Un hacker norcoreano engañó a un proveedor de seguridad estadounidense para que lo contratara e inmediatamente intentó hackearlo

KnowBe4, un proveedor de seguridad con sede en EE. UU., reveló que contrató sin saberlo a un pirata informático norcoreano que intentó cargar malware en la red de la empresa. El director ejecutivo y fundador de KnowBe4, Stu Sjouwerman, describió el incidente en un entrada en el blog Esta semana, lo calificó como una historia de advertencia que afortunadamente fue detectada antes de que causara problemas mayores.

“En primer lugar: no se obtuvo ningún acceso ilegal y no se perdió, comprometió ni filtró ningún dato en ningún sistema de KnowBe4”, escribió Sjouwerman. “Esta no es una notificación de violación de datos, no hubo ninguna. Considérelo como un momento de aprendizaje organizacional que estoy compartiendo con ustedes. Si nos puede pasar a nosotros, le puede pasar a casi cualquiera. No dejen que les pase a ustedes”.

KnowBe4 dijo que estaba buscando un ingeniero de software para su equipo interno de inteligencia artificial de TI. La empresa contrató a una persona que, según parece, era de Corea del Norte y estaba “usando una identidad válida pero robada con sede en Estados Unidos” y una foto que fue “mejorada” mediante inteligencia artificial. Ahora hay una investigación activa del FBI en medio de la sospecha de que el trabajador es lo que la publicación del blog de KnowBe4 llamó “un actor de amenaza interna/estado nacional”.

KnowBe4 opera en 11 países y es con sede en Florida. Brinda capacitación sobre concientización sobre seguridad, incluidas pruebas de seguridad contra phishing, a clientes corporativos. Si ocasionalmente recibe un mensaje correo electrónico falso de phishing Según su empleador, es posible que esté trabajando para una empresa que utiliza el servicio KnowBe4 para evaluar la capacidad de sus empleados para detectar estafas.

La persona pasó la verificación de antecedentes y las entrevistas en video

KnowBe4 contrató al hacker norcoreano a través de su proceso habitual. “Publicamos la oferta de trabajo, recibimos los currículos, realizamos entrevistas, comprobamos los antecedentes, verificamos las referencias y contratamos a la persona. Le enviamos su estación de trabajo Mac y, en el momento en que la recibió, inmediatamente comenzó a cargar malware”, afirmó la empresa.

Aunque la foto proporcionada a Recursos Humanos era falsa, la persona que fue entrevistada para el trabajo aparentemente se parecía lo suficiente como para pasar la prueba. El equipo de Recursos Humanos de KnowBe4 “realizó cuatro entrevistas por videoconferencia en distintas ocasiones, confirmando que la persona coincidía con la foto proporcionada en su solicitud”, decía la publicación. “Además, se realizó una verificación de antecedentes y todas las demás comprobaciones estándar previas a la contratación y no hubo problemas debido a que se utilizó la identidad robada. Se trataba de una persona real que utilizaba una identidad válida pero robada con sede en Estados Unidos. La imagen fue ‘mejorada’ con inteligencia artificial”.

Las dos imágenes que aparecen en la parte superior de esta historia son una foto de archivo y lo que KnowBe4 dice que es una falsificación de la IA basada en la foto de archivo. La foto de archivo está a la izquierda y la falsificación de la IA está a la derecha.

El empleado, al que se hace referencia como “XXXX” en la publicación del blog, fue contratado como ingeniero principal de software. Las actividades sospechosas del nuevo empleado fueron detectadas por el software de seguridad, lo que llevó al Centro de Operaciones de Seguridad (SOC) de KnowBe4 a investigar:

El 15 de julio de 2024, se detectó una serie de actividades sospechosas en el usuario a partir de las 9:55 p. m. EST. Cuando llegaron estas alertas, el equipo SOC de KnowBe4 se comunicó con el usuario para preguntar sobre la actividad anómala y la posible causa. XXXX respondió al SOC que estaba siguiendo los pasos de la guía de su enrutador para solucionar un problema de velocidad y que esto podría haber provocado una vulneración.

El atacante realizó varias acciones para manipular archivos de historial de sesiones, transferir archivos potencialmente dañinos y ejecutar software no autorizado. Usó una Raspberry Pi para descargar el malware. SOC intentó obtener más detalles de XXXX, incluso conseguir que lo llamara. XXXX declaró que no estaba disponible para una llamada y luego dejó de responder. Alrededor de las 10:20 p. m. EST, SOC contuvo el dispositivo de XXXX.

“Falso trabajador informático de Corea del Norte”

El análisis del SOC indicó que la carga de malware “pudo haber sido intencional por parte del usuario” y el grupo “sospechaba que podía ser un actor de una amenaza interna o de un Estado nacional”, afirma la publicación del blog.

“Compartimos los datos recopilados con nuestros amigos de Mandiant, un experto mundial en ciberseguridad, y con el FBI para corroborar nuestros hallazgos iniciales. Resulta que se trataba de un falso trabajador de TI de Corea del Norte”, escribió Sjouwerman.

KnowBe4 dijo que no puede proporcionar muchos detalles debido a la investigación activa del FBI. Pero la persona contratada para el trabajo podría haber iniciado sesión en la computadora de la empresa de forma remota desde Corea del Norte, explicó Sjouwerman:

El funcionamiento de este sistema consiste en que el trabajador falso solicita que su estación de trabajo se envíe a una dirección que es básicamente una “granja de ordenadores portátiles de mulas de TI”. A continuación, se conectan mediante una VPN desde el lugar en el que se encuentran físicamente (Corea del Norte o al otro lado de la frontera con China) y trabajan en el turno de noche para que parezca que trabajan durante el día en Estados Unidos. La estafa consiste en que en realidad están haciendo el trabajo, cobrando bien y dando una gran cantidad de dinero a Corea del Norte para financiar sus programas ilegales. No tengo que hablaros del grave riesgo que supone esto. Es bueno que los nuevos empleados estén en una zona muy restringida cuando empiezan y no tengan acceso a los sistemas de producción. Nuestros controles lo detectaron, pero seguro que fue un momento de aprendizaje que me complace compartir con todo el mundo.

Esta historia apareció originalmente en Ars-Tecnica.