KnowBe4, une socit de cyberscurit, dcouvre qu’un travailleur distance est en ralit un pirate nord-coren Lorsque le Mac fourni par l’entreprise a commenc charger des logiciels malveillants

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



La socit de sensibilisation la cyberscurit KnowBe4 dcouvre qu’un travailleur distance est en ralit un pirate nord-coren. La socit a remarqu qu’il y avait anguille sous roche lorsque le Mac fourni par l’entreprise a commenc charger des logiciels malveillants.

Selon un rapport antrieur, le FBI affirme que la Core du Nord a orchestr pendant des annes un stratagme informatique qui a permis de tromper de nombreuses entreprises en faisant travailler des informaticiens distance dans des socits bases aux tats-Unis. Les travailleurs ont utilis de nombreux moyens pour donner l’impression de travailler aux tats-Unis, notamment en payant des Amricains pour qu’ils utilisent les connexions Wi-Fi de leur domicile. Les informaticiens dploys par la Core du Nord sont envoys sur des continents comme la Chine et la Russie, o ils passent des contrats avec des entreprises amricaines pour travailler distance.

Le stratagme informatique de la Core du Nord a permis de gnrer des millions de dollars par an pour le programme d’armement de la Core du Nord. Le systme a galement infiltr les rseaux informatiques d’employeurs inconnus pour voler des informations et en conserver l’accs en vue de futures activits de piratage et d’extorsion.

Rcemment, une socit amricaine de formation la cyberscurit a dcouvert qu’elle avait embauch par erreur un pirate informatique nord-coren en tant qu’ingnieur logiciel aprs que l’ordinateur nouvellement fourni l’employ ait t infect par des logiciels malveillants. L’incident s’est produit chez KnowBe4, qui dveloppe des programmes de sensibilisation la scurit pour enseigner aux employs les attaques par hameonnage et les cybermenaces.

L’entreprise a rcemment embauch un ingnieur logiciel distance qui a pass l’entretien et la procdure de vrification des antcdents. Mais aprs, KnowBe4 a dcouvert quelque chose d’trange aprs avoir envoy l’employ un Mac fourni par l’entreprise. Ds qu’il a t reu, il a immdiatement commenc charger un logiciel malveillant , a indiqu KnowBe4.

L’entreprise a dtect le logiciel malveillant grce au logiciel de scurit intgr au Mac. Une enqute, mene avec l’aide du FBI et de Mandiant, le service de scurit de Google, a ensuite permis de conclure que l’ingnieur logiciel engag tait en fait un Nord-Coren qui se faisait passer pour un travailleur du secteur des technologies de l’information.

Heureusement, l’entreprise a pu contenir le Mac distance avant que le pirate ne puisse utiliser l’ordinateur pour compromettre les systmes internes de KnowBe4. Lorsque le logiciel malveillant a t dtect pour la premire fois, l’quipe informatique de l’entreprise a d’abord contact l’employ, qui a prtendu qu’il suivait les tapes du guide de son routeur pour rsoudre un problme de vitesse . En ralit, KnowBe4 a surpris le travailleur embauch en train de manipuler des fichiers de session et d’excuter des logiciels non autoriss, notamment en utilisant un Raspberry Pi pour charger le logiciel malveillant.

Comment un faux informaticien nord-coren a tent d’infiltrer la socit de cyberscurit KnowBe4

KnowBe4 avait besoin d’un ingnieur logiciel pour son quipe interne d’intelligence artificielle. Ils ont publi le poste, reu des CV, organis des entretiens, vrifi les antcdents et les rfrences, et embauch la personne. Ils ont envoy un poste de travail Mac, et ds sa rception, il a immdiatement commenc charger des logiciels malveillants.

L’quipe des ressources humaines a men quatre entretiens par vidoconfrence des occasions diffrentes, confirmant que la personne correspondait la photo fournie sur sa candidature. En outre, une vrification des antcdents et toutes les autres vrifications standards pralables l’embauche ont t effectues et n’ont rien donn en raison de l’utilisation d’une identit vole. Il s’agissait d’une personne relle utilisant une identit valide mais vole, base aux tats-Unis. La photo a t « amliore » par l’IA.

Le logiciel EDR l’a dtecte et a alert le centre d’oprations de scurit InfoSec. Le SOC a appel le nouvel employ et lui a demand s’il pouvait l’aider. KnowBe4 a partag les donnes recueillies avec Mandiant, un expert mondial en cyberscurit, et avec le FBI, afin de corroborer ces premires conclusions. Il s’est avr qu’il s’agissait d’un faux informaticien de Core du Nord. L’image que vous voyez est un faux d’IA qui a commenc par une photographie de stock. gauche, l’image originale. droite, la fausse image d’IA soumise aux RH.

