Movimientos ingenasas - Empresa de seguridad arresta espía norcoreano - y lo hace a tortas
## Una contratación precavida de KnowBe4 descubierta como un hacker norcoreano
Los expertos en ciberseguridad de KnowBe4 fueron precavidos en su proceso de reclutamiento. Examinaron cuidadosamente la solicitud, analizaron su currículum y realizaron entrevistas de trabajo a través de videoconferencia. Sin embargo, no tardaron en descubrir que todo era una disfraz para un hacker norcoreano. El ataque había comenzado.
Según el artículo de blog donde la empresa detalló su incidente de hacking, les enviaron un ordenador Mac y al llegar, empezó a instalar software malicioso. Ahora, la FBI está investigando.
Un empleado falso con una falsa identidad
La empresa de seguridad, activa en varios países, buscaba realmente un desarrollador de software con experiencia en IA. El solicitante, que solo se refiere a él en el informe como XXXX, no suscitaron sospechas. La equipo de recursos humanos verificó su background y incluso verificó sus referencias. En cuatro entrevistas de trabajo de videoconferencia, aseguraron que la persona en las imágenes enviadas era efectivamente el solicitante. Pero fue todo una fachada.
La persona que solicitó usando una identidad real estadounidense nunca había pisado los Estados Unidos. El norcoreano había robado y manipulado los datos para porpassar las medidas de seguridad. Por ejemplo, había reemplazado su rostro con una fotografía de stock de oficina genérica mediante la IA, según investigaciones posteriores.
25 minutos en el sistema
La disfraz no duró mucho – gracias a la observadora departamento de seguridad de la empresa. A las 21:55 en su primer día de trabajo, el sistema desencadena una alarma, informando de actividad sospechosa del ordenador de trabajo del nuevo empleado.
Intentó manipular la historia de internet de su computadora y instalar malware. Confrontado, intentó explicar que solo estaba intentando hacer funcionar la conexión. Se negó a una llamada, citando que no podía hablar en ese momento. Luego, deja de responder por completo. A las 22:20, la empresa decidió aislar el ordenador. Y no oyeron más de él.
Detrás de la máscara norcoreana
El hecho de que el agente fuera descubierto podría deberse a su disfraz mismo: Desde que no estaba en los Estados Unidos, no pudo usar el ordenador de trabajo enviado en el sitio. En cambio, probablemente lo tenía enviado a una granja de ordenadores llamada "Laptop Farm". Estos ordenadores se manipulan para permitir el uso remoto por los usuarios norcoreanos reales. Sin embargo, esto le resultó fatal.
Exactamente qué el hacker esperaba obtener de su engaño no se conoce. KnowBe4 identifica vulnerabilidades de seguridad en los sistemas de sus clientes, como atraer a empleados con correos electrónicos falsos. Estos correos electrónicos son típicamente excluidos de otras medidas protectoras para garantizar que los empleados sean alcanzados. Un insider podría facilitar esto fácilmente.
Quizás haya algo más sencillo detrás del esquema norcoreano. "Trabajan en Corea del Norte durante el turno de noche para dar la impresión de que trabajan en los Estados Unidos durante el día. La trampa consiste en que realmente hacen el trabajo y luego reciben bien pagos por ello. Después de eso, transfieren grandes porciones de su salario para financiar los programas ilegales de Corea del Norte," explica el artículo de blog. Los hackers norcoreanos efectivamente están trabajando – y evitando sanciones en el proceso. Los investigadores de seguridad de Mandiant han documentado extensamente este enfoque.
Señal de alerta
No tengo que advertirte sobre los riesgos de este procedimiento, el artículo se dirige directamente a los clientes, explica. Los nuevos empleados deben manejarse restringidamente en áreas de riesgo al principio y excluirlos de sistemas productivos, explica el artículo. La propia empresa es precavida durante la evaluación de candidatos. "Estuvimos afortunados de que nuestros sistemas de seguridad funcionaron al final."
La FBI está investigando el caso de un hacker norcoreano que fue contratado por KnowBe4 y recibió un Mac para trabajar, donde instaló software malicioso.
A pesar de usar una identidad real estadounidense, el hacker norcoreano que infiltró la empresa de software fue realmente fuera de los Estados Unidos, resaltando la necesidad de procedimientos de vetado mejorados y prácticas de contratación precavidas.
