ausführlich dokumentiert.
Warnungssignal
Ich muss Ihnen über die Risiken dieser Prozedur nicht warnen, der Post richtet sich direkt an die Kunden, sie heißt. Neue Mitarbeiter sollten in risikoreichen Bereichen vorsichtig behandelt werden und von produktiven Systemen ausgeschlossen werden, wie die Post erklärt. Die Firma selbst ist vorsichtig bei der Prüfung von Bewerbern. "Wir hatten Glück, dass unsere Sicherheitssysteme am Ende funktionierten."
Die FBI ermittelt derzeit den Fall des Nordkoreaner-Hackers, der bei KnowBe4 angestellt und mit einer Mac zur Arbeit gegeben wurde, auf der er schädliches Software installierte.
Obwohl er unter einer echten US-Identität angeworben hatte, war der Nordkoreaner-Hacker, der in das Softwareunternehmen eindrangte, tatsächlich außerhalb der Vereinigten Staaten, was die Notwendigkeit von verbesserten Prüfungsverfahren und vorsichtigen Rekrutierungspraktiken hervorhebt.