Lorsque le Mac fourni par l’entreprise a commencé à charger des logiciels malveillants
La société de sensibilisation à la cybersécurité KnowBe4 découvre qu’un travailleur à distance est en réalité un pirate nord-coréen. La société a remarqué qu’il y avait anguille sous roche lorsque le Mac fourni par l’entreprise a commencé à charger des logiciels malveillants.
Selon un rapport antérieur, le FBI affirme que la Corée du Nord a orchestré pendant des années un stratagème informatique qui a permis de tromper de nombreuses entreprises en faisant travailler des informaticiens à distance dans des sociétés basées aux États-Unis. Les travailleurs ont utilisé de nombreux moyens pour donner l’impression de travailler aux États-Unis, notamment en payant des Américains pour qu’ils utilisent les connexions Wi-Fi de leur domicile. Les informaticiens déployés par la Corée du Nord sont envoyés sur des continents comme la Chine et la Russie, où ils passent des contrats avec des entreprises américaines pour travailler à distance.
Le stratagème informatique de la Corée du Nord a permis de générer des millions de dollars par an pour le programme d’armement de la Corée du Nord. Le système a également infiltré les réseaux informatiques d’employeurs inconnus pour voler des informations et en conserver l’accès en vue de futures activités de piratage et d’extorsion.
Récemment, une société américaine de formation à la cybersécurité a découvert qu’elle avait embauché par erreur un pirate informatique nord-coréen en tant qu’ingénieur logiciel après que l’ordinateur nouvellement fourni à l’employé ait été infecté par des logiciels malveillants. L’incident s’est produit chez KnowBe4, qui développe des programmes de sensibilisation à la sécurité pour enseigner aux employés les attaques par hameçonnage et les cybermenaces.
L’entreprise a récemment embauché un ingénieur logiciel à distance qui a passé l’entretien et la procédure de vérification des antécédents. Mais après, KnowBe4 a découvert quelque chose d’étrange après avoir envoyé à l’employé un Mac fourni par l’entreprise. « Dès qu’il a été reçu, il a immédiatement commencé à charger un logiciel malveillant », a indiqué KnowBe4.
L’entreprise a détecté le logiciel malveillant grâce au logiciel de sécurité intégré au Mac. Une enquête, menée avec l’aide du FBI et de Mandiant, le service de sécurité de Google, a ensuite permis de conclure que l’ingénieur logiciel engagé était en fait un Nord-Coréen qui se faisait passer pour un travailleur du secteur des technologies de l’information.
Heureusement, l’entreprise a pu contenir le Mac à distance avant que le pirate ne puisse utiliser l’ordinateur pour compromettre les systèmes internes de KnowBe4. Lorsque le logiciel malveillant a été détecté pour la première fois, l’équipe informatique de l’entreprise a d’abord contacté l’employé, qui a prétendu « qu’il suivait les étapes du guide de son routeur pour résoudre un problème de vitesse ». En réalité, KnowBe4 a surpris le travailleur embauché en train de manipuler des fichiers de session et d’exécuter des logiciels non autorisés, notamment en utilisant un Raspberry Pi pour charger le logiciel malveillant.
Comment un faux informaticien nord-coréen a tenté d’infiltrer la société de cybersécurité KnowBe4
KnowBe4 avait besoin d’un ingénieur logiciel pour son équipe interne d’intelligence artificielle. Ils ont publié le poste, reçu des CV, organisé des entretiens, vérifié les antécédents et les références, et embauché la personne. Ils ont envoyé un poste de travail Mac, et dès sa réception, il a immédiatement commencé à charger des logiciels malveillants.
L’équipe des ressources humaines a mené quatre entretiens par vidéoconférence à des occasions différentes, confirmant que la personne correspondait à la photo fournie sur sa candidature. En outre, une vérification des antécédents et toutes les autres vérifications standards préalables à l’embauche ont été effectuées et n’ont rien donné en raison de l’utilisation d’une identité volée. Il s’agissait d’une personne réelle utilisant une identité valide mais volée, basée aux États-Unis. La photo a été “améliorée” par l’IA.
Le logiciel EDR l’a détectée et a alerté le centre d’opérations de sécurité InfoSec. Le SOC a appelé le nouvel employé et lui a demandé s’il pouvait l’aider. KnowBe4 a partagé les données recueillies avec Mandiant, un expert mondial en cybersécurité, et avec le FBI, afin de corroborer ces premières conclusions. Il s’est avéré qu’il s’agissait d’un faux informaticien de Corée du Nord. L’image que vous voyez est un faux d’IA qui a commencé par une photographie de stock. À gauche, l’image originale. À droite, la fausse image d’IA soumise aux RH.
