KnowBe4, une société de cybersécurité, découvre qu'un travailleur à distance est en réalité un pirate nord-coréen

Lorsque le Mac fourni par l'entreprise a commencé à charger des logiciels malveillants

La société de sensibilisation à la cybersécurité KnowBe4 découvre qu'un travailleur à distance est en réalité un pirate nord-coréen. La société a remarqué qu'il y avait anguille sous roche lorsque le Mac fourni par l'entreprise a commencé à charger des logiciels malveillants.

Selon un rapport antérieur, le FBI affirme que la Corée du Nord a orchestré pendant des années un stratagème informatique qui a permis de tromper de nombreuses entreprises en faisant travailler des informaticiens à distance dans des sociétés basées aux États-Unis. Les travailleurs ont utilisé de nombreux moyens pour donner l'impression de travailler aux États-Unis, notamment en payant des Américains pour qu'ils utilisent les connexions Wi-Fi de leur domicile. Les informaticiens déployés par la Corée du Nord sont envoyés sur des continents comme la Chine et la Russie, où ils passent des contrats avec des entreprises américaines pour travailler à distance.

Le stratagème informatique de la Corée du Nord a permis de générer des millions de dollars par an pour le programme d'armement de la Corée du Nord. Le système a également infiltré les réseaux informatiques d'employeurs inconnus pour voler des informations et en conserver l'accès en vue de futures activités de piratage et d'extorsion.


Récemment, une société américaine de formation à la cybersécurité a découvert qu'elle avait embauché par erreur un pirate informatique nord-coréen en tant qu'ingénieur logiciel après que l'ordinateur nouvellement fourni à l'employé ait été infecté par des logiciels malveillants. L'incident s'est produit chez KnowBe4, qui développe des programmes de sensibilisation à la sécurité pour enseigner aux employés les attaques par hameçonnage et les cybermenaces.

L'entreprise a récemment embauché un ingénieur logiciel à distance qui a passé l'entretien et la procédure de vérification des antécédents. Mais après, KnowBe4 a découvert quelque chose d'étrange après avoir envoyé à l'employé un Mac fourni par l'entreprise. « Dès qu'il a été reçu, il a immédiatement commencé à charger un logiciel malveillant », a indiqué KnowBe4.

L'entreprise a détecté le logiciel malveillant grâce au logiciel de sécurité intégré au Mac. Une enquête, menée avec l'aide du FBI et de Mandiant, le service de sécurité de Google, a ensuite permis de conclure que l'ingénieur logiciel engagé était en fait un Nord-Coréen qui se faisait passer pour un travailleur du secteur des technologies de l'information.

Heureusement, l'entreprise a pu contenir le Mac à distance avant que le pirate ne puisse utiliser l'ordinateur pour compromettre les systèmes internes de KnowBe4. Lorsque le logiciel malveillant a été détecté pour la première fois, l'équipe informatique de l'entreprise a d'abord contacté l'employé, qui a prétendu « qu'il suivait les étapes du guide de son routeur pour résoudre un problème de vitesse ». En réalité, KnowBe4 a surpris le travailleur embauché en train de manipuler des fichiers de session et d'exécuter des logiciels non autorisés, notamment en utilisant un Raspberry Pi pour charger le logiciel malveillant.

Comment un faux informaticien nord-coréen a tenté d'infiltrer la société de cybersécurité KnowBe4

KnowBe4 avait besoin d'un ingénieur logiciel pour son équipe interne d'intelligence artificielle. Ils ont publié le poste, reçu des CV, organisé des entretiens, vérifié les antécédents et les références, et embauché la personne. Ils ont envoyé un poste de travail Mac, et dès sa réception, il a immédiatement commencé à charger des logiciels malveillants.

L'équipe des ressources humaines a mené quatre entretiens par vidéoconférence à des occasions différentes, confirmant que la personne correspondait à la photo fournie sur sa candidature. En outre, une vérification des antécédents et toutes les autres vérifications standards préalables à l'embauche ont été effectuées et n'ont rien donné en raison de l'utilisation d'une identité volée. Il s'agissait d'une personne réelle utilisant une identité valide mais volée, basée aux États-Unis. La photo a été "améliorée" par l'IA.

Le logiciel EDR l'a détectée et a alerté le centre d'opérations de sécurité InfoSec. Le SOC a appelé le nouvel employé et lui a demandé s'il pouvait l'aider. KnowBe4...