Noord-Koreaanse nep-IT-werker probeerde KnowBe4 te infiltreren
Een Noord-Koreaanse nep-IT-werker probeerde KnowBe4 te infiltreren. Dit meldt ceo Stu Sjouwerman in een blog die onder deze tekst is gepubliceerd.
Samenvatting incidentrapport: Insider Threat
Allereerst: er is geen illegale toegang verkregen en er zijn geen gegevens verloren gegaan, gecompromitteerd of geëxfiltreerd op KnowBe4-systemen. Dit is geen melding van een datalek, er was geen melding. Zie het als een organisatorisch leermoment dat ik met u deel. Als het ons kan overkomen, kan het bijna iedereen overkomen. Laat het u niet overkomen. We hebben een FAQ geschreven waarin we vragen van klanten beantwoorden. Verhaal bijgewerkt op 27-07-2024.
TLDR: KnowBe4 had een software engineer nodig voor ons interne IT AI-team. We plaatsten de vacature, ontvingen cv's, voerden interviews uit, voerden achtergrondcontroles uit, controleerden referenties en namen de persoon aan. We stuurden ze hun Mac-werkstation en zodra we het ontvingen, begon het meteen malware te laden.
Ons HR-team voerde vier interviews uit op basis van videoconferenties op afzonderlijke momenten, waarbij werd bevestigd dat de persoon overeenkwam met de foto die op hun sollicitatie was verstrekt. Daarnaast werden een achtergrondcontrole en alle andere standaard pre-hiringcontroles uitgevoerd en kwamen ze terug als goedgekeurd vanwege de gestolen identiteit die werd gebruikt. Dit was een echte persoon die een geldige maar gestolen identiteit in de VS gebruikte. De foto was AI "verbeterd".
De EDR-software detecteerde het en waarschuwde ons InfoSec Security Operations Center. De SOC belde de nieuwe werknemer en vroeg of ze konden helpen. Toen werd het snel dubieus. We deelden de verzamelde gegevens met onze vrienden bij Mandiant, een toonaangevende wereldwijde cybersecurity-expert, en de FBI, om onze eerste bevindingen te bevestigen. Het bleek een nep-IT-medewerker uit Noord-Korea te zijn. De foto die u ziet, is een nep-AI die begon met stockfoto's (hieronder). De details in de volgende samenvatting zijn beperkt omdat dit een lopend FBI-onderzoek is.
SAMENVATTING: Dit rapport behandelt het onderzoek naar Employee ID: XXXX, aangenomen als Principal Software Engineer. Op 15 juli 2024 werd een reeks verdachte activiteiten gedetecteerd op dat gebruikersaccount. Op basis van de evaluatie van de activiteiten door het SOC-team werd vastgesteld dat dit opzettelijk was door de gebruiker en werd vermoed dat hij een Insider Threat/Nation State Actor is. Na het eerste onderzoek en het inperken van de host, vond er een gedetailleerder onderzoek plaats naar de nieuwe werknemer.
Op 15 juli 2024 werd een reeks verdachte activiteiten gedetecteerd bij de gebruiker vanaf 21:55 uur EST. Toen deze meldingen binnenkwamen, nam het SOC-team van KnowBe4 contact op met de gebruiker om te informeren naar de afwijkende activiteit en de mogelijke oorzaak. XXXX antwoordde aan SOC dat hij de stappen in zijn routerhandleiding volgde om een snelheidsprobleem op te lossen en dat dit mogelijk tot een inbreuk had geleid.
De aanvaller voerde verschillende acties uit om sessiegeschiedenisbestanden te manipuleren, potentieel schadelijke bestanden over te dragen en ongeautoriseerde software uit te voeren. Hij gebruikte een Raspberry Pi om de malware te downloaden. SOC probeerde meer details van XXXX te krijgen, waaronder hem aan de lijn te krijgen. XXXX gaf aan dat hij niet beschikbaar was voor een gesprek en reageerde later niet meer. Rond 22:20 uur EST bevatte SOC het apparaat van XXXX.
Hoe dit werkt is dat de nep-werknemer vraagt om zijn werkstation naar een adres te laten sturen dat in feite een "IT-muilezel-laptopboerderij" is. Ze maken dan een VPN-verbinding vanaf waar ze zich fysiek echt bevinden (Noord-Korea of over de grens in China) en werken de nachtdienst, zodat het lijkt alsof ze overdag in de VS werken. De oplichterij is dat ze het werk daadwerkelijk doen, goed betaald krijgen en een groot bedrag aan Noord-Korea doneren om hun illegale programma's te financieren. Ik hoef je niet te vertellen over het ernstige risico hiervan. Het is goed dat we nieuwe werknemers in een zeer beperkt gebied hebben wanneer ze beginnen en geen toegang hebben tot productiesystemen. Onze controles hebben het opgemerkt, maar dat was zeker een leermoment dat ik graag met iedereen deel.
TIPS OM DIT TE VOORKOMEN
- Scan uw externe apparaten om er zeker van te zijn dat niemand deze kan gebruiken.
- Betere screening, zodat zeker is dat ze fysiek op de juiste plek zijn.
- Scan uw cv beter op inconsistenties in uw carrière.
- Zet deze mensen op camera en vraag ze naar het werk dat ze doen.
- Dat het verzendadres van de laptop verschilt van het adres waar de laptop zou moeten wonen/werken, is een waarschuwingssignaal.
AANBEVOLEN PROCESVERBETERING
- Achtergrondcontrole lijkt ontoereikend. Namen waren niet consistent.
- Referenties zijn mogelijk niet goed gecontroleerd. Vertrouw niet alleen op e-mailreferenties.
- Voer een betere controle uit op aanhoudende pogingen om toegang te krijgen tot systemen.
- Herzie en versterk toegangscontroles en authenticatieprocessen.
- Geef werknemers een training in beveiligingsbewustzijn , met de nadruk op social engineering- tactieken
WAAR MOET U OP LETTEN:
- Gebruik van VOIP-nummers en gebrek aan digitale voetafdruk voor verstrekte contactgegevens
- Verschillen in adres en geboortedatum in verschillende bronnen
- Tegenstrijdige persoonlijke informatie (burgerlijke staat, "familie noodgevallen" die de onbeschikbaarheid verklaren)
- Geavanceerd gebruik van VPN's of VM's voor toegang tot bedrijfssystemen
- Poging tot het uitvoeren van malware en daaropvolgende doofpotaffaires
ALARM HR OVER:
De persoon heeft blijk gegeven van een hoge mate van verfijning in het creëren van een geloofwaardige identiteit, het uitbuiten van zwakheden in de wervings- en antecedentenonderzoeksprocessen en het proberen een voet aan de grond te krijgen in de systemen van de organisatie.
Dit is een goed georganiseerde, door de staat gesponsorde, grote criminele bende met uitgebreide middelen. De zaak benadrukt de dringende behoefte aan robuustere screeningprocessen, continue beveiligingsbewaking en verbeterde coördinatie tussen HR-, IT- en beveiligingsteams bij de bescherming tegen geavanceerde aanhoudende bedreigingen. Links is de originele stockfoto. Rechts is de AI- nep die bij HR is ingediend.
Aanbevolen bronnen:
- De Amerikaanse overheid is zich bewust van deze dreiging en waarschuwt er al sinds 2022 voor. Hier is de link.
- Google: Cyberstructuur en -uitlijningen van Noord-Korea in 2023 beoordeeld
- Mandiant Podcast op Spotify: De Noord-Koreaanse IT-medewerkers
- Mandiant -blog
- Brian Krebs deelde het bericht op LinkedIn en de reacties zijn hartverwarmend.