Хакер из КНДР устроился в компанию из США
Северокорейский хакер устроился в американскую KnowBe4, специализирующуюся на вопросах кибербезопасности, и сразу же попытался загрузить вредоносное ПО в сеть компании. Об этом в блоге организации рассказал ее основатель и директор Стю Сьюверман.
Он отметил, что KnowBe4 требовался инженер-программист для работы во внутренней команде компании, занимающейся искусственным интеллектом. Организация разместила соответствующую вакансию и получила резюме от кандидата на должность, который предоставил фотографию, изготовленную на основе стокового снимка при помощи редактора с ИИ. Также было проведено удаленное собеседование, проверена биография соискателя и рекомендации.
Несмотря на то, что фотография приложенная к резюме была подделкой, кандидат смог пройти все четыре собеседования, поскольку был похож на предоставленное изображение. Кроме того успешно пройти проверку хакер смог, так как использовал в документах украденную личность реально существующего человека.
«На указанный им адрес была отправлена рабочая станция Mac, на которую он сразу же начал загружать вредоносное ПО. Центр управления безопасностью обнаружил это и связался с новым сотрудником, чтобы прояснить ситуацию. Он заявил, что у него наблюдаются проблемы со скоростью подключения, он настраивает маршрутизатор, и, возможно, это привело ко взлому», — Сьюверман.
После этого служба безопасности KnowBe4 решила провести более подробное расследование в отношении нового сотрудника и установила, что он является гражданином Северной Кореи и целенаправленно пытался загрузить в сеть компании вредоносное ПО, используя одноплатный компьютер Raspberry Pi. Позже, когда с хакером попытались связаться вновь он сообщил, что не может ответить, а затем и вовсе перестал выходить на связь. Через 25 минут после начала им атаки на KnowBe4 его компьютер заблокировали в сети.
О произошедшем компания сообщила экспертам по кибербезопасности компании Mandiant и ФБР, которые подтвердили, что нанятый специалист был фальшивым работником из Северной Кореи.
«Это работает следующим образом: злоумышленники просят отправить рабочую станцию на адрес, где находятся целые "фермы" таких компьютеров. Затем они подключаются к сети VPN с того места, где они на самом деле находятся (в Северной Корее или Китае) и работают в ночную смену, чтобы казалось, что они работают днем в США. Мошенничество заключается в том, что они выполняют работу, получают хорошую оплату, которую затем пускают на финансирование незаконных программ в Северной Корее», — заключил Сьюверман.