Cum a reușit un hacker din Coreea de Nord să se infiltreze într-un furnizor de securitate din SUA?
Redacția
Un hacker nord-coreean a reușit să se infiltreze într-un furnizor de securitate digitală din SUA.
Hackerul a fost angajat ca inginer principal de software și a încercat imediat să încarce malware în rețeaua companiei, o mișcare care a fost rapid detectată și neutralizată.
Stu Sjouwerman, CEO și fondator al KnowBe4 (compania în cauză), a dezvăluit incidentul într-o postare recentă.
El a subliniat că nu s-a obținut acces neautorizat și că niciun fel de date nu au fost compromise sau exfiltrate. "Aceasta nu este o notificare de breșă de date," a clarificat Sjouwerman. "Vedeți-o ca pe un moment de învățare pe care îl împărtășesc cu voi. Dacă ni se poate întâmpla nouă, se poate întâmpla aproape oricui. Nu lăsați să vi se întâmple și vouă."
Compania KnowBe4, cunoscută pentru furnizarea de traininguri de conștientizare a securității și teste de phishing, a dezvăluit că hackerul a folosit o identitate validă, dar furată, bazată în SUA și o fotografie îmbunătățită cu ajutorul inteligenței artificiale pentru a trece prin procesul de angajare al companiei.
Hackerul nord-coreean a trecut prin procedurile riguroase de angajare ale KnowBe4, inclusiv multiple interviuri video și verificări ale antecedentelor, datorită identității furate.
În ciuda fotografiei false, individul intervievat semăna suficient de mult cu imaginea îmbunătățită de AI pentru a evita suspiciunile.
"Am postat jobul, am primit CV-uri, am desfășurat interviuri, am efectuat verificări ale antecedentelor, am verificat referințele și am angajat persoana," a detaliat KnowBe4. "I-am trimis stația de lucru Mac și, în momentul în care a fost primită, a început imediat să încarce malware."
Activitățile suspecte au fost semnalate pe 15 iulie 2024. Centrul de Operațiuni de Securitate (SOC) al KnowBe4 a detectat anomaliile și a contactat hackerul, care inițial a pretins că depanează o problemă cu routerul.
Activitățile hackerului includeau manipularea fișierelor de istoric al sesiunii, transferul de fișiere dăunătoare și executarea de software neautorizat, folosind un Raspberry Pi pentru a descărca malware-ul.
Când SOC a încercat alte întrebări, hackerul a devenit necooperant, ceea ce a determinat echipa să izoleze dispozitivul.
Analiza a sugerat că încărcarea de malware a fost intenționată, iar hackerul a fost suspectat a fi o amenințare internă și un actor de stat național.
KnowBe4 a colaborat cu firma de securitate cibernetică Mandiant și FBI pentru a investiga incidentul. Constatările au confirmat că hackerul opera de la distanță, probabil din Coreea de Nord sau de peste graniță, din China, folosind un VPN pentru a părea că lucrează în timpul zilei în SUA.
Un VPN (Virtual Private Network) este o tehnologie care creează o conexiune securizată și criptată între dispozitivul utilizatorului și internet. Aceasta permite utilizatorilor să navigheze pe web în mod anonim și să protejeze datele lor personale de interceptarea neautorizată. VPN-urile sunt utilizate frecvent pentru a accesa conținut restricționat geografic, pentru a securiza conexiunile în rețele Wi-Fi publice și pentru a asigura confidențialitatea activităților online. Practic, un VPN maschează adresa IP reală a utilizatorului, redirecționând traficul printr-un server situat într-o altă locație, oferind astfel un nivel ridicat de securitate și anonimat.
Investigația FBI este în curs, iar KnowBe4 și-a îmbunătățit protocoalele de securitate pentru a preveni astfel de incidente în viitor. Această breșă servește ca un memento sever al tacticilor sofisticate folosite de actorii statali și necesitatea critică a unor apărări robuste de securitate cibernetică.
