Mossa ingannevoli - Azienda di sicurezza arresta spia nordcoreano - lo cattura per caso
## Una assunzione prudente di KnowBe4 rivelata come un hacker nordcoreano
Gli esperti di cibersecurity di KnowBe4 erano precauti nel processo di reclutamento. Hanno attentamente valutato la domanda, hanno scrutinato il suo curriculum vitae e hanno effettuato interviste di videoconferenza. Tuttavia, non era passato tempo prima di scoprire che tutto era una copertura per un hacker nordcoreano. L'attacco era iniziatosi.
Secondo il post sul blog dove la società ha dettagliato l'incidente di hacking, gli hanno inviato un computer Mac e, appena arrivò, iniziò a installare software malevolo. Ora, l'FBI indaga.
Un dipendente falso con una falsa identità
La società di sicurezza attiva in diversi paesi stava infatti cercando un sviluppatore software con esperienza in AI. L'applicante, indicato solo come XXXX nel rapporto, non ha sollevato sospetti. La squadra di risorse umane ha controllato il suo background e addirittura verificato le sue riferimenti. In quattro interviste video, hanno assicurato che la persona nelle immagini inviate fosse effettivamente l'applicante. Ma era tutto un'illusione.
La persona che si è applicata con una vera identità statunitense non aveva mai messo piede negli Stati Uniti. Il nordcoreano aveva rubato e manipolato i dati per bypassare le misure di sicurezza. Ad esempio, aveva sostituito la sua immagine con una fotografia di ufficio generica utilizzando l'AI, come si è scoperto successivamente.
25 minuti nel sistema
La maschera non è durata a lungo – grazie alla diligenza del dipartimento di sicurezza della società. A alle 21:55, il suo primo giorno di lavoro, il sistema ha generato allarme, segnalando attività sospetta dal computer del nuovo dipendente.
Era riuscito a manipolare l'istoria della rete sul suo computer e a installare malware. Confrontato, ha cercato di spiegare che stava solo cercando di far funzionare la connessione. Si è rifiutato di rispondere a una chiamata, citando che non poteva parlare in quel momento. Poi, si è interrotto del tutto. A alle 22:20, la società ha deciso di isolare il computer. E non li hanno sentiti più dal nuovo assunto.
Dietro la maschera nordcoreana?
Il fatto che il topo sia stato scoperto potrebbe essere stato dovuto alla sua maschera stessa: Poiché non era negli Stati Uniti, non poteva utilizzare il computer inviato a lavorare sul sito. Invece, probabilmente lo aveva inviato a un cosiddetto "Farm di laptop". Questi computer sono manipolati per consentire l'uso remoto dai utenti nordcoreani reali. Tuttavia, ciò gli è andato contro.
Esattamente cosa il hacker sperava di ottenere dalla sua menzogna non è noto. KnowBe4 identifica vulnerzioni di sicurezza nei sistemi dei suoi clienti, come ad esempio ingannando gli impiegati con email false. Questi email sono tipicamente escluse da altre misure protettive per assicurarsi che gli impiegati siano raggiunti. Un insider poteva facilmente sfruttare questo.
Forse c'è qualcosa di più banale dietro alla truffa nordcoreana. "Lavorano in Corea del Nord durante il turni notturni per dare l'impressione di lavorare negli Stati Uniti durante il giorno. La truffa consiste nel fare effettivamente il lavoro e poi ricevere un salario generoso per esso. Poi, trasferiscono grandi porzioni del loro stipendio per finanziare i programmi illeciti di Corea del Nord," spiega il post. I ricercatori di sicurezza di Mandiant hanno estesamente documentato questo approccio.
Segnale d'allarme
Non devo dirvi nulla riguardo ai rischi di questo procedimento, il post lo indirizza direttamente ai clienti, spiega. I nuovi dipendenti dovrebbero essere trattati con cautela in aree di rischio all'inizio, e esclusi dai sistemi produttivi, spiega. La società stessa è cauta durante la valutazione dei candidati. "Siamo stati fortunati che i nostri sistemi di sicurezza abbiano funzionato in fine."
L'FBI indaga ora sul caso dell'hacker nordcoreano che è stato assunto da KnowBe4 e ha ricevuto un Mac per lavorare, dove ha installato software malevolo.
Nonostante avesse utilizzato una vera identità statunitense, il hacker nordcoreano che si è infiltrato nella società di software era in realtà fuori dagli Stati Uniti, evidenziando la necessità di processi di reclutamento e pratiche di assunzione più accurate.