Acteurs de la menace nord-coréenne

La société américaine de cybersécurité KnowBe4 affirme qu'une personne qu'elle a récemment embauchée comme ingénieur logiciel principal s'est avérée être un acteur étatique nord-coréen qui a tenté d'installer un système de vol d'informations sur ses appareils.

L'entreprise a détecté et stoppé les actions malveillantes à temps, de sorte qu'aucune violation de données n'a eu lieu. Cependant, l'affaire met en évidence la menace persistante posée par les acteurs malveillants nord-coréens se faisant passer pour un membre du personnel informatiquequelque chose que le Le FBI a prévenu à propos à plusieurs reprises depuis 2023.

La RPDC dispose d’une armée hautement organisée de travailleurs informatiques qui dissimulent leur véritable identité pour être embauchés par des centaines d’entreprises américaines.

Les revenus générés par ces travailleurs servent à financer les programmes d’armement et les cyberopérations du pays, ainsi qu’à recueillir des renseignements.

Publicité

Masquage assisté par l'IA

Avant d’embaucher l’acteur malveillant, KnowBe4 a effectué des vérifications d’antécédents, vérifié les références fournies et mené quatre entretiens vidéo pour s’assurer qu’il s’agissait d’une personne réelle et que son visage correspondait à celui de son CV.

Cependant, il a été déterminé plus tard que la personne avait soumis l'identité volée d'un citoyen américain pour échapper aux contrôles préliminaires et avait également utilisé des outils d'IA pour créer une photo de profil et faire correspondre ce visage lors des appels vidéoconférences.

KnowBe4, spécialisé dans la formation à la sensibilisation à la sécurité et les simulations de phishing, a soupçonné que quelque chose n'allait pas le 15 juillet 2024, lorsque son produit EDR a signalé une tentative de chargement de malware depuis le poste de travail Mac qui venait d'être envoyé au nouvel employé.

Un porte-parole de KnowBe4 a déclaré à BleepingComputer que le logiciel malveillant était un voleur d'informations ciblant les données stockées sur les navigateurs Web, et que l'employé malveillant espérait probablement extraire les informations laissées sur l'ordinateur avant qu'elles ne lui soient confiées.

« L'attaquant peut [have used] « Cela permet de retrouver les informations d'identification restantes des sessions de navigateur précédentes à la suite du processus de provisionnement initial d'un service informatique ou d'extraire les informations restantes d'un ordinateur portable incomplet ou mal effacé précédemment remis à un autre employé », a déclaré le porte-parole de KnowBe4 à BleepingComputer.

Interrogé par le personnel informatique de l'entreprise au sujet de cette activité, l'acteur étatique a d'abord présenté des excuses, mais a rapidement cessé toute communication.

« Lorsque ces alertes sont arrivées, l'équipe SOC de KnowBe4 a contacté l'utilisateur pour s'enquérir de l'activité anormale et de la cause possible. XXXX (l'acteur de la menace) a répondu au SOC qu'il suivait les étapes de son guide de routeur pour résoudre un problème de vitesse et que cela pouvait avoir causé une compromission.

L'attaquant a effectué diverses actions pour manipuler les fichiers d'historique de session, transférer des fichiers potentiellement dangereux et exécuter des logiciels non autorisés. Il a utilisé un Raspberry Pi pour télécharger le logiciel malveillant. Le SOC a tenté d'obtenir plus de détails auprès de XXXX, notamment en l'appelant. XXXX a déclaré qu'il n'était pas disponible pour un appel et n'a plus répondu par la suite.

❖ KnowBe4

UN message du PDG de KnowBe4, Stu Sjouwerman explique que le stratagème consiste à tromper l'employeur pour qu'il envoie le poste de travail à une « ferme d'ordinateurs portables mulets informatiques » basée à proximité de l'endroit que le fraudeur a déclaré comme étant son adresse personnelle sur sa candidature.

Ils utilisent ensuite un VPN pour se connecter à cet appareil pendant la nuit, de sorte qu'il semble qu'ils travaillent aux heures américaines et effectuent les tâches qui leur sont confiées normalement.

Pour atténuer ce risque, KnowBe4 suggère aux entreprises de maintenir un bac à sable pour les nouvelles recrues, isolé de leurs parties de réseau les plus critiques.

L'entreprise indique également qu'elle doit s'assurer que les appareils externes des nouveaux employés ne sont pas utilisés à distance et traiter les incohérences dans les adresses de livraison comme un signal d'alarme.


flare 400
5/5 - (374 votes)
Publicité
Article précédentCet adorable objet de collection Hadès a été réduit chez Amazon
Article suivantShikai et Bankai : quelle est la différence ?
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici