تمكن أحد القراصنة الكوريين الشماليين من خداع شركة أمن أمريكية لتوظيفه – وحاول على الفور اختراقها

كشفت شركة KnowBe4، وهي شركة متخصصة في الأمن مقرها الولايات المتحدة، أنها وظفت عن غير قصد أحد القراصنة من كوريا الشمالية الذي حاول تحميل برمجيات خبيثة على شبكة الشركة. ووصف ستو سيويرمان، الرئيس التنفيذي ومؤسس شركة KnowBe4، الحادث في منشور على مدونته هذا الأسبوع، واصفًا إياه بأنه قصة تحذيرية تم اكتشافها لحسن الحظ قبل أن تتسبب في أي مشاكل كبيرة.

“أولاً وقبل كل شيء: لم يتم الحصول على أي وصول غير قانوني، ولم يتم فقد أو اختراق أو استخراج أي بيانات على أي من أنظمة KnowBe4″، كتب Sjouwerman. “هذا ليس إخطارًا بخرق البيانات، لم يكن هناك أي خرق للبيانات. انظر إلى الأمر باعتباره لحظة تعلم تنظيمية أشاركها معك. إذا كان من الممكن أن يحدث لنا، فيمكن أن يحدث لأي شخص تقريبًا. لا تدع هذا يحدث لك”.

قالت شركة KnowBe4 إنها تبحث عن مهندس برمجيات لفريق تكنولوجيا المعلومات والذكاء الاصطناعي الداخلي لديها. وقد وظفت الشركة شخصًا اتضح أنه من كوريا الشمالية وكان “يستخدم هوية أمريكية صالحة ولكنها مسروقة” وصورة “تم تحسينها” بواسطة الذكاء الاصطناعي. وهناك الآن تحقيق نشط من قبل مكتب التحقيقات الفيدرالي وسط شكوك في أن الموظف هو ما وصفته مدونة KnowBe4 بأنه “تهديد داخلي / ممثل دولة”.

تعمل KnowBe4 في 11 دولة ويقع مقرها الرئيسي في فلوريدا. وهي تقدم تدريبات التوعية الأمنية، بما في ذلك اختبارات أمان التصيد الاحتيالي، لعملاء الشركات. إذا كنت تتلقى أحيانًا رسالة بريد إلكتروني مزيفة للتصيد الاحتيالي من صاحب العمل الخاص بك، فقد تعمل في شركة تستخدم خدمة KnowBe4 لاختبار قدرة موظفيها على اكتشاف عمليات الاحتيال.

الشخص اجتاز فحص الخلفية ومقابلات الفيديو

وقد قامت شركة KnowBe4 بتوظيف الهاكر الكوري الشمالي من خلال عملية التوظيف المعتادة. وقالت الشركة: “لقد نشرنا الوظيفة، وتلقينا السير الذاتية، وأجرينا المقابلات، وقمنا بفحص خلفيات المرشحين، والتحقق من المراجع، ثم قمنا بتوظيف الشخص. لقد أرسلنا لهم جهاز ماك الخاص بهم، وبمجرد استلامه، بدأ الجهاز في تحميل البرامج الضارة على الفور”.

ورغم أن الصورة التي قدمت إلى قسم الموارد البشرية كانت مزيفة، إلا أن الشخص الذي أجريت معه المقابلة للحصول على الوظيفة كان يبدو مشابهًا لها بدرجة كافية لتمريرها. وذكر المنشور أن فريق الموارد البشرية في KnowBe4 “أجرى أربع مقابلات عبر مؤتمرات الفيديو في مناسبات منفصلة، ​​وأكد أن الشخص تطابق الصورة المقدمة في طلب التوظيف. بالإضافة إلى ذلك، تم إجراء فحص للخلفية وجميع فحوصات ما قبل التوظيف القياسية الأخرى وكانت النتائج واضحة بسبب استخدام الهوية المسروقة. كان هذا شخصًا حقيقيًا يستخدم هوية أمريكية صالحة ولكنها مسروقة. كانت الصورة “معززة بالذكاء الاصطناعي”.

الصورتان الموجودتان في أعلى هذه القصة هما صورة فوتوغرافية مخزنة، وما يقوله KnowBe4 هو صورة وهمية للذكاء الاصطناعي استنادًا إلى الصورة المخزنة. الصورة المخزنة موجودة على اليسار، والذكاء الاصطناعي المزيف موجود على اليمين.

