Problema 5381

Incidentes Asociados

Incidente 111841 Reportes
Ongoing Purported AI-Assisted Identity Fraud Enables Unauthorized Access to Western Companies by North Korean IT Workers

Loading...
Cómo un falso trabajador informático norcoreano intentó infiltrarse en nuestro sistema
blog.knowbe4.com · 2024

*Antes que nada: No se obtuvo ningún acceso ilegal ni se perdieron, comprometieron ni exfiltraron datos en ningún sistema de KnowBe4. Esto no es una notificación de filtración de datos; no hubo ninguna. Considérelo un aprendizaje organizacional que comparto con ustedes. Si nos puede pasar a nosotros, le puede pasar a casi cualquiera. No dejen que les pase a ustedes. *

Historia actualizada el 19/10/2024 con 10 actualizaciones críticas para su proceso de contratación. Ver más abajo. También escribimos una sección de preguntas frecuentes, respondiendo a las preguntas de los clientes.

En resumen: KnowBe4 necesitaba un ingeniero de software para nuestro equipo interno de TI e IA. Publicamos la oferta, recibimos currículums, realizamos entrevistas, verificamos antecedentes, verificamos referencias y contratamos a la persona. Les enviamos su Mac y, en cuanto la recibieron, empezó a cargar malware.

Nuestro equipo de RR. HH. realizó cuatro entrevistas por videoconferencia en distintas ocasiones, confirmando que la persona coincidía con la foto proporcionada en su solicitud. Además, se realizó una verificación de antecedentes y todas las demás comprobaciones estándar previas a la contratación, las cuales resultaron ser correctas debido al uso de una identidad robada. Se trataba de una persona real que utilizaba una identidad válida, pero robada, con sede en EE. UU. La imagen estaba mejorada con IA.

El software EDR la detectó y alertó a nuestro Centro de Operaciones de Seguridad de InfoSec. El SOC llamó al nuevo empleado y le preguntó si podían ayudar. Fue entonces cuando la situación se complicó rápidamente. Compartimos los datos recopilados con nuestros colegas de Mandiant, un experto líder mundial en ciberseguridad, y con el FBI para corroborar nuestros hallazgos iniciales. Resultó que se trataba de un falso trabajador de TI de Corea del Norte. La imagen que ven es una falsificación de IA que comenzó con fotografías de archivo (abajo). Los detalles en el siguiente resumen son limitados debido a que se trata de una investigación activa del FBI.

RESUMEN: Este informe abarca la investigación del empleado con ID: XXXX, contratado como ingeniero principal de software. El 15 de julio de 2024, se detectaron varias actividades sospechosas en la cuenta de ese usuario. Según la evaluación de las actividades por parte del equipo SOC, se determinó que esto podría haber sido intencional por parte del usuario y se sospechó que podría ser un agente de una amenaza interna o de un Estado nacional. Tras la investigación inicial y la contención del host, se llevó a cabo una investigación más detallada del nuevo empleado.

El 15 de julio de 2024, se detectaron varias actividades sospechosas en el usuario a partir de las 21:55 EST. Cuando llegaron estas alertas, el equipo SOC de KnowBe4 contactó al usuario para preguntarle sobre la actividad anómala y la posible causa. XXXX respondió al SOC que estaba siguiendo los pasos de la guía de su router para solucionar un problema de velocidad y que esto podría haber causado una vulnerabilidad.

El atacante realizó diversas acciones para manipular los archivos del historial de sesión, transferir archivos potencialmente dañinos y ejecutar software no autorizado. Usó una Raspberry Pi para descargar el malware. El SOC intentó obtener más detalles de XXXX, incluyendo contactarlo por teléfono. XXXX declaró que no estaba disponible para una llamada y posteriormente dejó de responder. Alrededor de las 22:20 EST, el SOC contenía el dispositivo de XXXX.

El funcionamiento del sistema es el siguiente: el trabajador falso solicita que su estación de trabajo se envíe a una dirección que, en esencia, es una granja de mulas de computadoras portátiles. Luego, se conecta mediante VPN desde su ubicación física real (Corea del Norte o al otro lado de la frontera con China) y trabaja en el turno de noche para que parezca que trabaja durante el día en Estados Unidos. La estafa consiste en que realmente realizan el trabajo, cobran bien y donan una gran cantidad a Corea del Norte para financiar sus programas ilegales. No hace falta mencionar el grave riesgo que esto conlleva. Es bueno que los nuevos empleados estén en una zona muy restringida al incorporarse, sin acceso a los sistemas de producción. Nuestros controles lo detectaron, pero sin duda fue una experiencia de aprendizaje que me complace compartir con todos.

CONSEJOS PARA EVITAR ESTO

  • Escanee sus dispositivos remotos para asegurarse de que nadie los use remotamente.
  • Mejore la verificación de antecedentes, asegurándose de que se encuentren físicamente donde deben estar.
  • Mejore la revisión de currículums para detectar inconsistencias profesionales.
  • Grabe a estas personas y pregúnteles sobre su trabajo.
  • La dirección de envío de la computadora portátil, que es diferente de donde se supone que viven o trabajan, es una señal de alerta.

MEJORA DE PROCESO RECOMENDADA

  • La verificación de antecedentes parece inadecuada. Los nombres utilizados no eran consistentes.
  • Es posible que las referencias no se hayan verificado adecuadamente. No se base solo en las referencias por correo electrónico.
  • Implemente una supervisión mejorada para detectar cualquier intento continuo de acceso a los sistemas.
  • Revise y fortalezca los controles de acceso y los procesos de autenticación. - Impartir capacitación de concienciación sobre seguridad a los empleados, haciendo hincapié en las tácticas de ingeniería social

ATENCIÓN:

  • Uso de números de VoIP y falta de huella digital para la información de contacto proporcionada
  • Discrepancias en la dirección y la fecha de nacimiento entre diferentes fuentes
  • Información personal contradictoria (estado civil, "emergencias familiares" que justifiquen la indisponibilidad)
  • Uso sofisticado de VPN o máquinas virtuales para acceder a los sistemas de la empresa
  • Intento de ejecución de malware y posteriores intentos de encubrimiento

ALERTA A RR. HH. SOBRE:

El sujeto ha demostrado un alto nivel de sofisticación al crear una identidad falsa creíble, explotar las debilidades en los procesos de contratación y verificación de antecedentes, e intentar establecerse en los sistemas de la organización.

Se trata de una gran red criminal bien organizada, patrocinada por el Estado y con amplios recursos. El caso pone de relieve la necesidad crucial de contar con procesos de investigación más sólidos, una monitorización continua de la seguridad y una mejor coordinación entre los equipos de RR. HH., TI y seguridad para la protección contra amenazas persistentes avanzadas. A la izquierda se muestra la imagen de archivo original. A la derecha, la IA falsa enviada a RR. HH.

Amenaza de los trabajadores de TI de Corea del Norte: 10 actualizaciones críticas para su proceso de contratación

Se preguntó a KnowBe4 qué cambios se realizaron en el proceso de contratación tras el descubrimiento del falso trabajador de TI de Corea del Norte (RPDC). A continuación, el resumen y le recomendamos encarecidamente que lo consulte con su departamento de RR. HH. para que implemente los mismos cambios o actualizaciones similares en el proceso. Aquí está la entrada del blog con estas actualizaciones críticas:

Recursos recomendados:

Leer la Fuente