La société américaine de cybersécurité KnowBe4 a récemment découvert qu’un nouvel employé, engagé en tant qu’ingénieur logiciel principal, était en réalité un acteur étatique nord-coréen. Ce dernier a tenté d’installer un logiciel malveillant destiné à voler des informations sur les appareils de l’entreprise.
Heureusement, l’entreprise a réussi à détecter et à bloquer ces actions malveillantes à temps, évitant ainsi toute violation de données. Cet incident met en lumière la menace persistante que représentent les acteurs nord-coréens se faisant passer pour du personnel informatique, un sujet régulièrement souligné par le FBI depuis 2023.
La République Populaire Démocratique de Corée (RPDC) maintient une armée d’informaticiens hautement organisée qui dissimule leur véritable identité pour obtenir des emplois dans de nombreuses entreprises américaines.
Les revenus générés par ces travailleurs sont utilisés pour financer les programmes d’armement du pays, ses opérations cybernétiques, ainsi que pour la collecte de renseignements.
Masquage assisté par l’IA
Avant d’embaucher cet acteur menaçant, KnowBe4 a effectué des vérifications de fond, validé les références fournies et réalisé quatre entretiens vidéo pour s’assurer de l’authenticité de la personne et de la correspondance entre son visage et celui de son CV.
Cependant, il a été révélé par la suite que cette personne avait utilisé l’identité volée d’un citoyen américain pour contourner les vérifications préliminaires, et avait également recouru à des outils d’IA pour créer une photo de profil et faire correspondre ce visage lors des appels vidéo.
KnowBe4, spécialisée dans la formation à la sensibilisation à la sécurité et les simulations de phishing, a commencé à suspecter une anomalie le 15 juillet 2024, lorsque son produit EDR a signalé une tentative de chargement de malware depuis le poste de travail Mac récemment attribué au nouvel employé.
Un porte-parole de KnowBe4 a déclaré à BleepingComputer que le malware était un infostealer ciblant les données stockées sur les navigateurs web, et que l’employé malveillant espérait probablement extraire des informations laissées sur l’ordinateur avant qu’il ne soit officiellement attribué.
« L’attaquant a peut-être utilisé cela pour trouver des identifiants laissés par des sessions de navigateur précédentes en raison du processus de provisionnement initial du département informatique ou pour extraire des informations restantes d’un ordinateur portable mal effacé précédemment attribué à un autre employé », a expliqué le porte-parole de KnowBe4 à BleepingComputer.
Lorsque le personnel informatique de l’entreprise a confronté l’employé sur cette activité, l’acteur étatique a d’abord tenté de se justifier avant de cesser toute communication.
« Lorsque ces alertes sont arrivées, l’équipe SOC de KnowBe4 a contacté l’utilisateur pour s’enquérir de l’activité anormale et de sa cause possible. XXXX (l’acteur menaçant) a répondu à la SOC qu’il suivait des étapes sur son guide de routeur pour résoudre un problème de vitesse, ce qui aurait pu causer une compromission.
L’attaquant a effectué diverses actions pour manipuler les fichiers d’historique de session, transférer des fichiers potentiellement nuisibles et exécuter des logiciels non autorisés. Il a utilisé un Raspberry Pi pour télécharger le malware. La SOC a tenté d’obtenir plus de détails de XXXX, y compris de l’avoir en appel. XXXX a déclaré qu’il n’était pas disponible pour un appel et est devenu injoignable par la suite. »
❖ KnowBe4
Un post du PDG de KnowBe4, Stu Sjouwerman, explique que le stratagème consiste à tromper l’employeur pour qu’il envoie le poste de travail à une « ferme de portables IT » située près de l’adresse déclarée par le fraudeur dans sa candidature.
Ensuite, ils utilisent un VPN pour se connecter à cet appareil pendant la nuit, afin de donner l’impression qu’ils travaillent selon les horaires américains, tout en exécutant les tâches qui leur sont assignées comme d’habitude.
Pour atténuer ce risque, KnowBe4 recommande aux entreprises de maintenir un environnement isolé pour les nouveaux employés, séparé des parties les plus critiques de leur réseau.
La société suggère également de s’assurer que les appareils externes des nouveaux employés ne sont pas utilisés à distance et de considérer les incohérences d’adresse d’expédition comme un signal d’alerte.
