خدع أحد القراصنة الكوريين الشماليين بائع خدمات أمنية أمريكي ليوظفه، وحاول اختراقه على الفور

كشفت شركة KnowBe4، وهي شركة أمنية مقرها الولايات المتحدة، أنها استأجرت عن غير قصد متسللًا كوريًا شماليًا حاول تحميل برامج ضارة على شبكة الشركة. وصف الرئيس التنفيذي ومؤسس KnowBe4 Stu Sjouwerman الحادث في منشور مدونة هذا الأسبوع، ووصفه بأنه قصة تحذيرية تم اكتشافها لحسن الحظ قبل التسبب في أي مشاكل كبيرة.

“أولاً وقبل كل شيء: لم يتم الوصول إلى أي وصول غير قانوني، ولم يتم فقدان أي بيانات أو اختراقها أو اختراقها على أي من أنظمة KnowBe4،” كتب Sjouwerman. “هذا ليس إشعارًا بخرق البيانات، ولم يكن هناك أي إشعار. انظر إليها باعتبارها لحظة تعلم تنظيمية أشاركها معك. إذا كان هذا يمكن أن يحدث لنا، فإنه يمكن أن يحدث لأي شخص تقريبا. لا تدع ذلك يحدث لك

قالت KnowBe4 إنها تبحث عن مهندس برمجيات لفريق تكنولوجيا المعلومات الداخلي التابع لها. واستأجرت الشركة شخصًا، كما تبين، كان من كوريا الشمالية وكان “يستخدم هوية صالحة ولكن مسروقة ومقرها الولايات المتحدة” وصورة “تم تحسينها” بواسطة الذكاء الاصطناعي. يوجد الآن تحقيق نشط لمكتب التحقيقات الفيدرالي وسط اشتباه في أن العامل هو ما أطلق عليه منشور مدونة KnowBe4 “التهديد الداخلي / ممثل الدولة القومية”.

تعمل KnowBe4 في 11 دولة ويقع مقرها الرئيسي في فلوريدا. ويوفر التدريب على الوعي الأمني، بما في ذلك اختبارات الأمان للتصيد الاحتيالي، لعملاء الشركات. إذا كنت تتلقى أحيانًا رسالة بريد إلكتروني تصيدية مزيفة من صاحب العمل، فقد تكون تعمل لدى شركة تستخدم خدمة KnowBe4 لاختبار قدرة موظفيها على اكتشاف عمليات الاحتيال.

اجتاز الشخص فحص الخلفية ومقابلات الفيديو

استأجرت شركة KnowBe4 المتسلل الكوري الشمالي من خلال عمليتها المعتادة. “لقد نشرنا الوظيفة، واستلمنا السيرة الذاتية، وأجرينا المقابلات، وأجرينا فحوصات خلفية، وتحققنا من المراجع، وقمنا بتعيين الشخص. أرسلنا إليهم محطة عمل Mac الخاصة بهم، وفي اللحظة التي تم استلامها فيها، بدأت على الفور في تحميل البرامج الضارة.” قالت الشركة.

على الرغم من أن الصورة التي تم تقديمها إلى قسم الموارد البشرية كانت مزيفة، إلا أن الشخص الذي تمت مقابلته للحصول على الوظيفة كان يبدو كافيًا للنجاح. وجاء في المنشور أن فريق الموارد البشرية في KnowBe4 “أجرى أربع مقابلات عبر الفيديو في مناسبات منفصلة، ​​وأكد أن الفرد يطابق الصورة المقدمة في طلبه”. “بالإضافة إلى ذلك، تم إجراء فحص الخلفية وجميع فحوصات ما قبل التوظيف القياسية الأخرى وظهرت واضحة بسبب استخدام الهوية المسروقة. كان هذا شخصًا حقيقيًا يستخدم هوية صالحة ولكن مسروقة مقرها الولايات المتحدة. وكانت الصورة معززة بالذكاء الاصطناعي”. “”

الصورتان الموجودتان في الجزء العلوي من هذه القصة هما صورة مخزنة وما يقوله KnowBe4 هو نسخة مزيفة من الذكاء الاصطناعي استنادًا إلى الصورة المخزنة. الصورة المخزنة على اليسار، والصورة المزيفة بالذكاء الاصطناعي على اليمين.

