Северокорейский хакер устроился в американскую компанию по кибербезопасности и стал устанавливать малварь

Судя по рассказу, процесс отсева соискателей в KnowBe4 достаточно тщательный и включает проверки, запрос рекомендаций и четыре собеседования по видео. Все эти методы защиты шпиону удалось обойти, в том числе при помощи кражи личности жителя США и стоковой фотографии, обработанной ИИ.

В один момент внутренняя команда по безопасности KnowBe4 заметила подозрительную активность со стороны новичка и начала расследование. Сотруднику выслали макбук, а 15 июля компания обнаружила, что на него было загружено вредоносное ПО. Как и то, что фото было подделано. Вечером сотрудник перестал выходить на связь, а его систему изолировали. Примерно за 25 минут он успел выполнить различные действия по манипулированию файлами и попытался запустить зловредный софт. Для загрузки вредоносов он использовал Raspberry Pi.

Компания передала находки ФБР и киберспециалистам Mandiant. Выяснилось, что подставной сотрудник действовал из Северной Кореи. По адресу, на который была отправлена рабочая станция, находятся целые «фермы» таких компьютеров. Хакеры выходят в сеть из своей страны Кореи или Китая через VPN и работают в ночные смены, когда в США день. Они действительно выполняют задачи, получают хорошую зарплату и отдают значительную её часть на финансирование проектов северокорейских властей.

В случае KnowBe4 несанкционированный доступ фейковому сотруднику получить не удалось, и никакие данные скомпрометированы или потеряны не были. Однако инцидент продемонстрировал высокий уровень организации и финансирования подготавливаемых хакерами кампаний, а также недостаточность нынешних процессов проверки соискателей. В KnowBe4 говорят, что над последним уже работают.