Dal Curriculum al Malware! Come KnowBe4 Ha Assunto Un Hacker Nordcoreano Senza Accorgersene

Redazione RHC : 26 Luglio 2024 08:29

La società di formazione sulla sicurezza informatica con sede in Florida KnowBe4 ha condiviso un incidente riscontrato di recente. Un hacker nordcoreano si è spacciato per ingegnere del software, ha aggirato tutti i controlli di assunzione e ha ottenuto un lavoro presso KnowBe4. Subito dopo ha installato il malware sul computer dell’azienda.

KnowBe4 riferisce che tutto è iniziato quando il suo team di sicurezza ha rilevato attività sospette provenienti dalla workstation di un ingegnere informatico assunto di recente. “Gli abbiamo inviato una workstation Mac e, non appena l’ha ricevuta, ha iniziato immediatamente a scaricare malware”, afferma Stu Sjouwerman, CEO di KnowBe4.

KnowBe4 ha scoperto cosa è successo il 15 luglio 2024, quando il software antivirus ha inviato un avviso di attività anomala sul computer di un nuovo dipendente. Durante l’indagine sull’incidente, ha dichiarato che stava semplicemente cercando di risolvere i problemi con la velocità del router seguendo il manuale, e questo presumibilmente potrebbe aver portato alla segnalazione.

Supporta RHC acquistando il Corso CTI:

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Tuttavia, è diventato subito chiaro che l’insider stava effettivamente utilizzando il Raspberry Pi per scaricare malware, manipolare file di sessione ed eseguire software non autorizzati. Poiché l’insider ha tentato di installare un infostealer sulla macchina, prendendo di mira i dati memorizzati nei browser, si presume che sperasse di estrarre le informazioni rimaste nel sistema dal precedente proprietario.

“Ha usato un Raspberry Pi per scaricare malware. Abbiamo cercato di ottenere informazioni più dettagliate dal dipendente, offrendogli anche di contattarlo telefonicamente, ma ha detto che non era disponibile e in seguito ha smesso di rispondere”, afferma l’azienda. Quella sera l’azienda ha isolato la postazione di lavoro infetta. Si sottolinea che “i sistemi KnowBe4 non sono stati accessibili o compromessi”.

Prima di assumere il dipendente, KnowBe4 ha esaminato il suo background, le referenze fornite e ha condotto quattro interviste video per assicurarsi che fosse una persona reale. Ma in seguito si è scoperto che aveva utilizzato un’identità rubata a un cittadino statunitense per aggirare i controlli e utilizzato strumenti di intelligenza artificiale per creare foto e volti durante le videoconferenze.

Il dipendente, la cui identità è stata falsificata dall’intelligenza artificiale, è l’ennesimo esempio di una serie di centinaia di casi di agenti nordcoreani che si sono infiltrati in aziende americane sotto le spoglie di specialisti IT, ha detto Schuwerman.

Ricordiamo che nel maggio di quest’anno, le forze dell’ordine americane hanno accusato cinque persone (un cittadino statunitense, un ucraino e tre cittadini di altri paesi) per aver partecipato a programmi che consentivano ai cittadini nordcoreani di ottenere lavoro a distanza in società informatiche americane e presumibilmente “portare entrate al programma nucleare della Corea del Nord.”

Il capo di KnowBe4 avverte che lo sconosciuto agente nordcoreano ha dimostrato “un alto livello di sofisticatezza nel creare una copertura plausibile, e ha anche sfruttato i punti deboli nel processo di assunzione e nei controlli dei precedenti”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.