Problème 5381

Incidents associés

Incident 111841 Rapports
Ongoing Purported AI-Assisted Identity Fraud Enables Unauthorized Access to Western Companies by North Korean IT Workers

Loading...
Comment un faux informaticien nord-coréen a tenté de nous infiltrer
blog.knowbe4.com · 2024

*Tout d'abord : aucun accès illégal n'a été obtenu et aucune donnée n'a été perdue, compromise ou exfiltrée sur les systèmes KnowBe4. Il ne s'agit pas d'une notification de violation de données, il n'y en a pas eu. Considérez cela comme un moment d'apprentissage organisationnel que je partage avec vous. Si cela peut nous arriver, cela peut arriver à presque tout le monde. Ne laissez pas cela vous arriver. *

Article mis à jour le 19/10/2024 avec 10 mises à jour critiques pour votre processus de recrutement. Voir plus loin. Nous avons également rédigé une FAQ, répondant aux questions des clients.

En bref : KnowBe4 recherchait un ingénieur logiciel pour son équipe informatique interne d'IA. Nous avons publié l'offre d'emploi, reçu des CV, mené des entretiens, effectué des vérifications d'antécédents, vérifié les références et embauché la personne. Nous lui avons envoyé son poste de travail Mac, et dès sa réception, il a immédiatement commencé à télécharger des logiciels malveillants.

Notre équipe RH a mené quatre entretiens par visioconférence à des occasions distinctes, confirmant que la personne correspondait à la photo fournie dans sa candidature. De plus, une vérification des antécédents et toutes les autres vérifications préalables à l'embauche ont été effectuées et ont révélé l'absence de preuve de l'usurpation d'identité. Il s'agissait d'une personne réelle utilisant une identité valide, mais volée, basée aux États-Unis. La photo était « améliorée » par l'IA.

Le logiciel EDR l'a détectée et a alerté notre centre des opérations de sécurité InfoSec. Le SOC a appelé la nouvelle recrue pour lui demander son aide. C'est à ce moment-là que la situation a rapidement dégénéré. Nous avons partagé les données collectées avec nos collègues de Mandiant, un expert mondial de premier plan en cybersécurité, et avec le FBI, afin de corroborer nos premières conclusions. Il s'est avéré qu'il s'agissait d'un faux informaticien originaire de Corée du Nord. La photo que vous voyez est une fausse image d'IA provenant d'une banque d'images (ci-dessous). Les détails du résumé suivant sont limités car il s'agit d'une enquête en cours du FBI.

RÉSUMÉ : Ce rapport couvre l'enquête concernant l'employé n° XXXX embauché comme ingénieur logiciel principal. Le 15 juillet 2024, une série d'activités suspectes a été détectée sur ce compte utilisateur. L'évaluation de ces activités par l'équipe SOC a révélé que l'utilisateur avait peut-être agi intentionnellement, ce qui a permis de suspecter une menace interne ou un acteur étatique. Après une enquête initiale et le confinement de l'hôte, une enquête plus approfondie a été menée sur le nouvel employé.

Le 15 juillet 2024, une série d'activités suspectes a été détectée sur l'utilisateur à partir de 21h55 HNE. Suite à ces alertes, l'équipe SOC de KnowBe4 a contacté l'utilisateur pour s'enquérir de l'activité anormale et de sa cause possible. XXXX a répondu au SOC qu'il suivait les étapes du guide de son routeur pour résoudre un problème de vitesse et que cela avait pu compromettre son activité.

L'attaquant a effectué diverses actions pour manipuler les fichiers d'historique de session, transférer des fichiers potentiellement dangereux et exécuter des logiciels non autorisés. Il a utilisé un Raspberry Pi pour télécharger le logiciel malveillant. Le SOC a tenté d'obtenir plus d'informations auprès de XXXX, notamment en l'appelant. XXXX a déclaré ne pas être disponible pour un appel et est ensuite devenu indisponible. Vers 22h20 HNE, le SOC a intercepté l'appareil de XXXX.

Le principe est le suivant : le faux employé demande que son poste de travail soit envoyé à une adresse qui est en réalité une « ferme d'ordinateurs portables mulets ». Il se connecte ensuite via VPN depuis son lieu de résidence réel (Corée du Nord ou Chine) et travaille de nuit, donnant l'impression de travailler de jour aux États-Unis. L'arnaque consiste à faire croire qu'il travaille réellement, qu'il est bien payé et qu'il verse une somme importante à la Corée du Nord pour financer ses programmes illégaux. Inutile de vous expliquer le risque élevé que cela représente. Heureusement, nos nouveaux employés sont dans une zone très restreinte à leur arrivée et n'ont pas accès aux systèmes de production. Nos contrôles l'ont détecté, mais ce fut une leçon précieuse que je suis heureux de partager avec vous.

CONSEILS POUR ÉVITER CE QUI SE PASSE

  • Analysez vos appareils distants afin de vous assurer que personne ne s'y connecte à distance.*
  • Mieux vérifier la présence physique des personnes concernées.
  • Analysez les CV pour détecter toute incohérence dans leur parcours professionnel.
  • Filmez ces personnes et interrogez-les sur leur travail.
  • Une adresse de livraison de l'ordinateur portable différente de leur lieu de résidence/travail est un signal d'alarme.

AMÉLIORATION RECOMMANDÉE DES PROCESSUS

  • La vérification des antécédents semble inadéquate. Les noms utilisés n'étaient pas cohérents.
  • Les références pourraient ne pas avoir été correctement vérifiées. Ne vous fiez pas uniquement aux références par courriel.
  • Mettez en place une surveillance renforcée pour toute tentative d'accès aux systèmes.
  • Revoyez et renforcez les contrôles d'accès et les processus d'authentification. - Organiser une formation de sensibilisation à la sécurité pour les employés, en mettant l'accent sur les tactiques d'ingénierie sociale

À RECHERCHER :

  • Utilisation de numéros VoIP et absence d'empreinte numérique pour les coordonnées fournies
  • Divergences d'adresse et de date de naissance entre différentes sources
  • Informations personnelles contradictoires (état civil, « urgences familiales » expliquant l'indisponibilité)
  • Utilisation sophistiquée de VPN ou de machines virtuelles pour accéder aux systèmes de l'entreprise
  • Tentative d'exécution de logiciels malveillants et tentatives de dissimulation ultérieures

ALERTE RH CONCERNANT :

Le sujet a fait preuve d'un haut niveau de sophistication dans la création d'une identité de couverture crédible, en exploitant les faiblesses des processus de recrutement et de vérification des antécédents, et en tentant de s'implanter dans les systèmes de l'organisation.

Il s'agit d'un vaste réseau criminel bien organisé, soutenu par l'État et doté de ressources considérables. Cette affaire souligne le besoin crucial de processus de vérification plus rigoureux, d'une surveillance continue de la sécurité et d'une meilleure coordination entre les équipes RH, IT et sécurité pour se protéger contre les menaces persistantes avancées. À gauche, l'image d'origine. À droite, l'IA fausse soumise aux RH.

Menace liée aux informaticiens nord-coréens : 10 mises à jour critiques pour votre processus de recrutement

KnowBe4 a été interrogé sur les modifications apportées au processus de recrutement après la découverte d'un faux informaticien nord-coréen (RPDC). Voici le résumé et nous vous recommandons vivement d'en discuter avec votre service RH et d'appliquer les mêmes modifications ou des mises à jour similaires. Voici l'article de blog contenant ces mises à jour critiques :

Ressources recommandées :

Lire la source