Компания KnowBe4, специализирующаяся на кибербезопасности, раскрыла попытку проникновения в свою IT-систему через фальшивого работника из Северной Кореи. Все данные компании остались в безопасности благодаря своевременным действиям ИБ-отдела, однако рассмотреть данный случай точно не будет лишним.
Компания искала инженера-программиста для команды по разработке ИИ. Были размещены объявления о вакансии, проведены собеседования и проверка кандидатов. Новый сотрудник прошёл все стандартные проверки, включая видеособеседования и проверку анкетных данных, в связи с чем не вызвал у компании подозрений.
Тем не менее, личность этого человека, использованная для устройства на работу, оказалась украденной. После отправки новому сотруднику рабочего компьютера, на устройстве сразу же была обнаружена вредоносная активность. Программное обеспечение для обнаружения угроз (EDR) зафиксировало подозрительные действия и оповестило центр информационной безопасности (SOC).
SOC оперативно связался с новым сотрудником, но его поведение вызвало ещё больше подозрений. После этого инцидент был передан для расследования в компании Mandiant и ФБР. Выяснилось, что сотрудник был подставным агентом из Северной Кореи. Фотография, предоставленная в анкете, была создана с помощью ИИ на основе стоковых изображений.
При дальнейшей проверке выяснилось, что подозрительный сотрудник выполнял действия, направленные на компрометацию системы: манипуляции с файлами сессий, загрузку вредоносного ПО с помощью Raspberry Pi и использование VPN для сокрытия своего местоположения.
Этот случай демонстрирует высокую степень организованности и ресурсов, задействованных в подобных атаках. Злоумышленники используют подставные личности, VPN и виртуальные машины для доступа к системам компании, создавая видимость легитимной работы.
Компания KnowBe4 разработала ряд рекомендаций для предотвращения подобных инцидентов в будущем. Ими вполне могут воспользоваться любые другие организации:
Регулярное сканирование удалённых устройств.
Улучшение проверок резюме и данных кандидатов.
Видеосвязь с потенциальными сотрудниками.
Усиление контроля доступа и аутентификации.
Повышение осведомлённости сотрудников о методах социальной инженерии.
Важно обращать внимание на использование VOIP-номеров, отсутствие цифрового следа, несоответствия в личных данных и попытки установить вредоносное ПО. Своевременные и более тщательные проверки помогут предотвратить проникновение злоумышленников в систему.