Bir güvenlik firması yakın zamanda dahili AI ekibi için bir yazılım mühendisi işe aldı ve bu mühendisin Kuzey Koreli bir tehdit aktörü, Şirketinin sağladığı iş istasyonuna hemen kötü amaçlı yazılım yüklemeye başladı.
Bilin4OlsunGüvenlik bilinci ve eğitimi sağlayan KnowBe4’ün kurucusu Stu Sjouwerman, çalışan için işe alım öncesi standart geçmiş kontrolleri gerçekleştirdiğini ve işe alınmadan önce kendisiyle dört ayrı video konferans görüşmesi yaptığını paylaştı. bir blog yazısı durum hakkında. Şirket ayrıca röportaj yapılan kişinin özgeçmişle birlikte gönderilen fotoğraftaki kişiyle aynı kişi olduğunu doğruladı.
Kontroller temiz çıktı ve pozisyon için aday olan kişi (“baş yazılım mühendisi”) güvenilir ve nitelikli görünüyordu, ancak şirket daha sonra onun çalıntı bir kimlik kullandığını ve fotoğrafının yapay zeka ile geliştirildiğini fark etti.
Sjouwerman, doğrulama ve işe alım süreci tamamlandıktan sonra KnowBe4’ün, KnowBe4’ün gönderisinde “XXXX” olarak anılan yeni çalışana Mac iş istasyonunu gönderdiğini ve “alındığı anda hemen kötü amaçlı yazılım yüklemeye başladığını” yazdı.
“15 Temmuz 2024’te, kullanıcıda TSİ 21:55’te başlayan bir dizi şüpheli etkinlik tespit edildi.” “Bu uyarılar geldiğinde, KnowBe4’ün güvenlik operasyonları merkezi (SOC) ekibi anormal etkinlik ve olası neden hakkında bilgi almak için kullanıcıya ulaştı. XXXX, SOC’ye yönlendirici kılavuzundaki adımları izleyerek bir hız sorununu giderdiğini ve bunun bir tehlikeye yol açmış olabileceğini söyledi.”
Ancak çalışanın gerçekte yaptığı şey, oturum geçmişi dosyalarını manipüle etmek, potansiyel olarak zararlı dosyaları aktarmak ve Raspberry Pi kullanarak yetkisiz yazılımları çalıştırmak için çeşitli eylemler gerçekleştirmekti. KnowBe4’ün SOC, daha fazla araştırma yapmak için onu aramaya çalıştı ancak o, kendisinin müsait olmadığını ve “daha sonra tepkisiz hale geldiğini” söyledi. Saat 10:20’de SOC, XXXX’in cihazını karantinaya aldı.
KnowBe4, çalışan ve faaliyetleri hakkında topladığı verileri siber güvenlik firması Mandiant ve FBI ile paylaşarak şirketin ilk bulgularını doğruladı. Şirket sonunda XXXX’in Kuzey Kore’den sahte bir BT çalışanı olduğunu keşfetti ve FBI soruşturması hala devam ediyor.
“Herkesin başına gelebilir”
Sjouwerman, müşterilere etkinlik nedeniyle veri ihlali yaşanmadığını, çünkü güvenlik araçlarının kötü amaçlı yazılımı yürütülmeden önce engellediğini vurguladı. Şirketinde neler yaşandığını paylaşmasının amacının “bir organizasyonel öğrenme anı” sağlamak olduğunu söyledi.
“Yüzümüzde yumurta var mı? Evet,” o yazdı“Ve bu dersi sizinle paylaşıyorum.”
KnowBe4, yeni çalışanların hesaplarına yalnızca yeni işe alım oryantasyon süreci ve eğitimleri boyunca devam etmek için sınırlı izinler veriyor ve yalnızca e-posta gelen kutusu, Slack ve Zoom gibi gerekli uygulamalara erişim sağlıyor. Bu, XXXX’in hiçbir zaman herhangi bir müşteri verisine, KnowBe4’ün özel ağlarına, bulut altyapısına, koduna veya herhangi bir KnowBe4 gizli bilgisine erişimi olmadığı anlamına geliyor, dedi Sjouwerman.
“Hiçbir yasa dışı erişim elde edilmedi ve hiçbir veri KnowBe4 sisteminde kaybolmadı, tehlikeye atılmadı veya dışarı sızdırılmadı,” diye yazdı Sjouwerman. Ancak, “eğer bizim başımıza gelebiliyorsa, hemen hemen herkesin başına gelebilir,” diye ekledi.
Gerçekten de, Kuzey Kore tehdit aktörleri, başarılı siber suç faaliyetleri güvenilir BT çalışanları gibi davranarak. Geçtiğimiz Ekim ayında, Adalet Bakanlığı uyardı serbest BT pazarının sular altında kalmak Kuzey Kore hükümeti adına çalışan operatörler tarafından, şirketlere yeni işçi alırken dikkatli olmaları çağrısında bulunuldu. Departman, bu işçilerin Kazançlarını sessizce hükümetin yaptırımlara maruz kalan ülkenin nükleer silah programına aktarıyorlar.
“Bunun çalışma şekli şöyle: Sahte çalışan, iş istasyonunun temelde bir BT katır dizüstü bilgisayar çiftliği olan bir adrese gönderilmesini istiyor,” diye açıklıyor Sjouwerman. “Daha sonra, fiziksel olarak bulundukları yerden (Kuzey Kore veya Çin sınırından) VPN ile bağlanıyorlar ve gece vardiyasında çalışarak ABD’de gündüz çalışıyormuş gibi görünüyorlar.”
Kuzey Koreli Bir Hacker Nasıl İşe Alınmaz
Yazıya göre KnowBe4, potansiyel kötü aktörlerin daha erken tespit edilmesini sağlamak için işe alımda “birkaç süreç değişikliği” yaptı. Örneğin ABD’de şirket artık yeni çalışan iş istasyonlarını yalnızca yakındaki bir UPS mağazasına gönderecek ve bunu elde etmek için resimli kimlik gerektirecek.
Kuruluşların yapabileceği diğer süreç iyileştirmeleri, tüm geçmiş ve referans kontrollerinin tutarsızlıklar açısından doğrulanmasını ve uygun şekilde incelenmesini sağlamak; erişim kontrollerini ve kimlik doğrulama süreçlerini gözden geçirmek ve güçlendirmek; ve çalışanlara güvenlik konusunda farkındalık eğitimi vermektir. sosyal mühendislik taktikleri Tehdit aktörleri tarafından kullanılır.
Şirket ayrıca diğer kuruluşların da benzer senaryolarla karşılaşmaması için, şüpheli erişim veya etkinlikler için uzak cihazların taranması, tutarsızlıklar için inceleme ve özgeçmiş taramasının iyileştirilmesi ve kişinin yaşaması ve çalışması gereken yerden farklı bir dizüstü bilgisayar teslimat adresi gibi kırmızı bayrakların kontrol edilmesi gibi önerilerde bulundu.
Potansiyel çalışanlarda dikkat edilmesi gereken diğer kırmızı bayraklar arasında VoIP numaralarının kullanımı ve/veya sağlanan iletişim bilgileri için dijital ayak izinin olmaması ve farklı kaynaklardaki adreslerde, kişisel bilgilerde veya doğum tarihlerinde herhangi bir tutarsızlık olması yer alır. Uzaktan çalışan bir çalışanın VPN’leri veya sanal makineleri karmaşık bir şekilde kullanması bir alarmı tetiklemelidir.