La société américaine de cybersécurité KnowBe4 affirme qu'une personne qu'elle a récemment embauchée comme ingénieur logiciel principal s'est avérée être un acteur étatique nord-coréen qui a tenté d'installer un système de vol d'informations sur ses appareils.

L'entreprise a détecté et stoppé les actions malveillantes à temps, de sorte qu'aucune violation de données n'a eu lieu. Cependant, l'affaire met en évidence la menace persistante posée par les acteurs malveillants nord-coréens se faisant passer pour un membre du personnel informatiquequelque chose que le Le FBI a prévenu à propos à plusieurs reprises depuis 2023.

La RPDC dispose d’une armée hautement organisée de travailleurs informatiques qui dissimulent leur véritable identité pour être embauchés par des centaines d’entreprises américaines.

Les revenus générés par ces travailleurs servent à financer les programmes d’armement et les cyberopérations du pays, ainsi qu’à recueillir des renseignements.

Masquage assisté par l'IA

Avant d’embaucher l’acteur malveillant, KnowBe4 a effectué des vérifications d’antécédents, vérifié les références fournies et mené quatre entretiens vidéo pour s’assurer qu’il s’agissait d’une personne réelle et que son visage correspondait à celui de son CV.

Cependant, il a été déterminé plus tard que la personne avait soumis l'identité volée d'un citoyen américain pour échapper aux contrôles préliminaires et avait également utilisé des outils d'IA pour créer une photo de profil et faire correspondre ce visage lors des appels vidéoconférences.

KnowBe4, spécialisé dans la formation à la sensibilisation à la sécurité et les simulations de phishing, a soupçonné que quelque chose n'allait pas le 15 juillet 2024, lorsque son produit EDR a signalé une tentative de chargement de malware depuis le poste de travail Mac qui venait d'être envoyé au nouvel employé.

Un porte-parole de KnowBe4 a déclaré à BleepingComputer que le logiciel malveillant était un voleur d'informations ciblant les données stockées sur les navigateurs Web, et que l'employé malveillant espérait probablement extraire les informations laissées sur l'ordinateur avant qu'elles ne lui soient confiées.

« L'attaquant peut [have used] « Cela permet de retrouver les informations d'identification restantes des sessions de navigateur précédentes à la suite du processus de provisionnement initial d'un service informatique ou d'extraire les informations restantes d'un ordinateur portable incomplet ou mal effacé précédemment remis à un autre employé », a déclaré le porte-parole de KnowBe4 à BleepingComputer.

Interrogé par le personnel informatique de l'entreprise au sujet de cette activité, l'acteur étatique a d'abord présenté des excuses, mais a rapidement cessé toute communication.

UN message du PDG de KnowBe4, Stu Sjouwerman explique que le stratagème consiste à tromper l'employeur pour qu'il envoie le poste de travail à une « ferme d'ordinateurs portables mulets informatiques » basée à proximité de l'endroit que le fraudeur a déclaré comme étant son adresse personnelle sur sa candidature.

Ils utilisent ensuite un VPN pour se connecter à cet appareil pendant la nuit, de sorte qu'il semble qu'ils travaillent aux heures américaines et effectuent les tâches qui leur sont confiées normalement.

Pour atténuer ce risque, KnowBe4 suggère aux entreprises de maintenir un bac à sable pour les nouvelles recrues, isolé de leurs parties de réseau les plus critiques.

L'entreprise indique également qu'elle doit s'assurer que les appareils externes des nouveaux employés ne sont pas utilisés à distance et traiter les incohérences dans les adresses de livraison comme un signal d'alarme.