La empresa de formación en concienciación sobre ciberseguridad KnowBe4 ha revelado que fue engañada para contratar a un falso trabajador de TI de Corea del Norte, lo que dio lugar a un intento de actividad de amenaza interna. La actividad maliciosa se identificó y se evitó antes de que se obtuviera cualquier acceso ilegal o se comprometiera algún dato en los sistemas de KnowBe4. En un blog publicado el 23 de julio de 2024, KnowBe4 detalló el alto nivel de sofisticación utilizado por los atacantes norcoreanos para crear una identidad encubierta creíble, capaz de pasar una entrevista exhaustiva y una verificación de antecedentes. El caso demuestra los esfuerzos continuos de Corea del Norte para conseguir que trabajadores falsos ocupen puestos de TI en empresas occidentales, tanto como medio de generar ingresos para el gobierno de la República Popular Democrática de Corea (RPDC) como para llevar a cabo intrusiones cibernéticas maliciosas. Stu Sjouwerman, director ejecutivo y presidente de KnowBe4, señaló: «Se trata de una gran red criminal bien organizada, patrocinada por el Estado y con amplios recursos. El caso destaca la necesidad crítica de procesos de investigación más sólidos, una supervisión de seguridad continua y una mejor coordinación entre los equipos de RR.HH., TI y seguridad para protegerse contra amenazas persistentes avanzadas». Cómo un trabajador falso consiguió empleo KnowBe4 anunció un puesto de ingeniero de software dentro de su equipo interno de IA de TI y recibió un currículum de una persona que usaba una identidad válida pero robada con sede en EE. UU. La imagen proporcionada en la solicitud estaba «mejorada» con IA. Se realizaron cuatro entrevistas por videoconferencia en ocasiones separadas, lo que confirmó que la persona coincidía con la foto proporcionada en su solicitud. Se llevaron a cabo una verificación de antecedentes y otras verificaciones estándar previas a la contratación y se aprobaron debido a que se utilizó la identidad robada. La actividad de amenaza interna comienza inmediatamente después de confirmar el empleo, KnowBe4 le envió al trabajador remoto una estación de trabajo Mac. El software EDR de KnowBe4 detectó rápidamente actividades sospechosas que tenían lugar en el dispositivo a las 21.55 EST del 15 de julio, incluida la descarga de malware. Estas actividades incluían varias acciones para manipular archivos del historial de sesiones, transferir archivos potencialmente dañinos y ejecutar software no autorizado. Se utilizó una Raspberry Pi para descargar el malware. Se alertó al Centro de Operaciones de Seguridad (SOC) de la empresa, que evaluó que estas actividades podrían ser intencionales y que el trabajador podría ser una amenaza interna / actor de un estado nacional. El SOC se puso en contacto con el trabajador para informarle de la actividad, quien respondió que estaba siguiendo los pasos de la guía de su enrutador para solucionar un problema de velocidad y que podría haber causado un problema. El SOC también intentó comunicarse con el trabajador falso, quien declaró que no estaba disponible para una llamada y luego dejó de responder. El SOC contuvo el dispositivo alrededor de las 22.20 EST. KnowBe4 compartió sus hallazgos con la empresa de inteligencia de amenazas Mandiant y el FBI. Esto descubrió que el empleado falso era parte de un grupo criminal patrocinado por Corea del Norte que se especializa en estas estafas de trabajadores de TI. Una vez que obtienen el empleo, los trabajadores falsos solicitan que su estación de trabajo se envíe a una dirección que es una «granja de computadoras portátiles de mulas de TI». Luego usan VPN para acceder a la estación de trabajo desde su ubicación física real, que generalmente es Corea del Norte o China. «La estafa es que realmente están haciendo el trabajo, reciben un buen salario y dan una gran cantidad a Corea del Norte para financiar sus programas ilegales», explicó Sjouwerman. Cómo detectar estafas de trabajadores de TI falsos KnowBe4 ofrece consejos sobre cómo las empresas pueden evitar contratar trabajadores de TI norcoreanos falsos basándose en su experiencia, incluyendo: Verificaciones de antecedentes más estrictas, señalando cualquier pequeña discrepancia, como inconsistencias en la dirección y fecha de nacimiento en diferentes fuentes No confíe en las referencias de correo electrónico de los empleados Mejor escaneo de currículums para detectar inconsistencias profesionales Asegúrese de que los trabajadores de TI remotos estén físicamente donde se supone que deben estar Ponga a estas personas frente a una cámara de video y pregúnteles sobre el trabajo que están haciendo Escanee todos los dispositivos remotos para asegurarse de que no se acceda a ellos de forma remota Implemente un monitoreo mejorado para cualquier intento continuo de acceder a los sistemas Revise y fortalezca los controles de acceso y los procesos de autenticación Brinde capacitación de concientización sobre seguridad para los empleados, incluidos los equipos de RR.HH., que resalten estas tácticas