تم تعيين الموظف، المشار إليه باسم “XXXX” في منشور المدونة، كمهندس برمجيات رئيسي. تم الإبلاغ عن الأنشطة المشبوهة للموظف الجديد بواسطة برامج الأمان، مما دفع مركز العمليات الأمنية (SOC) التابع لـ KnowBe4 إلى التحقيق في ما يلي:

في 15 يوليو 2024، تم اكتشاف سلسلة من الأنشطة المشبوهة على المستخدم بدءًا من الساعة 9:55 مساءً بتوقيت شرق الولايات المتحدة. عندما جاءت هذه التنبيهات، تواصل فريق SOC التابع لـ KnowBe4 مع المستخدم للاستفسار عن النشاط الشاذ والسبب المحتمل. رد XXXX على SOC بأنه كان يتبع الخطوات الواردة في دليل جهاز التوجيه الخاص به لاستكشاف مشكلة السرعة وإصلاحها وأنه ربما تسبب في حدوث تسوية.

قام المهاجم بتنفيذ إجراءات مختلفة لمعالجة ملفات سجل الجلسة، ونقل الملفات التي قد تكون ضارة، وتنفيذ برامج غير مصرح بها. لقد استخدم Raspberry Pi لتنزيل البرامج الضارة. حاولت شركة SOC الحصول على مزيد من التفاصيل من XXXX بما في ذلك إجراء مكالمة معه. ذكر XXXX أنه لم يكن متاحًا لإجراء مكالمة ثم أصبح غير مستجيب فيما بعد. في حوالي الساعة 10:20 مساءً بتوقيت شرق الولايات المتحدة، احتوت شركة SOC على جهاز XXXX.

“عامل تكنولوجيا معلومات مزيف من كوريا الشمالية”.

وأشار تحليل SOC إلى أن تحميل البرامج الضارة “ربما كان متعمدًا من قبل المستخدم”، وأن المجموعة “تشتبه في أنه قد يكون ممثلًا للتهديد الداخلي / الدولة القومية”، حسبما جاء في منشور المدونة.

وكتب سيويرمان: “لقد شاركنا البيانات التي تم جمعها مع أصدقائنا في Mandiant، وهو خبير عالمي رائد في مجال الأمن السيبراني، ومكتب التحقيقات الفيدرالي، لتأكيد النتائج الأولية التي توصلنا إليها. وتبين أن هذا كان عاملًا مزيفًا في مجال تكنولوجيا المعلومات من كوريا الشمالية”.

وقالت شركة KnowBe4 إنها لا تستطيع تقديم الكثير من التفاصيل بسبب تحقيقات مكتب التحقيقات الفيدرالي النشطة. لكن الشخص الذي تم تعيينه لهذا المنصب ربما يكون قد قام بتسجيل الدخول إلى كمبيوتر الشركة عن بعد من كوريا الشمالية، كما أوضح سيويرمان:

كيف يعمل هذا هو أن العامل المزيف يطلب إرسال محطة العمل الخاصة به إلى عنوان يعد في الأساس “مزرعة كمبيوتر محمول خاصة بتكنولوجيا المعلومات”. ثم يقومون بعد ذلك بالدخول عبر شبكة VPN من مكان تواجدهم الفعلي (كوريا الشمالية أو عبر الحدود في الصين) ويعملون في النوبة الليلية بحيث يبدو أنهم يعملون في وضح النهار في الولايات المتحدة. وتتمثل عملية الاحتيال في أنهم يقومون بالفعل بالعمل، ويتقاضون رواتب جيدة، ويعطون مبلغًا كبيرًا لكوريا الشمالية لتمويل برامجهم غير القانونية. ليس من الضروري أن أخبرك عن المخاطر الشديدة لذلك. من الجيد أن يكون لدينا موظفين جدد في منطقة محظورة للغاية عندما يبدأون العمل، وليس لديهم إمكانية الوصول إلى أنظمة الإنتاج. أدركت عناصر التحكم لدينا ذلك، لكن تلك كانت بالتأكيد لحظة تعليمية ويسعدني مشاركتها مع الجميع.

ظهرت هذه القصة في الأصل على آرس تكنيكا.