Компания по кибербезопасности KnowBe4 наняла северокорейского шпиона, но быстро разоблачила его

Компания KnowBe4, специализирующаяся на кибербезопасности, раскрыла информацию о том, что удаленный разработчик ПО, которого они наняли, оказался северокорейским шпионом, использовавшим украденную личность и изображения, измененные с помощью ИИ.

В блоге компании генеральный директор KnowBe4 Стю Шоуверман подробно описал процесс собеседования, который включал проверку биографических данных, подтверждение рекомендаций и четыре собеседования по видеосвязи. Работнику удалось избежать разоблачения, используя реальную личность, украденную у гражданина США.

Схема была дополнительно усовершенствована тем, что злоумышленник использовал стоковое изображение, улучшенное с помощью искусственного интеллекта. Внутреннее расследование началось, когда команда Центра информационной безопасности KnowBe4 заметила "ряд подозрительных действий" со стороны нового сотрудника.

Удаленному работнику был отправлен ноутбук Apple, на котором 15 июля компания обнаружила вредоносное ПО. Программное обеспечение компании для обнаружения и реагирования на конечных точках также отметило фотографию, отфильтрованную с помощью ИИ.

Позже вечером того же дня команда SOC "изолировала" системы работника после того, как он перестал отвечать на запросы. В течение примерно 25 минут "злоумышленник выполнил различные действия по манипуляции файлами истории сеансов, передаче потенциально вредных файлов и запуску несанкционированного ПО. Он использовал компьютер Raspberry Pi для загрузки вредоносного ПО".

Затем компания поделилась своими данными и выводами с ФБР и Mandiant — киберфирмой, принадлежащей Google. Был сделан вывод, что работник был вымышленной личностью, действующей из Северной Кореи. KnowBe4 заявила, что рабочая станция фальшивого сотрудника, вероятно, была подключена "к адресу, который выступает "фермой IT-мулов".

Они использовали VPN для работы в ночную смену из места своего проживания — в данном случае, из Северной Кореи "или из-за границы в Китае". По словам Шоувермана, несмотря на вторжение, шпион не получил доступа к критическим данным и ничего не было утеряно, скомпрометировано или похищено из систем KnowBe4.