Rsum du rapport d’incident : Menace interne

Ce rapport couvre l’enqute sur l’employ ID : XXXX embauch en tant qu’ingnieur logiciel principal. Le 15 juillet 2024, une srie d’activits suspectes a t dtecte sur ce compte utilisateur. Sur la base de l’valuation des activits par l’quipe SOC, il a t constat que cela pouvait tre intentionnel de la part de l’utilisateur et suspect d’tre une menace interne/un acteur de l’tat-nation. Aprs l’enqute initiale et le confinement de l’hte, une enqute plus dtaille sur le nouvel employ a eu lieu.

Le 15 juillet 2024, une srie d’activits suspectes a t dtecte sur l’utilisateur partir de 21 h 55 (heure de l’Est). Lorsque ces alertes sont arrives, l’quipe SOC de KnowBe4 a contact l’utilisateur pour s’enqurir de l’activit anormale et de sa cause possible. XXXX a rpondu au SOC qu’il suivait les tapes du guide de son routeur pour rsoudre un problme de vitesse et que cela avait pu causer une compromission.

L’attaquant a effectu diverses actions pour manipuler les fichiers d’historique de session, transfrer des fichiers potentiellement dangereux et excuter des logiciels non autoriss. Il a utilis un Raspberry Pi pour tlcharger le logiciel malveillant. Le SOC a tent d’obtenir plus de dtails de la part de XXXX, notamment en l’appelant. XXXX a dclar qu’il n’tait pas disponible pour un appel et qu’il ne rpondait plus. Vers 22 h 20 (heure de l’Est), le SOC a confin l’appareil de XXXX.

Le faux travailleur demande ce que son poste de travail soit envoy une adresse qui est en fait une « ferme d’ordinateurs portables de la mule informatique ». Ils se connectent ensuite par VPN depuis l’endroit o ils se trouvent rellement (Core du Nord ou Chine) et travaillent de nuit pour donner l’impression de travailler pendant la journe aux tats-Unis. L’escroquerie consiste dire qu’ils font rellement le travail, qu’ils sont bien pays et qu’ils donnent un montant important la Core du Nord pour financer leurs programmes illgaux. Je n’ai pas besoin de vous parler du risque grave que cela reprsente. C’est une bonne chose que nous ayons des Knewbies dans un bac sable lorsqu’ils commencent. Nos contrles l’ont dtect, mais ce fut un moment d’apprentissage que je suis heureux de partager avec tout le monde.

Conseils pour viter cela

  • Scannez vos appareils distance pour vous assurer que personne ne les utilise.
  • Un meilleur contrle, pour s’assurer qu’ils sont physiquement l o ils sont censs tre.
  • Mieux analyser les CV pour dtecter les incohrences de carrire.
  • Faites passer ces personnes devant une camra vido et posez-leur des questions sur le travail qu’elles effectuent.
  • L’adresse d’expdition de l’ordinateur portable, diffrente de l’endroit o ils sont censs vivre/travailler, est un signal d’alarme.

Recommandation pour amliorer les processus

  • La vrification des antcdents semble inadquate. Les noms utiliss ne sont pas cohrents.
  • Les rfrences n’ont potentiellement pas t vrifies correctement. Ne pas se fier uniquement des rfrences envoyes par courrier lectronique.
  • Mettre en uvre une surveillance renforce de toute tentative continue d’accs aux systmes.
  • Examiner et renforcer les contrles d’accs et les processus d’authentification.
  • Organiser une formation de sensibilisation la scurit pour les employs, en mettant l’accent sur les tactiques d’ingnierie sociale.

Ce quoi il faut faire attention

  • L’utilisation de numros VOIP et l’absence d’empreinte numrique pour les informations de contact fournies.
  • Divergences dans l’adresse et la date de naissance entre diffrentes sources
  • Informations personnelles contradictoires (tat civil, urgences familiales expliquant l’indisponibilit)
  • Utilisation sophistique de VPN ou de machines virtuelles pour accder aux systmes de l’entreprise.
  • Tentative d’excution de logiciels malveillants et efforts de dissimulation subsquents

Alertez le RH propos

Le sujet a fait preuve d’un haut niveau de sophistication en crant une identit de couverture crdible, en exploitant les faiblesses des processus de recrutement et de vrification des antcdents, et en tentant de s’implanter dans les systmes de l’organisation.

Il s’agit d’un rseau criminel de grande envergure, bien organis et soutenu par l’tat, qui dispose de ressources considrables. Ce cas met en vidence le besoin critique de processus de vrification plus robustes, d’une surveillance continue de la scurit et d’une meilleure coordination entre les quipes des ressources humaines, des technologies de l’information et de la scurit pour se protger contre les menaces persistantes avances.

Source : Knowbe4

Et vous ?

Quel est votre avis sur cet incident ?

Selon vous, quelles sont les solutions pour viter ce genre de cas ?

Voir aussi :

Le FBI affirme que la Core du Nord a dploy des milliers de faux informaticiens pour financer son programme d’armement, ce stratagme informatique nord-coren aurait gnr des millions de dollars

Le FBI met en garde contre l’embauche accidentelle d’un pirate nord-coren, car ils utiliseraient leurs salaires pour soutenir les programmes d’armes nuclaires de la Core du Nord



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.