Parece que há sempre alguém “a pedi-las”. A história é bizarra, à luz das políticas que uma empresa de segurança tem obrigatoriamente de ter. Um hacker norte-coreano foi contratado por um fornecedor de segurança dos EUA e carregou imediatamente o malware para atacar os clientes.
KnowBe4, empresa de segurança, enganada por identificação roubada
A KnowBe4, um fornecedor de segurança sediado nos EUA, revelou que contratou involuntariamente um hacker norte-coreano que tentou carregar malware na rede da empresa. O CEO e fundador da KnowBe4, Stu Sjouwerman, descreveu o incidente num blogue ontem, chamando-lhe uma história de precaução que foi felizmente detetada antes de causar problemas de maior.
Em primeiro lugar: nenhum acesso ilegal foi obtido e nenhum dado foi perdido, comprometido ou exfiltrado em nenhum sistema da KnowBe4. Esta não é uma notificação de violação de dados, pois não houve nenhuma. Veja isso como um momento de aprendizagem organizacional que estou a partilhar convosco. Se nos pode acontecer a nós, pode acontecer a quase toda a gente. Não deixem que vos aconteça.
Escreveu Sjouwerman.
A KnowBe4 disse que estava à procura de um engenheiro de software para a sua equipa interna de IA. A empresa contratou uma pessoa que, ao que parece, era da Coreia do Norte e estava a “usar uma identidade válida, mas roubada nos EUA” e uma fotografia que foi “melhorada” pela inteligência artificial. Existe agora uma investigação ativa do FBI por suspeita de que o trabalhador é o que a publicação no blogue da KnowBe4 chamou de Insider Threat/Nation State Actor (uma ameaça interna/ator do Estado-nação).
A empresa de segurança opera em 11 países e está sediada na Flórida. Oferece formação de sensibilização para a segurança, incluindo testes de segurança de phishing, a clientes empresariais. Se ocasionalmente recebe um falso e-mail de phishing do seu empregador, pode estar a trabalhar para uma empresa que utiliza o serviço KnowBe4 para testar a capacidade dos seus funcionários para detetar fraudes.
Candidato passou no inquérito pessoal e nas entrevistas em vídeo
A KnowBe4 contratou o hacker norte-coreano através do seu processo habitual.
Publicámos o trabalho, recebemos currículos, fizemos entrevistas, verificámos os antecedentes, verificámos as referências e contratámos a pessoa. Enviámos-lhe o seu computador de trabalho, um Mac e, assim que a recebeu, começou imediatamente a carregar malware.
Afirmou a empresa.
Apesar de a fotografia fornecida aos recursos humanos (RH) ser falsa, a pessoa que foi entrevistada para o emprego parecia suficientemente parecida para ser aprovada.
A equipa de RH da KnowBe4 realizou quatro entrevistas por videoconferência em ocasiões separadas, confirmando que o indivíduo correspondia à fotografia fornecida na candidatura.
Além disso, foi efectuada uma verificação de antecedentes e todas as outras verificações padrão pré-contratação, que foram aprovadas devido à utilização de uma identidade roubada. Tratava-se de uma pessoa real que utilizava uma identidade válida, mas roubada, baseada nos EUA. A imagem foi ‘melhorada’ pela IA.
Refere o artigo no blog da empresa.
As duas imagens no topo desta história são uma fotografia de arquivo e o que a KnowBe4 diz ser a IA falsa baseada na fotografia de arquivo. A fotografia de arquivo está à esquerda e a falsificação de IA está à direita.
Usou um Raspberry Pi para descarregar o malware
O funcionário, referido como “XXXX” na publicação do blogue, foi contratado como engenheiro de software principal. As atividades suspeitas do novo contratado foram assinaladas pelo software de segurança, levando o Centro de Operações de Segurança (SOC) da KnowBe4 a investigar:
Em 15 de julho de 2024, foi detetada uma série de actividades suspeitas no utilizador, com início às 21:55 EST. Quando estes alertas foram recebidos, a equipa SOC da KnowBe4 contactou o utilizador para obter informações sobre a atividade anómala e a possível causa. XXXX respondeu ao SOC que estava a seguir os passos do guia do seu router para resolver um problema de velocidade e que isso pode ter causado um compromisso.
O atacante executou várias ações para manipular ficheiros de histórico de sessão, transferir ficheiros potencialmente perigosos e executar software não autorizado. Ele usou um Raspberry Pi para descarregar o malware. A SOC tentou obter mais pormenores de XXXX, incluindo uma chamada telefónica. XXXX afirmou que não estava disponível para uma chamada e mais tarde deixou de responder. Por volta das 10:20 pm EST, o SOC conteve o dispositivo de XXXX.
A análise do SOC indicou que o carregamento de malware “pode ter sido intencional por parte do utilizador”.