Hackers da Coreia do Norte atacam KnowBe4 com o golpe “Fake IT Worker”

A atividade maliciosa foi identificada e evitada antes que qualquer acesso ilegal fosse obtido ou quaisquer dados fossem comprometidos nos sistemas KnowBe4.

Em um blog publicado em 23 de julho de 2024, o KnowBe4 detalhou o alto nível de sofisticação usado pelos atacantes da Coréia do Norte na criação de uma identidade de capa crível, capaz de passar por uma extensa entrevista e verificação de antecedentes.

O caso demonstra os esforços contínuos da Coreia do Norte para alocar trabalhadores como falsos empregados em funções de TI nas empresas ocidentais, tanto como meio de gerar receita para o governo da República Popular Democrática da Coreia (RPDC) quanto para conduzir invasões cibernéticas maliciosas.

Stu Sjouwerman, CEO e Presidente da KnowBe4, observou: “Este é um grande grupo criminoso bem organizado, patrocinado pelo Estado, com amplos recursos. O caso destaca a necessidade crítica de processos de verificação mais robustos, monitorização de segurança contínua e melhor coordenação entre as equipas de RH, TI e segurança na proteção contra ameaças persistentes avançadas.”

Como um trabalhador falso conseguiu emprego

O KnowBe4 foi anunciou uma função de engenheiro de software dentro de sua equipe interna de IA de TI e recebeu um currículo de um indivíduo usando uma identidade válida, mas roubada, baseada nos EUA. A imagem fornecida na aplicação foi AI ‘enhanced.’

Quatro entrevistas em videoconferência foram realizadas em ocasiões separadas, confirmando que o indivíduo correspondia à foto fornecida em sua inscrição.

Um histórico e outras verificações padrão de pré-contratação foram realizadas e passadas devido à identidade roubada sendo usada.

Na primeira chance ele tentou atacar internamente

Após a confirmação do emprego, o KnowBe4 enviou ao trabalhador remoto uma estação de trabalho Mac.

O software KnowBe4’s EDR detetou rapidamente atividades suspeitas que ocorreram no dispositivo às 21:55 EST em 15 de julho, incluindo o download de malware.

Essas atividades incluíam várias ações para manipular arquivos de histórico de sessão, transferir arquivos potencialmente prejudiciais e executar software não autorizado. Um raspeberry-pi foi usado para baixar o malware.  

O escritório do Security Operations Center (SOC) foi alertado, que avaliou que essas atividades podem ser intencionais, e que o trabalhador pode ser um agente de ameaça interna/estado nacional.

O SOC contatou o trabalhador sobre a atividade, que respondeu que ele estava seguindo as etapas em seu guia do roteador para solucionar um problema de velocidade e que isso pode ter causado um comprometimento.

O SOC também tentou fazer com que o trabalhador falso fizesse uma ligação, que afirmou que não estava disponível para uma ligação e depois não respondeu. O SOC então identificou o dispositivo em uma localização incomum.

A KnowBe4 compartilhou suas descobertas com a empresa de inteligência de ameaças Mandiant e o FBI. Isso descobriu que o funcionário falso fazia parte de uma organização criminosa patrocinada pela Coreia do Norte especializada nesses golpes de trabalhadores de TI.

Uma vez que o emprego é obtido, os trabalhadores falsos solicitam que sua estação de trabalho seja enviada para um endereço que é uma fazenda de laptop “IT mule.” Eles então usam VPNs para acessar a estação de trabalho a partir de sua localização física real, que geralmente é a Coréia do Norte ou a China.

“O golpe é que eles estão realmente fazendo o trabalho, sendo bem pagos e dando uma grande quantia à Coréia do Norte para financiar seus programas ilegais, ” explicou Sjouwerman.

Como detect o golpe do falso trabalhador

A KnowBe4 estabeleceu conselhos sobre como as empresas podem evitar o emprego de falsos trabalhadores de TI da Coreia do Norte com base em sua experiência, incluindo:

• Verificações de antecedentes mais fortes, sinalizando pequenas discrepâncias, como inconsistências no endereço e data de nascimento em diferentes fontes
• Não confie em referências de e-mail de funcionários
• Melhor retomar a digitalização de inconsistências de carreira
• Certifique-se de que os trabalhadores remotos de TI estejam fisicamente onde deveriam estar
• Coloque essas pessoas na câmera de vídeo e pergunte-lhes sobre o trabalho que estão fazendo
• Monitore todos os dispositivos remotos para garantir que eles não sejam acessados remotamente
• Implementar monitoramento aprimorado para quaisquer tentativas contínuas de acesso aos sistemas
• Revisar e fortalecer os controles de acesso e os processos de autenticação
• Fornecer treinamento de conscientização de segurança para funcionários, incluindo equipes de RH, que destacam essas táticas