Швидке викриття

Хакер-невдаха був викритий дуже швидко. Невдовзі після того, як новому працівникові надіслали робочий комп'ютер, він "одразу ж почав завантажувати шкідливе програмне забезпечення", – написав у блозі компанії засновник і генеральний директор Стю Сьюверман. Це й призвело до негайного виявлення зловмисних дій.

Дивіться також Російські хакери відключили опалення в 600 українських будинках узимку – дослідження Dragos

Як пояснює Сьюверман, KnowBe4 потрібен був інженер-програміст, і компанія опублікувала вакансію в інтернеті. Згодом вона отримала резюме, провела співбесіди, перевірила дані та рекомендації, і врешті найняли людину. Співробітнику відразу ж надіслали новенький Mac.

Однак після цього захисні IT-системи виявили підозрілу активність, яка надходила від нового працівника.

Ми поділилися зібраними даними з нашими друзями з Mandiant, провідного світового експерта з кібербезпеки, і ФБР, щоб підтвердити наші перші висновки. Виявилося, що це фальшивий ІТ-працівник із Північної Кореї,
– йдеться в повідомленні.

Зображення, яке надсилав тоді ще кандидат на посаду, було підробкою штучного інтелекту, яка почалася зі стокової фотографії. Але компанія зазначає, що провела цілих 4 інтерв'ю у форматі відео, щоб "підтвердити, що особа відповідає фотографії, наданій у її заявці". Судячи з усього, хакер підробив і зображення в прямому ефірі.

Оригінал і підробка
Оригінал фотографії зі стоків і підробка, надіслана в KnowBe4 / Скриншот 24 Каналу / Фото KnowBe4

У підсумку з'ясувалося, що "це була реальна людина, яка використовувала дійсне, але вкрадене в США посвідчення особи".

Наслідки

Компанія запевняє, що "жодного незаконного доступу не було отримано, жодних даних не було втрачено, скомпрометовано чи викрадено в будь-якій системі KnowBe4". Судячи з усього, компанія змогла вчасно виявити й зупинити підозрілу активність, адже вона буквально на цьому й спеціалізується.

Зловмисник виконував різні дії для маніпулювання файлами історії сеансів, передачі потенційно шкідливих файлів і запуску несанкціонованого програмного забезпечення,
– йдеться в повідомленні в блозі.

ФБР неодноразово попереджало, що північнокорейські державні хакери проникають у приватний сектор США, видаючи себе за віддалених ІТ-працівників.

  • У минулорічному пресрелізі відомство перерахувало низку "тривожних ознак", серед яких "небажання або нездатність з'являтися перед камерою, проводити відеоінтерв'ю або відеозустрічі", ознаки шахрайства, пересилання ноутбуків, виданих компанією, за кордон, а також "неодноразові запити на передоплату".
  • Також раніше цього року Міністерство юстиції США висунуло звинувачення п'ятьом особам, звинувативши їх у тому, що вони допомагали північнокорейській програмі створення ядерної зброї отримувати прибутки шляхом проникнення на американські компанії.

"Це добре організоване, фінансоване державою велике злочинне угруповання з великими ресурсами. Цей випадок підкреслює гостру потребу в більш надійних процесах перевірки, безперервному моніторингу безпеки і поліпшенні координації між HR, ІТ і службами безпеки в захисті від сучасних постійних загроз", – додає Сьюверман.