Incidentes Asociados
Un trabajador remoto contratado por KnowBe4 como ingeniero de software en su equipo interno de TI era en realidad una persona controlada por un actor de amenazas norcoreano, según reveló la firma de seguridad en una entrada de blog el martes (https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us).
Al detallar un proceso de entrevista aparentemente exhaustivo que incluyó verificación de antecedentes, referencias verificadas y cuatro entrevistas por videoconferencia, el fundador y director ejecutivo de KnowBe4, Stu Sjouwerman, afirmó que el trabajador evitó ser detectado utilizando una identidad válida robada a una persona residente en Estados Unidos. El plan se vio reforzado por el actor, que utilizó una imagen de archivo mejorada con inteligencia artificial.
Se inició una investigación interna cuando el equipo del Centro de Operaciones de Seguridad de InfoSec de KnowBe4 detectó una serie de actividades sospechosas del nuevo empleado. El trabajador remoto recibió una computadora portátil Apple, que la compañía detectó el 15 de julio al instalarse malware en la máquina. Mientras tanto, la foto filtrada por IA fue detectada por el software de Detección y Respuesta de Endpoints de la empresa.
Más tarde esa noche, el equipo del SOC había "contenido" los sistemas del trabajador falso después de que dejara de responder a las solicitudes. Durante aproximadamente 25 minutos, "el atacante realizó diversas acciones para manipular los archivos del historial de sesión, transferir archivos potencialmente dañinos y ejecutar software no autorizado", escribió Sjouwerman en la publicación. "Utilizó una Raspberry Pi [computadora de placa reducida] para descargar el malware".
A partir de ahí, la empresa compartió sus datos y hallazgos con el FBI y con Mandiant, la empresa cibernética propiedad de Google, y llegó a la conclusión de que el trabajador era un personaje ficticio que operaba desde Corea del Norte.
KnowBe4 afirmó que el empleado falso probablemente tenía su estación de trabajo conectada a una dirección que es básicamente una 'granja de mulas de computadoras portátiles'. Luego usarían una VPN para trabajar en el turno de noche desde su residencia real, en este caso, Corea del Norte o al otro lado de la frontera con China. Ese trabajo se realizaría durante la noche, dando la impresión de que están conectados durante el horario laboral habitual de EE. UU.
"La estafa consiste en que realmente están haciendo el trabajo, cobrando bien y donando una gran cantidad a Corea del Norte para financiar sus programas ilegales", escribió Sjouwerman. "No hace falta mencionar el grave riesgo que esto implica".
A pesar de la intrusión, Sjouwerman afirmó que "no se obtuvo acceso ilegal ni se perdieron, comprometieron ni exfiltraron datos de ningún sistema de KnowBe4". Atribuyó el incidente a un actor de amenazas que "demostró un alto nivel de sofisticación en la creación de una identidad falsa creíble" e identificó "debilidades en los procesos de contratación y verificación de antecedentes".
"Se trata de una gran red criminal bien organizada, patrocinada por el Estado y con amplios recursos", escribió. "El caso pone de relieve la necesidad crucial de contar con procesos de investigación más sólidos, una monitorización continua de la seguridad y una mejor coordinación entre los equipos de RR. HH., TI y seguridad para la protección contra amenazas persistentes avanzadas".
Brian Jack, director de seguridad de la información de KnowBe4, declaró en un correo electrónico a CyberScoop que no ha habido muchos cambios desde el incidente con los controles de ciberseguridad de la empresa, dado que los controles actuales fueron los que nos permitieron detectarlo.
"Estamos mejorando nuestros procesos de contratación para incluir una validación de identidad más exhaustiva antes de la fecha de inicio del empleo y estamos capacitando a todo el personal de contratación sobre las señales de alerta comunes de este tipo de amenaza", añadió Jack.
Esta noticia se actualizó el 24 de julio de 2024 con comentarios de KnowBe4.