Американская ИБ-компания случайно наняла на работу северокорейского хакера
Американская компания KnowBe4 случайно наняла хакера из Северной Кореи. Ему удалось успешно пройти собеседования, а фотографию для резюме он создал, обработав стоковое фото при помощи нейросетей.
Как рассказывает президент KnowBe4 Стю Сьюверман, поиск кандидата проходил по стандартной схеме: компания разместила вакансию, получила несколько резюме, HR-отдел провёл собеседования. После проверки данных в резюме кандидата команда приняла его на работу и отправила ему рабочий Mac, с которого в системы компании сразу же начало загружаться вредоносное ПО.
Как уточняет Сьюверман, HR-отдел провёл четыре собеседования по видеосвязи и тщательно проверил данные в анкете. Кандидат не вызвал подозрений, так как использовал украденные данные реального человека и внешне был похож на предоставленную фотографию.
По словам Сьювермана, почти сразу после того, как новый сотрудник получил рабочий Mac, системы EDR компании обнаружили потенциальную угрозу и предупредили о ней оперативный центр по безопасности (SOC).
«Специалисты SOC позвонили новому сотруднику и спросили, чем они могут помочь. Вот тогда всё быстро пошло наперекосяк», — пишет Сьюверман.
Новый сотрудник объяснил, что пытался настроить маршрутизатор, и, возможно, это привело к компрометации. На самом деле он попытался манипулировать файлами истории сеансов, передать в сеть потенциально опасные файлы и запустить вредоносное ПО. Служба безопасности попыталась ещё раз связаться с новым сотрудником и позвонила ему, но он был недоступен. Через 25 минут после начала атаки SOC заблокировала его компьютер.
Анализ показал, что попытки загрузить вредоносное ПО были намеренными. KnowBe4 сообщила об инциденте экспертам по кибербезопасности компании Mandiant, а также ФБР. Расследование показало, что фальшивый сотрудник оказался хакером из Северной Кореи.
«Схема выглядит так: фальшивый сотрудник просит отправить его рабочий компьютер или ноутбук на адрес, который, по сути, представляет собой просто «ферму ноутбуков». Затем он подключается к рабочему устройству через VPN оттуда, где он физически находится (в данном случае Северная Корея) и работает в ночную смену, так что создаётся впечатление, что человек трудится в дневное время в США», — поясняет Сьюверман. По его словам, многие такие мошенники действительно работают и получают хорошую зарплату, которую они передают правительству для финансирования его деятельности.
Написать комментарий