Résumé du rapport d’incident : Menace interne
Ce rapport couvre l’enquête sur l’employé ID : XXXX embauché en tant qu’ingénieur logiciel principal. Le 15 juillet 2024, une série d’activités suspectes a été détectée sur ce compte utilisateur. Sur la base de l’évaluation des activités par l’équipe SOC, il a été constaté que cela pouvait être intentionnel de la part de l’utilisateur et suspecté d’être une menace interne/un acteur de l’État-nation. Après l’enquête initiale et le confinement de l’hôte, une enquête plus détaillée sur le nouvel employé a eu lieu.
Le 15 juillet 2024, une série d’activités suspectes a été détectée sur l’utilisateur à partir de 21 h 55 (heure de l’Est). Lorsque ces alertes sont arrivées, l’équipe SOC de KnowBe4 a contacté l’utilisateur pour s’enquérir de l’activité anormale et de sa cause possible. XXXX a répondu au SOC qu’il suivait les étapes du guide de son routeur pour résoudre un problème de vitesse et que cela avait pu causer une compromission.
L’attaquant a effectué diverses actions pour manipuler les fichiers d’historique de session, transférer des fichiers potentiellement dangereux et exécuter des logiciels non autorisés. Il a utilisé un Raspberry Pi pour télécharger le logiciel malveillant. Le SOC a tenté d’obtenir plus de détails de la part de XXXX, notamment en l’appelant. XXXX a déclaré qu’il n’était pas disponible pour un appel et qu’il ne répondait plus. Vers 22 h 20 (heure de l’Est), le SOC a confiné l’appareil de XXXX.
Le faux travailleur demande à ce que son poste de travail soit envoyé à une adresse qui est en fait une “ferme d’ordinateurs portables de la mule informatique”. Ils se connectent ensuite par VPN depuis l’endroit où ils se trouvent réellement (Corée du Nord ou Chine) et travaillent de nuit pour donner l’impression de travailler pendant la journée aux États-Unis. L’escroquerie consiste à dire qu’ils font réellement le travail, qu’ils sont bien payés et qu’ils donnent un montant important à la Corée du Nord pour financer leurs programmes illégaux. Je n’ai pas besoin de vous parler du risque grave que cela représente. C’est une bonne chose que nous ayons des « Knewbies » dans un bac à sable lorsqu’ils commencent. Nos contrôles l’ont détecté, mais ce fut un moment d’apprentissage que je suis heureux de partager avec tout le monde.
Conseils pour éviter cela
- Scannez vos appareils à distance pour vous assurer que personne ne les utilise.
- Un meilleur contrôle, pour s’assurer qu’ils sont physiquement là où ils sont censés être.
- Mieux analyser les CV pour détecter les incohérences de carrière.
- Faites passer ces personnes devant une caméra vidéo et posez-leur des questions sur le travail qu’elles effectuent.
- L’adresse d’expédition de l’ordinateur portable, différente de l’endroit où ils sont censés vivre/travailler, est un signal d’alarme.
Recommandation pour améliorer les processus
- La vérification des antécédents semble inadéquate. Les noms utilisés ne sont pas cohérents.
- Les références n’ont potentiellement pas été vérifiées correctement. Ne pas se fier uniquement à des références envoyées par courrier électronique.
- Mettre en œuvre une surveillance renforcée de toute tentative continue d’accès aux systèmes.
- Examiner et renforcer les contrôles d’accès et les processus d’authentification.
- Organiser une formation de sensibilisation à la sécurité pour les employés, en mettant l’accent sur les tactiques d’ingénierie sociale.
Ce à quoi il faut faire attention
- L’utilisation de numéros VOIP et l’absence d’empreinte numérique pour les informations de contact fournies.
- Divergences dans l’adresse et la date de naissance entre différentes sources
- Informations personnelles contradictoires (état civil, « urgences familiales » expliquant l’indisponibilité)
- Utilisation sophistiquée de VPN ou de machines virtuelles pour accéder aux systèmes de l’entreprise.
- Tentative d’exécution de logiciels malveillants et efforts de dissimulation subséquents
Alertez le RH à propos
Le sujet a fait preuve d’un haut niveau de sophistication en créant une identité de couverture crédible, en exploitant les faiblesses des processus de recrutement et de vérification des antécédents, et en tentant de s’implanter dans les systèmes de l’organisation.
Il s’agit d’un réseau criminel de grande envergure, bien organisé et soutenu par l’État, qui dispose de ressources considérables. Ce cas met en évidence le besoin critique de processus de vérification plus robustes, d’une surveillance continue de la sécurité et d’une meilleure coordination entre les équipes des ressources humaines, des technologies de l’information et de la sécurité pour se protéger contre les menaces persistantes avancées.
source : developpez