Bir güvenlik firmasında Kuzey Koreli bir tehdit aktörünün yanlışlıkla işe alınmasıyla ilgili yapılan bir otopsi, karmaşık, endüstriyel benzeri bir ağ ortaya koyuyor Sahte BT çalışanları Kuzey Kore hükümetinin mali çıkarı için ABD şirketlerini kandırıp kendilerine iş vermeleri için dikkatlice yetiştiriliyorlar.
Temmuz ayında, güvenlik farkındalığı eğitim firması KnowBe4 şeffaftı Şirketin işe aldığı yazılım mühendisinin, şirket tarafından sağlanan iş istasyonuna hemen kötü amaçlı yazılım yüklemeye başlayan Kuzey Koreli bir tehdit aktörü olduğu ortaya çıktı.
Yöneticiler bunu tespit edip kapatmayı başarsa da kötü niyetli işlem Herhangi bir zarar meydana gelmeden önce, olay, Kuzey Kore devlet destekli, güvenilir bilişim çalışanları gibi davranan kişileri iş gücüne gönderen bir programın karmaşıklığı hakkında bir uyarı niteliğindeydi.
Şirketin kamuoyuna yaptığı açıklamadan birkaç hafta sonra KnowBe4, Kuzey Koreli aktörleri işe alan veya onlar tarafından işe alınmak için teşvik edilen bir düzineden fazla kuruluştan benzer hikayeler duyduğunu açıkladı. Beyaz kağıt (PDF) bu hafta yayımlandı.
Fortune 500 şirketlerinden sadece 12 çalışanı olan küçük işletmelere kadar birçok şirket, yanlışlıkla Kuzey Koreli sahte çalışanları işe aldı; büyük ölçüde uzaktan çalışan işgücüne sahip kuruluşlar en yüksek risk altında.
“Kuzey Koreli sahte çalışan sorununun karmaşık, endüstriyel, ölçekli bir ulus-devlet operasyonu olduğu ve dünya çapında binlerce kuruluşun yanlışlıkla Kuzey Koreli sahte çalışanları işe aldığı veya almaya devam ettiği ortaya çıktı” diye yazdı KnowBe4’ün veri odaklı savunma savunucusu Roger Grimes.
KnowBe4’te güvenlik farkındalığı savunucusu olan Erich Kron, Dark Reading’e yaptığı açıklamada, sahte işçi planının ilk başta düşünüldüğünden çok daha yaygın olması ve bu plana katılan kişilerin “olağanüstü yetenekli” olması gerçeğinin, KnowBe4’ün deneyiminden öğrenilen en büyük dersler olduğunu söyledi.
“Arka plan kontrollerinden geçme yeteneği, birkaç Zoom görüşmesinde görüşme yapma isteği ve yeteneğiyle birleştiğinde, programlarının ne kadar cilalı olduğunun göstergesidir,” diyor. “Hem büyük hem de küçük kuruluşlarda olağanüstü şekilde işe yarayan süreçlere sahip görünüyorlar.”
Kron, programın ABD’deki kuruluşlar arasında son birkaç yıldır yaşanan ve şirketlerin kötü niyetli çalışanları meşru pozisyonlara yerleştirmeye daha yatkın hale getiren kültürel istihdam değişiminden yararlandığını söylüyor.
Bu değişimin, kuruluşların uzaktan çalışma modelini benimsemesi ve modern çağda insanların coğrafi konumlarından ziyade bilgi ve yeteneklerine göre dünyanın dört bir yanından işe alınmasına yönelik ilginin bir kombinasyonu olduğunu söylüyor.
“En iyi adayların ve son teknoloji konusunda bilgili kişilerin çoğu ABD doğumlu olmadığında ve geçmişte işe alımda engel teşkil etmiş olabilecek güçlü aksanlara sahip olduğunda bu son derece zorlayıcıdır,” diyor Kron. “Çok kültürlü iş gücü yalnızca modern iş dünyasında yaygın olmakla kalmaz, aynı zamanda kuruluşlar alanlarında en iyi yetenekleri işe almak istiyorlarsa kritik öneme sahiptir.”
Perdenin Arkasına Bir Bakış
KnowBe4, şirketin kendi olayının ardından Kuzey Kore programının çeşitli yönlerinin nasıl işlediği hakkında çok şey öğrendi. Şirket, bu programın başlıca amacının finansal kazanç olduğunu keşfetti, ancak operatörler daha az ölçüde de olsa siber casusluk ve hatta bir örgüte katıldıktan sonra kurumsal sabotaj faaliyetleri bile gerçekleşebilir.
Genel olarak, sahte çalışan planının çalışması için olmazsa olmaz dört bölüm vardır: Kuzey Kore merkezli program liderleri; diğer ülkelerde bulunan Kuzey Koreli çalışanlar ve yöneticiler; genellikle işin bulunduğu ülkede bulunan Koreli olmayan plan yardımcıları; ödemeleri kabul etme, sahte kimlikler oluşturma veya gerçek kimlikleri çalma, sahte çalışan web siteleri ve projeleri oluşturma, referans verme, kara para aklama, belge sahteciliği hizmetleri ve diğer destekleyici faaliyetler konusunda yardımcı olacak altyapı.
