eWAY s.r.o.

Neočakávaná interná hrozba: severokórejský hacker ako IT inžinier v KnowBe4

Prípad interných hrozieb aj priamo u výrobcu vzdelávacej platformy o kybernetickej bezpečnosti!
Spoločnosť Knowbe4 nedávno uverejnila informáciu, ktorou sa snaží verejnosť informovať o dôležitosti poriadnych kontrol a bezpečnostných nastavení vo vnútri spoločností.

Našťastie, vďaka rýchlej reakcii ich bezpečnostného tímu neboli stratené žiadne dáta, ukradnutý žiaden prístup ani nedošlo ku kompromitácii akýchkoľvek ich služieb. Spoločnosť túto informáciu ohlásila verejnosti pretože „ak sa to môže stať im, môže sa stať takmer komukoľvek“. Prípad ale zdôrazňuje pokračujúcu hrozbu severokórejských hackerov.

Na pozíciu IT inžiniera totiž spoločnosť, napriek previerke zamestnanca pred podpisom zmluvy a radom videopohovorov, prijala osobu, ktorá bola v skutočnosti severokórejským hackerom.  S ukradnutou identitou sa vydával za iného US občana, a jeho fotka a tvár na videopohovory boli sfalšované pomocou AI.  Ďalej to funguje to tak, že falošný pracovník požiada o zaslanie svojej pracovnej stanice (notebooku) na adresu, ktorá je v podstate „farma notebookov IT“. Potom sa cez VPN dostanú z miesta, kde sa skutočne fyzicky nachádzajú (Severná Kórea) a pracujú v nočných zmenách, takže sa zdá, že pracujú cez deň v USA.

V jeden deň ale došlo z jeho strany k podozrivej aktivite, ktorú tím SOC spoločnosti Knowbe4 hneď identifikoval a kontaktoval používateľa, aby aktivitu vysvetlil – ten sa najprv vyhovoril, že sa iba pokúšal postupovať podľa krokov v sprievodcovi smerovača na riešenie problému s rýchlosťou pripojenia, a že to mohlo spôsobiť podozrivú aktivitu. Pokračoval ale s rôznymi akciami na manipuláciu so súbormi histórie relácie a prenosom potenciálne škodlivých súborov na spustenie neoprávneného softvéru  – SOC tím sa vtedy pokúsil získať ďalšie informácie vrátane využitia telefonického hovoru, ale to už aktér prestal reagovať.

Šťastím a dobrou praktikou bolo, že Knowbe4 má nových zamestnancov vo veľmi obmedzenom pracovnom priestore IT systémov, keď začínajú, a nemajú prístup k produkčným systémom. Ich prísne kontroly a bezpečnostné procesy to veľmi rýchlo zachytili, ale bol to určite poučný moment, na ktorom sa ostatný môžu poučiť.

ODPORÚČANÉ ZLEPŠENIE PROCESOV:

  • Nespoliehajte sa len na e-mailové referencie – nemusia byť riadne preveriteľné.
  • Implementujte vylepšené monitorovanie akýchkoľvek pokusov o prístup k systémom.
  • Preskúmajte a posilnite kontroly prístupu a procesy autentifikácie.
  • Uskutočnite školenia pre zamestnancov v oblasti informovanosti o bezpečnosti s dôrazom na taktiku sociálneho inžinierstva

NA ČO SI DÁVAŤ POZOR:

  • Používanie čísel VOIP a nedostatok digitálnej stopy pre poskytnuté kontaktné informácie
  • Nezrovnalosti v adrese a dátume narodenia v rôznych zdrojoch
  • Konfliktné osobné údaje (rodinný stav, „mimoriadne udalosti v rodine“ vysvetľujúce nedostupnosť)
  • Sofistikované využitie sietí VPN alebo VM na prístup k podnikovým systémom
  • Pokus o spustenie malvéru a následné krytie sa

Subjekt preukázal vysokú úroveň sofistikovanosti pri vytváraní dôveryhodnej krycej identity, využívaní nedostatkov v procesoch prijímania zamestnancov a previerky pozadí.

V tomto prípade ide o dobre organizovaný, štátom podporovaný veľký zločinecký kruh s rozsiahlymi zdrojmi. Prípad poukazuje na kritickú potrebu robustnejších procesov preverovania, nepretržitého monitorovania bezpečnosti a zlepšenej koordinácie medzi tímami ľudských zdrojov, IT a bezpečnostných tímov pri ochrane pred pokročilými pretrvávajúcimi hrozbami.