朝鲜的高水平国家级黑客也许还有另外一个身份:某知名美国网络安全公司的高薪员工。
Knowbe4是美国著名安全意识公司,但某朝鲜黑客却通过并不复杂的社会工程、深度伪造技术和笔记本电脑农场顺利通过了该公司的招聘程序,打入该公司内部并险些酿成大祸。该事件凸显了当今AI增强网络攻击的复杂性,以及混合办公时代加强企业人力资源部门网络安全意识和流程的重要性。
用深度伪造技术顺利通过多轮面试和背调
据知情人士透露,一名朝鲜黑客冒充美国本土的IT专业人士应聘并渗透美国网络安全公司KnowBe4,但在成功进入公司内网前被发现。
周二,KnowBe4的首席执行官兼总裁Stu Sjouwerman在一份事件报告中披露,该公司发现一名新聘用的高级软件工程师实际上是朝鲜国家级黑客,企图入侵这家安全意识培训公司的系统。Sjouwerman强调,这名假冒的IT员工在加入KnowBe4内部AI团队之前,已经顺利通过了背景调查和多轮面试。
然而,自7月15日起,KnowBe4检测到与这名新员工的工作站电脑的诸多可疑活动。
朝鲜黑客冒充IT员工渗透美国企业的做法并不新鲜。2022年,美国政府联合发布的警告中曾提醒各组织注意这一威胁。
Sjouwerman在报告中说:“我们发布了职位招聘信息,收到了简历,进行了面试,进行了背景调查,核实了推荐信并聘用了此人。我们将Mac工作站电脑寄给了“新员工”,但设备收到后立即开始加载恶意软件。”
随后,KnowBe4的终端检测和响应工具(EDR)检测到了恶意活动,并向信息安全运营中心(SOC)发出警报。SOC联系了这名新员工,并询问是否需要帮助。根据不充分的响应和可疑活动,KnowBe4判断该新员工是“内部威胁/国家级黑客”。
“攻击者进行了各种操作来操控会话历史文件、传输可能有害的文件并执行未经授权的软件,还使用树莓派下载了恶意软件。”Sjouwerman在报告中说。
与Mandiant和FBI共同进行的调查显示,黑客使用深度伪造技术获得了这份工作,并使用VPN篡改了位置。Sjouwerman写道:“我们的人力资源团队曾四次通过视频会议对该黑客进行面试,确认此人与其求职申请表上的照片相符。此外,背景调查和所有其他标准的招聘前检查都未发现问题,因为黑客使用的是被盗的(真实)身份,且照片经过AI‘增强’。”
通过“笔记本农场”冒充美国本地员工,薪水上交朝鲜政府
调查还揭示了这个骗局的更多细节。Sjouwerman表示,这名假员工的工作站被寄送到一个作为“IT骡子笔记本农场”的地址。
KnowBe4的首席信息安全官Brian Jack解释了IT骡子笔记本农场的工作原理。
“这些试图获得工作机会的人大多数本人并不在美国。他们需要一个美国地址来接收公司发给员工的设备,”Jack说:“所谓笔记本电脑农场就是用于接受(美国企业邮寄给远程办公员工的)办公电脑的小型网络,运营该农场的美国本地个人会启动收到的电脑并配置远程访问。远在万里之外的黑客或非法务工人员随后会连接到笔记本农场网络,从那里远程访问公司设备。该人的安全和访问日志会显示为来自美国并且使用正确的设备。”
接下来,黑客会操控VPN位置,并在其工作所在地的夜间工作,使其看起来像是在美国的白天工作的美国本地人。
Sjouwerman在报告中说:“黑客实际上取得了在美国(非法)工作的机会,得到高薪并将大量收入交给朝鲜以资助其非法项目。这对我们构成了严重的风险。”
在2022年的警告中,政府机构还指出,这些假员工的目标是为朝鲜民主主义人民共和国筹集资金,以资助政府的武器开发等项目。
Sjouwerman提供了检测和防止此类骗局的建议,包括进行视频面试和扫描内部远程设备。他警告企业不要过于依赖电子邮件推荐信,并进行更彻底的背景调查。
他强调,这一内部威胁突显了企业需要部署更严格的审查流程,以防止APT黑客进入组织内部。
Sjouwerman在报告中说:“这一事件展示了攻击者在伪造可信身份、利用招聘和背景调查流程中的漏洞以及试图在企业系统内建立立足点方面精妙而有效的攻击技术。”
参考链接:
https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us