Ein nordkoreanischer Hacker brachte einen US-amerikanischen Sicherheitsanbieter dazu, ihn einzustellen, und versuchte sofort, ihn zu hacken

KnowBe4, ein in den USA ansässiger Sicherheitsanbieter, gab bekannt, dass er unwissentlich einen nordkoreanischen Hacker angeheuert hatte, der versuchte, Malware in das Netzwerk des Unternehmens einzuschleusen. Stu Sjouwerman, CEO und Gründer von KnowBe4, beschrieb den Vorfall diese Woche in einem Blogbeitrag und nannte ihn eine warnende Geschichte, die glücklicherweise aufgedeckt wurde, bevor größere Probleme verursacht wurden.

„In erster Linie wurde kein illegaler Zugriff erlangt und es gingen keine Daten auf KnowBe4-Systemen verloren, wurden kompromittiert oder exfiltriert“, schrieb Sjouwerman. „Dies ist keine Benachrichtigung über eine Datenschutzverletzung, es gab keine. Betrachten Sie dies als einen organisatorischen Lernmoment, den ich mit Ihnen teile. Wenn es uns passieren kann, kann es fast jedem passieren. Lass dir das nicht passieren. »

KnowBe4 gab bekannt, dass es einen Softwareentwickler für sein internes Team für künstliche Intelligenz sucht. Das Unternehmen stellte eine Person ein, die tatsächlich aus Nordkorea stammte und „eine gültige, aber gestohlene US-Identität“ und ein durch künstliche Intelligenz „verbessertes“ Foto verwendete. Derzeit läuft eine FBI-Untersuchung, da der Arbeiter verdächtigt wird, das zu sein, was der KnowBe4-Blog als „Insider-Bedrohung/staatlicher Akteur“ bezeichnet.

KnowBe4 ist in 11 Ländern tätig und hat seinen Hauptsitz in Florida. Es bietet Unternehmenskunden Schulungen zum Sicherheitsbewusstsein, einschließlich Phishing-Sicherheitstests. Wenn Sie gelegentlich eine gefälschte Phishing-E-Mail von Ihrem Arbeitgeber erhalten, arbeiten Sie möglicherweise für ein Unternehmen, das den KnowBe4-Dienst nutzt, um die Fähigkeit seiner Mitarbeiter zu testen, Betrug zu erkennen.

Die Person hat die Zuverlässigkeitsüberprüfung und die Videointerviews erfolgreich bestanden

KnowBe4 hat den nordkoreanischen Hacker nach dem üblichen Verfahren angeheuert. „Wir haben die Stellenausschreibung veröffentlicht, Lebensläufe erhalten, Vorstellungsgespräche geführt, Hintergrundüberprüfungen durchgeführt, Referenzen überprüft und die Person eingestellt. Wir schickten ihnen ihren Mac-Desktop und sobald sie ihn erhielten, begann er sofort, Malware zu laden“, sagte das Unternehmen.

Auch wenn das der Personalabteilung zur Verfügung gestellte Foto gefälscht war, sah die Person, die für die Stelle interviewt wurde, dem Foto so ähnlich, dass es berücksichtigt werden konnte. Das HR-Team von KnowBe4 „führte bei verschiedenen Gelegenheiten vier Vorstellungsgespräche per Videokonferenz und bestätigte, dass die Person mit dem in ihrer Bewerbung angegebenen Foto übereinstimmte“, heißt es in dem Beitrag. „Darüber hinaus wurden eine Hintergrundüberprüfung und alle anderen Standardüberprüfungen vor der Einstellung durchgeführt und aufgrund der Verwendung der gestohlenen Identität als fehlerfrei befunden.“ Dabei handelte es sich um eine echte Person mit gültiger, aber gestohlener Identität und Sitz in den Vereinigten Staaten. Das Foto wurde durch KI „verbessert“. »

Bei den beiden Bildern oben in diesem Artikel handelt es sich um ein Archivfoto und KnowBe4 sagt, dass es sich um eine gefälschte KI handelt, die auf dem Archivfoto basiert. Das Stockfoto ist links und die gefälschte KI ist rechts.

