Быстрое разоблачение

Хакер-неудачник был разоблачен очень быстро. Вскоре после того, как новому работнику прислали рабочий компьютер, он "сразу же начал загружать вредоносное программное обеспечение", – написал в блоге компании основатель и генеральный директор Стю Сьюверман. Это и привело к немедленному выявлению злонамеренных действий.

Смотрите также Российские хакеры отключили отопление в 600 украинских домах зимой – исследование Dragos

Как объясняет Сьюверман, KnowBe4 нужен был инженер-программист, и компания опубликовала вакансию в интернете. Впоследствии она получила резюме, провела собеседования, проверила данные и рекомендации, и в конце наняли человека. Сотруднику сразу же прислали новенький Mac.

Однако после этого защитные IT-системы обнаружили подозрительную активность, которая поступала от нового работника.

Мы поделились собранными данными с нашими друзьями из Mandiant, ведущего мирового эксперта по кибербезопасности, и ФБР, чтобы подтвердить наши первые выводы. Оказалось, что это фальшивый ИТ-работник из Северной Кореи,
– говорится в сообщении.

Изображение, которое присылал тогда еще кандидат на должность, было подделкой искусственного интеллекта, которая началась со стоковой фотографии. Но компания отмечает, что провела целых 4 интервью в формате видео, чтобы "подтвердить, что лицо соответствует фотографии, предоставленной в ее заявке". Судя по всему, хакер подделал и изображение в прямом эфире.

Оригинал и подделка
Оригинал фотографии со стоков и подделка, присланная в KnowBe4 / Скриншот 24 Канала / Фото KnowBe4

В итоге выяснилось, что "это был реальный человек, который использовал действительное, но украденное в США удостоверение личности".

Последствия

Компания уверяет, что "никакого незаконного доступа не было получено, никаких данных не было потеряно, скомпрометировано или похищено в любой системе KnowBe4". Судя по всему, компания смогла вовремя обнаружить и остановить подозрительную активность, ведь она буквально на этом и специализируется.

Злоумышленник выполнял различные действия для манипулирования файлами истории сеансов, передачи потенциально вредоносных файлов и запуска несанкционированного программного обеспечения,
– говорится в сообщении в блоге.

ФБР неоднократно предупреждало, что северокорейские государственные хакеры проникают в частный сектор США, выдавая себя за удаленных ИТ-работников.

  • В прошлогоднем пресс-релизе ведомство перечислило ряд "тревожных признаков", среди которых "нежелание или неспособность появляться перед камерой, проводить видеоинтервью или видеовстречи", признаки мошенничества, пересылка ноутбуков, выданных компанией, за границу, а также "неоднократные запросы на предоплату".
  • Также ранее в этом году Министерство юстиции США предъявило обвинения пяти лицам, обвинив их в том, что они помогали северокорейской программе создания ядерного оружия получать прибыль путем проникновения на американские компании.

"Это хорошо организованная, финансируемая государством крупная преступная группировка с большими ресурсами. Этот случай подчеркивает острую потребность в более надежных процессах проверки, непрерывном мониторинге безопасности и улучшении координации между HR, ИТ и службами безопасности в защите от современных постоянных угроз", – добавляет Сьюверман.