تم تعيين الموظف، المشار إليه باسم “XXXX” في منشور المدونة، كمهندس برمجيات رئيسي. وقد تم رصد الأنشطة المشبوهة للموظف الجديد بواسطة برنامج الأمان، مما دفع مركز عمليات الأمان (SOC) التابع لشركة KnowBe4 إلى التحقيق:

في 15 يوليو 2024، تم اكتشاف سلسلة من الأنشطة المشبوهة لدى المستخدم بدءًا من الساعة 9:55 مساءً بتوقيت الساحل الشرقي. وعندما وصلت هذه التنبيهات، تواصل فريق مركز العمليات الأمنية التابع لشركة KnowBe4 مع المستخدم للاستفسار عن النشاط الشاذ والسبب المحتمل. ورد XXXX على مركز العمليات الأمنية بأنه يتبع الخطوات الواردة في دليل جهاز التوجيه الخاص به لاستكشاف مشكلة السرعة وإصلاحها، وربما تسبب ذلك في حدوث اختراق.

قام المهاجم بإجراءات مختلفة للتلاعب بملفات سجل الجلسة ونقل ملفات ضارة محتملة وتنفيذ برامج غير مصرح بها. استخدم Raspberry Pi لتنزيل البرامج الضارة. حاول مركز العمليات الأمنية الحصول على مزيد من التفاصيل من XXXX بما في ذلك إشراكه في مكالمة. صرح XXXX أنه غير متاح لإجراء مكالمة وأصبح لاحقًا غير مستجيب. في حوالي الساعة 10:20 مساءً بتوقيت الساحل الشرقي، احتوى مركز العمليات الأمنية على جهاز XXXX.

“موظف تكنولوجيا معلومات مزيف من كوريا الشمالية”

وأشار تحليل مركز العمليات الأمنية إلى أن تحميل البرمجيات الخبيثة “ربما كان متعمدًا من قبل المستخدم”، وأن المجموعة “تشتبه في أنه قد يكون تهديدًا داخليًا/فاعل دولة قومية”، حسبما جاء في منشور المدونة.

وكتب سيويرمان: “لقد شاركنا البيانات التي جمعناها مع أصدقائنا في شركة مانديانت، وهي شركة عالمية رائدة في مجال الأمن السيبراني، ومع مكتب التحقيقات الفيدرالي، للتحقق من النتائج الأولية التي توصلنا إليها. واتضح أن هذا كان عامل تكنولوجيا معلومات مزيفًا من كوريا الشمالية”.

قالت شركة KnowBe4 إنها لا تستطيع تقديم الكثير من التفاصيل بسبب التحقيق الجاري من جانب مكتب التحقيقات الفيدرالي. لكن الشخص الذي تم تعيينه لهذه الوظيفة ربما سجل الدخول إلى كمبيوتر الشركة عن بعد من كوريا الشمالية، كما أوضح سيويرمان:

إن الطريقة التي يتم بها هذا الأمر هي أن العامل المزيف يطلب إرسال محطة عمله إلى عنوان هو في الأساس “مزرعة أجهزة كمبيوتر محمولة تابعة لتكنولوجيا المعلومات”. ثم يقوم بالاتصال عبر شبكة VPN من المكان الذي يتواجد فيه فعليًا (كوريا الشمالية أو عبر الحدود في الصين) ويعمل في نوبة الليل بحيث يبدو وكأنه يعمل في الولايات المتحدة أثناء النهار. وتتلخص الحيلة في أنه يقوم بالفعل بالعمل، ويتقاضى أجرًا جيدًا، ويقدم مبلغًا كبيرًا لكوريا الشمالية لتمويل برامجها غير القانونية. ولست بحاجة إلى أن أخبرك بالمخاطر الشديدة المترتبة على هذا. من الجيد أن يكون لدينا موظفون جدد في منطقة شديدة التقييد عندما يبدأون العمل، ولا يمكنهم الوصول إلى أنظمة الإنتاج. لقد اكتشفت ضوابطنا ذلك، لكن هذه كانت بالتأكيد لحظة تعلم يسعدني أن أشاركها مع الجميع.

ظهرت هذه القصة في الأصل على آرس تكنيكا.