Der Mitarbeiter, im Blogbeitrag als „XXXX“ bezeichnet, wurde als leitender Softwareentwickler eingestellt. Die verdächtigen Aktivitäten des neuen Mitarbeiters wurden von Sicherheitssoftware gemeldet, was das Security Operations Center (SOC) von KnowBe4 zu einer Untersuchung veranlasste:

Am 15. Juli 2024 wurden ab 21:55 Uhr EST eine Reihe verdächtiger Aktivitäten bei dem Benutzer festgestellt. Als diese Warnungen eintrafen, kontaktierte das KnowBe4 SOC-Team den Benutzer, um sich über die ungewöhnliche Aktivität und die mögliche Ursache zu erkundigen. XXXX antwortete dem SOC, dass es die Schritte in der Anleitung seines Routers befolgt, um ein Geschwindigkeitsproblem zu beheben, und dass dies möglicherweise zu einer Kompromittierung geführt hat.

Der Angreifer führte verschiedene Aktionen aus, um Sitzungsverlaufsdateien zu manipulieren, potenziell gefährliche Dateien zu übertragen und nicht autorisierte Software auszuführen. Zum Herunterladen der Schadsoftware nutzte er einen Raspberry Pi. SOC versuchte, weitere Einzelheiten von XXXX zu erfahren, unter anderem indem es ihn anrief. XXXX sagte, er sei für einen Anruf nicht erreichbar und habe danach nicht geantwortet. Gegen 22:20 Uhr EST sperrte SOC das Gerät von XXXX ein.

„Falscher Informatiker aus Nordkorea“

Die Analyse des SOC deutete darauf hin, dass der Malware-Upload „möglicherweise vom Benutzer beabsichtigt war“ und die Gruppe „vermutet, dass es sich um eine Insider-Bedrohung/einen staatlichen Akteur handeln könnte“, heißt es im Blogbeitrag des SOC.

„Wir haben die gesammelten Daten mit unseren Freunden bei Mandiant, einem weltweit führenden Cybersicherheitsexperten, und dem FBI geteilt, um unsere ersten Erkenntnisse zu bestätigen. Es stellte sich heraus, dass es sich um einen falschen Informatiker aus Nordkorea handelte“, schrieb Sjouwerman.

KnowBe4 sagte, es könne aufgrund der laufenden FBI-Ermittlungen nicht viele Details nennen. Aber die für den Job eingestellte Person könnte sich von Nordkorea aus aus der Ferne am Firmencomputer angemeldet haben, erklärte Sjouwerman:

Das Prinzip ist folgendes: Der Fake-Mitarbeiter verlangt, dass sein Arbeitsplatz an eine Adresse geschickt wird, bei der es sich in Wirklichkeit um eine „Computer-Maultier-Laptop-Farm“ handelt. Anschließend verbindet er sich per VPN von dort, wo er sich tatsächlich befindet (in Nordkorea oder jenseits der Grenze in China) und arbeitet nachts auf eine Weise, die den Anschein erweckt, als würde er tagsüber in den Vereinigten Staaten arbeiten. Der Betrug besteht darin, die Arbeit zu erledigen, gut bezahlt zu werden und Nordkorea eine große Summe zur Finanzierung seiner illegalen Programme zu geben. Ich muss Ihnen nicht sagen, welches ernste Risiko dies darstellt. Gut ist, dass unsere neuen Mitarbeiter zu Beginn in einem sehr abgegrenzten Bereich arbeiten und keinen Zugang zu Produktionssystemen haben. Unsere Schecks haben es bestätigt, aber es war auf jeden Fall ein lehrreicher Moment, den ich gerne mit allen teilen möchte.

Diese Geschichte wurde ursprünglich auf veröffentlicht Ars Technica.