Haker z Korei Północnej w amerykańskiej firmie. Pomogło mu AI

O konieczności zachowania ostrożności podczas rekrutacji pojawiało się sporo ostrzeżeń. Nie chodzi jedynie o przypadek rekruterów okazujących się hakerami, który opisywaliśmy na naszych łamach pod koniec kwietnia. Federalne Biuro Śledcze ostrzegało bowiem przed przypadkami, gdy to atakujący podszywa się pod potencjalnego pracownika.

Rekrutacyjne podszywanie się aktorów

Tego typu historię opisuje BleepingComputer. Firma KnowBe4, która w branży zajmuje się szkoleniami z zakresu cyberbezpieczeństwa oraz symulacjami phishingowymi, prowadziła rekrutację na stanowisko Principal Software Engineer. Pojawiło się kilka zgłoszeń; wszystkie zostały przez firmę zweryfikowane, tak samo jak CV przedstawione przez kandydatów.

Przedsiębiorstwo zdecydowało się na jednego z Amerykanów. Przeprowadziło z nim cztery rozmowy rekrutacyjne i ostatecznie zatrudniło mężczyznę na stanowisku. Ponieważ pracował zdalnie, firma wysłała mu służbowego laptopa pod wskazany przez niego adres.

Sprzęt wysłany pracownikowi. Po kilku dniach informacja o malware

Kilka dni po wysyłce sprzętu, firmowy EDR endpoint detection response; jak wyjaśnialiśmy przy okazji awarii CrowdStrike Falcon, jest to coś w rodzaju antywirusa) wykrył, że na komputerze próbowano uruchomić malware. Spółka dość szybko skontaktowała się z nowym pracownikiem, aby wyjaśnić tę sytuację.

Okazało się jednak, że po początkowych tłumaczeniach dotyczących problemów z routerem, nowy pracownik zerwał kontakt z firmą. KnowBe4 szybko zablokowała dostęp do sprzętu i rozpoczęła dochodzenie wyjaśniające.

Skradziona tożsamość i twarz z AI

W rzeczywistości, rzekomy Amerykanin okazał się być północnokoreańskim hakerem. Tożsamość, którą się posługiwał, została skradziona. Najciekawsze jest jednak to, że na etapie rekrutacji aktor wykorzystał sztuczną inteligencję – najpierw w celu wygenerowania wizerunku użytego na zdjęciu do CV, a potem nałożenia go na twarz podczas rozmów rekrutacyjnych online.

Wyszło również na jaw, jak naprawdę wyglądała jego praca zdalna. Podany przez niego adres znajdował się niedaleko „farmy” laptopów; gdy tam trafił, haker łączył się z nim zdalnie przez VPN. Zbadano również sam malware, który haker próbował wgrać na służbowy sprzęt. Był to infostealer, który poszukiwał danych logowania pozostawionych przez poprzedniego właściciela komputera. Firma zapewnia jednak, że haker nie uzyskał dostępu do wewnętrznych systemów.

Jak można uniknąć takich sytuacji? Według szefa KnowBe4 Stu Sjouwermana, nowi pracownicy powinni działać w sandboxie, odizolowani od najważniejszych systemów danej firmy. Jeżeli zaś pojawią się nieścisłości – czy co do adresów danej osoby, czy co do kariery kandydatów - powinno się je natychmiast weryfikować.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].