Çalışanlar genellikle Kuzey Kore üniversitelerinde eğitim almış yetenekli BT çalışanları ve geliştiricileridir ve genellikle Çin gibi yabancı ülkelerde, paylaşımlı yaşam alanlarında ve çalışma alanlarında bulunurlar. Genellikle yoğun çağrı merkezi benzeri alanlarda çalışırlar; aslında, bu sahte çalışanları mülakata alan veya işe alan kuruluşlar genellikle gürültülü arka planı not ettiler, Grimes gözlemledi.
KnowBe4, programa dahil olan çalışanları, bir tür kötü niyetli davranışın talihsiz kurbanları olarak tanımladı. insan ticaretiKazanılan gelirin çok azını alırlar ve çoğunu da Kuzey Kore hükümeti. Grimes ayrıca yakın aile üyelerinin Kuzey Kore’de kalmasının “çalışanları çok az ücretler karşılığında uzun saatler çalışmaya zorlamak için kişisel bir koz olarak kullanılmak üzere” olduğunu yazdı.
Kuzey Koreli Sahte Bir Çalışanı Nasıl Tespit Edebilirsiniz
KnowBe4, Kuzey Koreli bir tehdit aktörünü ekibe almadan önce tespit etmelerine yardımcı olmak için işe alım sürecinde kuruluşlara önemli rehberlik sağladı ve ayrıca bir çalışanın BT ekibine katılması durumunda işe alım sonrası tavsiyelerde bulundu.
Bir adayda dikkat edilmesi gereken bazı özellikler ve davranışlar arasında, kişinin İngilizce konusunda çok yetenekli olmamasına rağmen her zaman ABD’de yaşadığını iddia etmesi gibi, Asyalı kökenli olması yer alır. Kişi, sahte bir kimlik, sahte bir kimlik belgesi ve ikincil doğrulamada başarısız olacak sahte bir iş geçmişi kullanacaktır.
Aday ayrıca aşırı basit görünen kişisel web siteleri, profiller veya GitHub siteleri de sunacak, “genellikle aynı anda bir şeyler söyleyip hiçbir şey söylemeyen veya çok benzer siteler ve profiller bulabileceğiniz” diye yazdı Grimes. Bu siteler ve profiller de çok yakın zamanda yayınlanmış olacak ve adayın sağladığı özellikler dışında İnternet’te hiçbir varlık göstermeyecek.
İşe alımdan sonra, kuruluşlar çalışanın şirket tarafından sağlanan uzak cihazda gereksiz oturum açmalarını, iddia edilen coğrafi konumla eşleşmeyen bir IP adresinden veya diğer alışılmadık davranışları tespit edebilir. Çalışanlar ayrıca iddia ettikleri yerin saat dilimiyle tutarsız saatlerde çalışabilirler.
Tehdit aktörlerinin motivasyonu finansal olduğundan, işe alımdan sonra bir diğer kırmızı bayrak, sanal para talebi de dahil olmak üzere alışılmadık veya tuhaf ödeme planlarıyla ödeme talep edilmesidir.
Kuruluşunuzu Korumak
Bir kuruluş işe alım sürecinde bir kişinin tehdit aktörü olduğundan şüphelenirse, kişinin meşruluğunun incelenmesinde destek için derhal üst düzey yönetime bildirilmelidir. KnowBe4 ayrıca kuruluşların işe alım süreçlerinde “tehdit modeli” oluşturmalarını ve sahte çalışanları işe alma riskini azaltmak için güncellemeler yapmalarını, örneğin bu aktörler için uyarı işaretlerini doğrudan işe alım sürecindeki kişilerle paylaşmalarını önerdi.
Kron, KnowBe4’ün olay kurtarma çalışmalarında “işe alım süreçlerinin gözden geçirilmesi ve deneyimlerden alınan dersler doğrultusunda yeniden düzenlenmesinin kritik öneme sahip olduğunu” ve senaryonun tekrarlanmamasını sağlamak için “yatırıma değdiğini” söylüyor.
Bir şirket çalışanlarından birinin Kuzey Koreli bir aktör olduğundan şüphelenirse, KnowBe4, şirket tarafından kişiye sağlanan herhangi bir cihazın derhal asgari erişime kilitlenmesi ve izlenmesi gerektiğini bildirdi. alışılmadık aktivitekötü amaçlı yazılım, günlük değişiklikleri veya beklenmeyen dil değişiklikleri. Şirket ayrıca çalışan etkinliğini izlemek için daha fazla adım atmalı ve şüpheler doğruysa kişiyi işten çıkarmalıdır.
Kron, geriye dönüp bakıldığında KnowBe4’ün halihazırda güçlü bir güvenlik kültürüne sahip olduğunu ve şirketin durumu hızla hafifletmesine olanak tanıyan birçok kontrole sahip olduğunu ancak “her zaman iyileştirmeye yer olduğunu” öğrendiğini söylüyor.
“Bunu yaşamış olmak, daha önce olduğumuzdan daha da güvende olmamızı sağladı ve öğrendiğimiz dersleri paylaşarak, bunun başkalarına da yardımcı olmasını umuyoruz” diyor.