La società di sicurezza KnowBe4 riferisce di un ingegnere informatico che era stato assunto da remoto e che si è rivelato essere un “threat actor” (qualcuno che cerca di attaccare un’infrastruttura, dall’interno o dall’esterno, compromettendo la sicurezza dei dati), un nordcoreano che sfruttava una falsa identità (rubata) e immagini generate con l’AI per le foto del profilo.
L’uomo era stato assunto dopo apparentemente approfonditi colloqui, controllo dei precedenti, referenze verificate e quattro video-interviste. Il fondatore e CEO di KnowBe4, Stu Sjouwerman, afferma che il cybercriminale era riuscito a camuffarsi grazie all’identità valida, sottratta a una persona realmente residente negli Stati Uniti.
Un’indagine interna è scattata nel momento in cui il team InfoSec Security Operations Center di KnowBe4 ha cominciato a notare “una serie di attività sospette” legate al nuovo assunto. Al lavoratore da remoto era stato messo a disposizione un laptop Apple (spedito in qualche indirizzo negli USA), macchina per la quale in azienda è scattata una segnalazione il 15 luglio dopo il caricamento di un malware. Si è intanto scoperto che le foto del profilo del nuovo assunto erano false, ottenute con l’AI, individuate da un software di protezione degli Endpoint.
Nei 25 minuti in cui l’uomo ha tentato di portare a termine il suo attacco, ha manipolato la cronologia, ha trasferito file potenzialmente pericolosi ed eseguito software non autorizzati. Sjouwerman spiega che il cybercriminale ha sfruttato un Raspberry pi per caricare malware. L’azienda riferisce di avere fornito informazioni all’FBI mediante Mandiant (società di Google che offre soluzioni dinamiche di difesa dagli attacchi informatici) e di essere arrivata alla conclusione che l’uomo agiva dalla Corea del Nord.
L’ex impiegato sfruttava un laptop connessa a una “mule laptop farm”, in altre parole “galoppini”, di cui si avvale un’organizzazione cybercriminale. Questi ultimi avrebbero usato una VPN per lavorare dalla reale residenza (“Corea del Nord o oltreconfine in Cina”) nei turni serali, facendo credere che l’autenticazione avveniva durante i tradizionali orari di apertura degli uffici negli USA. A rendere interessante la truffa è il fatto che la persona era stata assunta, ben pagata e in grado di fornire dati che sono a quanto pare interessanti per i nordcoreani.
Il CEO di KnowBe4 sottolinea che non è stato ad ogni modo possibile ottenere accesso a dati illegali, non sono stati eliminati, compromessi esfiltrati dati dai loro sistemi. Quanto avvenuto dimostra l’altro livello di raffinatezza che sono in grado di mettere in piedi i cybercriminali, arrivando a creare credibili identità di copertura, tenendo conto di debolezze nelle procedure di assunzione e nei controlli sui profili.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.
