Az önce ne oldu?Siber suçluların sistemlere sızmak için gidebilecekleri mesafeleri vurgulayan bir uyarıda, bir ABD güvenlik eğitim şirketi, bir Kuzey Koreli hacker’ı yazılım mühendisi olarak işe almaya kandırıldığını açıkladı. Şirket, ne olduğunu ancak hacker’ın şirket tarafından sağlanan bilgisayarı kötü amaçlı yazılımla yüklemesiyle keşfetti.
KnowBe4, çalışanlara bilgisayar korsanlığı tehlikeleri hakkında eğitim vermek için geliştirilen şirketler için özelleştirilmiş güvenlik farkındalık programları oluşturur. Bir örnek, herhangi birinin bu aldatmacaya kanıp kanmadığını görmek için çalışanlara sahte e-postalar göndererek kimlik avı saldırılarına karşı duyarlılığı test etmektir.
CEO ve kurucu Stu Sjouwerman, yakın zamanda yaptığı paylaşımda uyarıcı bir hikaye anlattı ancak şirkete ait hiçbir verinin kaybolmadığını, tehlikeye atılmadığını veya dışarı sızdırılmadığını ve herhangi bir ihlalin söz konusu olmadığını vurguladı.
KnowBe4’ün dahili BT AI ekibi için bir yazılım mühendisi için iş ilanı yayınlamasıyla başladı. İK, bir adayla ayrı zamanlarda dört görüntülü görüşme yaptıktan, kişinin başvurusundaki fotoğrafla eşleştiğini doğruladıktan, geçmişini kontrol ettikten ve işe alım öncesi diğer kontrolleri yaptıktan sonra, söz konusu kişi uzaktan çalışmak üzere işe alındı.
Şirketin bilmediği şey, yeni işe alınan kişinin KnowBe4’ü meşru bir aday olduğuna ikna etmek için AI kullanılarak değiştirilmiş geçerli ancak çalınmış bir ABD merkezli kimlik ve stok fotoğrafı kullandığıydı. Orijinal stok fotoğrafı (solda) ve AI ile geliştirilmiş olanı aşağıda görebilirsiniz.
Röportaj yapanlar, röportaj yaptıkları kişinin sahte fotoğraftaki kişiye yeterince benzediğine ve ikna edici olduğuna inanıyorlardı.
Her şey olağan görünüyordu, ta ki geçen haftaya kadar, sadece XXXX olarak anılan çalışana şirket tarafından sağlanan Mac iş istasyonu gönderilene kadar. Alındığı anda, hemen kötü amaçlı yazılım yüklemeye başladı.
KnowBe4’ün SOC ekibi, tespit ve olası nedeni hakkında bilgi almak için XXXX ile iletişime geçti. Yönlendirici kılavuzundaki adımları izleyerek bir hız sorununu giderdiğini ve bunun bir uzlaşmaya yol açmış olabileceğini iddia etti.
XXXX daha sonra oturum geçmişi dosyalarını manipüle etmek, potansiyel olarak zararlı dosyaları aktarmak ve yetkisiz yazılımları çalıştırmak için eylemler gerçekleştirdi. Kötü amaçlı yazılımı indirmek için bir Raspberry Pi kullandı. Şirket onu görüntü aramasına almaya çalıştı ancak müsait olmadığını ve daha sonra tepkisiz hale geldiğini söyledi. Şüpheli aktiviteler tespit edildikten yaklaşık 25 dakika sonra cihazı kontrol altına alındı.
Analiz, XXXX’in bir İçeriden Tehdit/Ulus Devlet Aktörü olabileceğini öne sürüyor. Bilgiler siber güvenlik firması Mandiant ve FBI ile paylaşıldı. XXXX’in Kuzey Kore’den sahte bir BT çalışanı olduğu belirlendi.
KnowBe4, iş Mac’inin “temelde bir ‘BT katır dizüstü bilgisayar çiftliği’ olan ve XXXX’in VPN üzerinden eriştiği bir adrese” gönderildiğini söyledi. Ayrıca gece vardiyasında çalıştığı için ABD’de gündüz çalışıyor gibi görünüyordu.
Kuzey Korelilerin uzaktan ABD işlerini güvence altına almak için çalıntı kimlikler kullandıklarına dair uyarılar oldu. Maaşları Kuzey Kore’nin Yasa Dışı programlarını finanse etmek için kullanılıyor ve pozisyonlar hassas bilgilere erişim ve sistemlere sızma/kötü amaçlı yazılım yükleme fırsatı sağlıyor.