Incidents associés
Un travailleur à distance embauché par KnowBe4 comme ingénieur logiciel au sein de son équipe informatique interne était en réalité une personne contrôlée par un acteur malveillant nord-coréen, a révélé l'entreprise de sécurité dans un article de blog mardi.
Détaillant un processus d'entretien apparemment rigoureux, comprenant des vérifications d'antécédents, des références vérifiées et quatre entretiens par visioconférence, Stu Sjouwerman, fondateur et PDG de KnowBe4, a déclaré que le travailleur avait évité de se faire prendre en utilisant une identité valide, volée à un individu basé aux États-Unis. Le stratagème a été encore amélioré par l'utilisation d'une image d'archive augmentée par l'intelligence artificielle.
Une enquête interne a été ouverte lorsque l'équipe du centre des opérations de sécurité InfoSec de KnowBe4 a détecté « une série d'activités suspectes » chez le nouvel employé. Le travailleur à distance s'est vu remettre un ordinateur portable Apple, signalé par l'entreprise le 15 juillet lorsqu'un logiciel malveillant a été installé sur la machine. La photo filtrée par l'IA a été signalée par le logiciel de détection et de réponse aux points de terminaison de l'entreprise.
Plus tard dans la soirée, l'équipe SOC a « confiné » les systèmes du faux employé après qu'il ait cessé de répondre aux sollicitations. Pendant environ 25 minutes, « l'attaquant a effectué diverses actions pour manipuler les fichiers d'historique de session, transférer des fichiers potentiellement dangereux et exécuter des logiciels non autorisés », a écrit Sjouwerman dans son message. « Il a utilisé un Raspberry Pi [ordinateur monocarte] pour télécharger le logiciel malveillant. »
L'entreprise a ensuite partagé ses données et ses conclusions avec le FBI et Mandiant, l'entreprise de cybersécurité appartenant à Google, et a conclu que l'employé était un personnage fictif opérant depuis la Corée du Nord.
KnowBe4 a déclaré que le faux employé avait probablement son poste de travail connecté « à une adresse qui correspond en quelque sorte à une "mule informatique de portables". » Ils utilisaient ensuite un VPN pour travailler de nuit depuis leur lieu de résidence réel – dans ce cas, la Corée du Nord « ou de l'autre côté de la frontière, en Chine ». Cette opération se déroulerait de nuit, donnant l'impression qu'ils sont connectés pendant les heures normales de bureau aux États-Unis.
« L'arnaque, c'est qu'ils effectuent réellement le travail, sont bien payés et reversent une somme importante à la Corée du Nord pour financer leurs programmes illégaux », a écrit Sjouwerman. « Je n'ai pas besoin de vous parler du risque élevé que cela représente. »
Malgré l'intrusion, Sjouwerman a affirmé qu'« aucun accès illégal n'a été obtenu et qu'aucune donnée n'a été perdue, compromise ou exfiltrée sur les systèmes KnowBe4. » Il a imputé l'incident à un acteur malveillant qui a « fait preuve d'une grande sophistication dans la création d'une identité de couverture crédible » et a identifié « des faiblesses dans les processus de recrutement et de vérification des antécédents ».
« Il s'agit d'un vaste réseau criminel bien organisé, soutenu par l'État et disposant de ressources importantes », a-t-il écrit. « Cette affaire souligne le besoin crucial de processus de vérification plus rigoureux, d'une surveillance continue de la sécurité et d'une meilleure coordination entre les équipes RH, informatique et sécurité pour se protéger contre les menaces persistantes avancées. »
Brian Jack, responsable de la sécurité informatique de KnowBe4, a déclaré dans un courriel adressé à CyberScoop que « peu de choses » avaient changé depuis l'incident concernant les contrôles de cybersécurité de l'entreprise, étant donné que ce sont les contrôles actuels qui « nous ont permis de détecter ce problème ».
« Nous améliorons nos processus de recrutement afin d'inclure une validation plus approfondie des identités avant la date d'embauche et formons l'ensemble du personnel chargé du recrutement aux signaux d'alerte courants pour ce type de menace », a ajouté Jack.
Cet article a été mis à jour le 24 juillet 2024 avec les commentaires de KnowBe4.