Proponha uma correção, faça uma sugestão
Empresa americana de segurança contrata hacker norte-coreano e é logo atacada
Parece que há sempre alguém "a pedi-las". A história é bizarra, à luz das políticas que uma empresa de segurança tem obrigatoriamente de ter. Um hacker norte-coreano foi contratado por um fornecedor de segurança dos EUA e carregou imediatamente o malware para atacar os clientes.
KnowBe4, empresa de segurança, enganada por identificação roubada
A KnowBe4, um fornecedor de segurança sediado nos EUA, revelou que contratou involuntariamente um hacker norte-coreano que tentou carregar malware na rede da empresa. O CEO e fundador da KnowBe4, Stu Sjouwerman, descreveu o incidente num blogue ontem, chamando-lhe uma história de precaução que foi felizmente detetada antes de causar problemas de maior.
Em primeiro lugar: nenhum acesso ilegal foi obtido e nenhum dado foi perdido, comprometido ou exfiltrado em nenhum sistema da KnowBe4. Esta não é uma notificação de violação de dados, pois não houve nenhuma. Veja isso como um momento de aprendizagem organizacional que estou a partilhar convosco. Se nos pode acontecer a nós, pode acontecer a quase toda a gente. Não deixem que vos aconteça.
Escreveu Sjouwerman.
A KnowBe4 disse que estava à procura de um engenheiro de software para a sua equipa interna de IA. A empresa contratou uma pessoa que, ao que parece, era da Coreia do Norte e estava a “usar uma identidade válida, mas roubada nos EUA” e uma fotografia que foi “melhorada” pela inteligência artificial. Existe agora uma investigação ativa do FBI por suspeita de que o trabalhador é o que a publicação no blogue da KnowBe4 chamou de Insider Threat/Nation State Actor (uma ameaça interna/ator do Estado-nação).
A empresa de segurança opera em 11 países e está sediada na Flórida. Oferece formação de sensibilização para a segurança, incluindo testes de segurança de phishing, a clientes empresariais. Se ocasionalmente recebe um falso e-mail de phishing do seu empregador, pode estar a trabalhar para uma empresa que utiliza o serviço KnowBe4 para testar a capacidade dos seus funcionários para detetar fraudes.
Candidato passou no inquérito pessoal e nas entrevistas em vídeo
A KnowBe4 contratou o hacker norte-coreano através do seu processo habitual.
Publicámos o trabalho, recebemos currículos, fizemos entrevistas, verificámos os antecedentes, verificámos as referências e contratámos a pessoa. Enviámos-lhe o seu computador de trabalho, um Mac e, assim que a recebeu, começou imediatamente a carregar malware.
Afirmou a empresa.
Apesar de a fotografia fornecida aos recursos humanos (RH) ser falsa, a pessoa que foi entrevistada para o emprego parecia suficientemente parecida para ser aprovada.
A equipa de RH da KnowBe4 realizou quatro entrevistas por videoconferência em ocasiões separadas, confirmando que o indivíduo correspondia à fotografia fornecida na candidatura.
Além disso, foi efectuada uma verificação de antecedentes e todas as outras verificações padrão pré-contratação, que foram aprovadas devido à utilização de uma identidade roubada. Tratava-se de uma pessoa real que utilizava uma identidade válida, mas roubada, baseada nos EUA. A imagem foi 'melhorada' pela IA.
Refere o artigo no blog da empresa.
As duas imagens no topo desta história são uma fotografia de arquivo e o que a KnowBe4 diz ser a IA falsa baseada na fotografia de arquivo. A fotografia de arquivo está à esquerda e a falsificação de IA está à direita.
Usou um Raspberry Pi para descarregar o malware
O funcionário, referido como “XXXX” na publicação do blogue, foi contratado como engenheiro de software principal. As atividades suspeitas do novo contratado foram assinaladas pelo software de segurança, levando o Centro de Operações de Segurança (SOC) da KnowBe4 a investigar:
Em 15 de julho de 2024, foi detetada uma série de actividades suspeitas no utilizador, com início às 21:55 EST. Quando estes alertas foram recebidos, a equipa SOC da KnowBe4 contactou o utilizador para obter informações sobre a atividade anómala e a possível causa. XXXX respondeu ao SOC que estava a seguir os passos do guia do seu router para resolver um problema de velocidade e que isso pode ter causado um compromisso.
O atacante executou várias ações para manipular ficheiros de histórico de sessão, transferir ficheiros potencialmente perigosos e executar software não autorizado. Ele usou um Raspberry Pi para descarregar o malware. A SOC tentou obter mais pormenores de XXXX, incluindo uma chamada telefónica. XXXX afirmou que não estava disponível para uma chamada e mais tarde deixou de responder. Por volta das 10:20 pm EST, o SOC conteve o dispositivo de XXXX.
A análise do SOC indicou que o carregamento de malware “pode ter sido intencional por parte do utilizador”.
Loading ...
Não abram a pestana. Alguém falhou na contratação, desta vedeta. Principalmente por ter passado pelas entrevistas em video e não terem detectado nada de anormal.
If they checked the glasses frame they can see they are different looking on top sides you can see the real picture the glasses show the 2 screws of the original glases frame and the other picture not easy
“Tratava-se de uma pessoa real que utilizava uma identidade válida, mas roubada, baseada nos EUA. A imagem foi ‘melhorada’ pela IA.”
Está explicado na notícia, a imagem foi manipulada, em tempo real, nas entrevistas video. Imagino que por algo semelhante aos “filtros” usados por streamers, que os transformam em personagens anime, ou mulheres de aspecto “normal” em super-modelos (ou mesmo homens em mulheres)