Bir güvenlik farkındalığı eğitim firmasının Kuzey Koreli bir hacker’ı işe almaya kandırılabileceğini kim tahmin edebilirdi ki? Ancak KnowBe4’ün başına gelen tam olarak buydu.
Güvenlik farkındalığı eğitimleri ve simüle edilmiş kimlik avı platformları konusunda lider sağlayıcı olan KnowBe4, yakın zamanda yanlışlıkla bir Kuzey Koreli bilgisayar korsanını işe aldıkları bir olayı açıkladı.
KnowBe4, Kuzey Koreli Hacker’ı Ekibine Dahil Etti: İşte Nasıl Gerçekleşti
Şirketin iç BT ekibi, Yapay Zeka bölümüne katılacak bir yazılım mühendisi arıyordu. Çok sayıda mülakat, geçmiş kontrolleri ve referans doğrulamalarını içeren kapsamlı bir işe alım sürecinin ardından aday işe alındı.
“İnsan Kaynakları ekibimiz, ayrı zamanlarda dört video konferans tabanlı görüşme gerçekleştirerek, kişinin başvuruda verilen fotoğrafla eşleştiğini doğruladı. Ek olarak, bir geçmiş kontrolü ve işe alım öncesi tüm diğer standart kontroller yapıldı ve çalınan kimliğin kullanılması nedeniyle temiz çıktı. Bu, geçerli ancak çalınmış bir ABD merkezli kimlik kullanan gerçek bir kişiydi. Şirketin resmi açıklamasında, fotoğrafın yapay zeka tarafından “geliştirildiği” belirtildi.
Şirkete göre, şüpheli, ikna edici bir sahte kimlik oluşturma, işe alım ve geçmiş kontrol süreçlerindeki zayıflıkları kullanma ve kuruluşun sistemlerine erişim sağlama konusunda olağanüstü bir karmaşıklık sergiledi.
Yeni işe alınan kişinin Mac iş istasyonu teslim edilene kadar her şey standart görünüyordu. Makine teslim alındığında hemen kötü amaçlı yazılım yüklemeye başladı ve alarmları tetikledi.
“EDR yazılımı bunu tespit etti ve InfoSec Güvenlik Operasyon Merkezimizi uyardı. SOC yeni işe alınan kişiyi aradı ve yardım edip edemeyeceklerini sordu. İşte o zaman işler hızla sarpa sardı. Topladığımız verileri, önde gelen küresel siber güvenlik uzmanı Mandiant ve FBI ile paylaşarak ilk bulgularımızı doğruladık.”
Soruşturma, sözde yazılım mühendisinin, ikna edici bir kılıf oluşturmak için çalınmış bir ABD kimliği ve AI destekli bir fotoğraf kullanan bir Kuzey Kore ajanı olduğunu ortaya çıkardı. Bu ayrıntılı aldatmaca, sahte bir kimlik ve şirketin sistemlerini istismar etmek için tasarlanmış karmaşık bir kötü amaçlı yazılım saldırısı içeriyordu. Ancak şirket, KnowBe4 sistemlerinde herhangi bir yasa dışı erişimin olmadığını ve herhangi bir veri kaybının veya ihlalinin yaşanmadığını doğruladı.
KnowBe4 Sahte Çalışan Araştırması
“XXXX” olarak tanımlanan çalışana yönelik soruşturmada, hesabında tespit edilen şüpheli faaliyetlerin büyük ihtimalle kasıtlı olduğu ortaya çıktı ve bu durumun bir içeriden tehdit veya ulus-devlet aktörü olabileceği endişelerini artırdı.
“15 Temmuz 2024’te, kullanıcıda 21:55 EST’de başlayan bir dizi şüpheli etkinlik tespit edildi. Bu uyarılar geldiğinde KnowBe4’ün SOC ekibi, anormal etkinlik ve olası neden hakkında bilgi almak için kullanıcıyla iletişime geçti. XXXX, SOC’ye bir hız sorununu gidermek için yönlendirici kılavuzundaki adımları izlediğini ve bunun bir tehlikeye yol açmış olabileceğini söyledi,” şirketin olayla ilgili özet raporunda yer aldı.
Raporda ayrıca saldırganın oturum geçmişi dosyalarını manipüle etmek, potansiyel olarak zararlı dosyaları aktarmak ve yetkisiz yazılım çalıştırmak için çeşitli eylemler gerçekleştirdiği belirtildi. “Kötü amaçlı yazılımı indirmek için bir ahududu pi kullandı. SOC, XXXX’ten onu bir aramaya dahil olmak üzere daha fazla ayrıntı almaya çalıştı. XXXX, bir aramaya katılamayacağını belirtti ve daha sonra tepkisiz hale geldi. Yaklaşık 22:20’de (EST) SOC, XXXX’in cihazını ele geçirdi.”
Dolandırıcılığı parçalara ayıran özet rapor, nasıl işlediğini ayrıntılı olarak anlatıyor: “Sahte çalışan, iş istasyonunun temelde bir “BT katır dizüstü bilgisayar çiftliği” olan bir adrese gönderilmesini istiyor. Daha sonra, gerçekte fiziksel olarak bulundukları yerden (Kuzey Kore veya Çin sınırından) VPN ile bağlanıyor ve gece vardiyasında çalışarak ABD’de gündüz çalışıyormuş gibi görünüyorlar. Dolandırıcılık, aslında işi yapmaları, iyi para almaları ve yasadışı programlarını finanse etmek için Kuzey Kore’ye büyük miktarda para vermeleridir.”
İhlali Kabul Etme
KnowBe4’ün bu olayı ifşa etme kararı takdire şayandır. Bu sorunu gün yüzüne çıkararak, yalnızca siber suçlular tarafından kullanılan gelişmiş taktikleri vurgulamakla kalmıyor, aynı zamanda siber güvenlik topluluğu içinde şeffaflık ve eğitime olan bağlılığı da gösteriyorlar.
Öğrenilen Dersler ve Öneriler
Bu olay, işe alım ve güvenlik süreçlerindeki bazı kritik güvenlik açıklarını ortaya çıkardı:
- İnceleme Prosedürleri: Kapsamlı geçmiş kontrollerinin ve kimlik doğrulamasının gerekliliği abartılamaz. Bilgisayar korsanı, dijital olarak değiştirilmiş bir fotoğrafla çalıntı bir kimlik kullandı ve geleneksel kontrolleri atlattı.
- Gelişmiş İzleme: Sürekli gözetim ve anormallik tespiti hayati öneme sahiptir. KnowBe4’ün SOC’sinin hızlı tepkisi, olası hasarı azaltmada kilit rol oynadı.
- Gelişmiş Güvenlik Önlemleri:Gelecekteki öneriler arasında yetkisiz erişime karşı uzak cihazların taranması, tutarsızlıklar açısından özgeçmişlerin incelenmesi ve gelişmiş izleme ve erişim kontrollerinin kullanılması yer alıyor.
Önleme İpuçları
Benzer olayların yaşanmaması için kuruluşların şu adımları dikkate alması gerekiyor:
- Uzak Aygıtları Tara: Yetkisiz uzaktan bağlantıları düzenli olarak kontrol edin.
- Daha iyi inceleme: Sıkı doğrulama prosedürlerini uygulayın ve yalnızca e-posta referanslarına güvenmekten kaçının.
- Gelişmiş İzleme: Potansiyel tehditleri tespit edip bunlara derhal müdahale edebilmek için izlemeyi güçlendirin.
- Güvenlik farkındalığı: Çalışanlarınızı sosyal mühendislik ve karmaşık siber tehditler konusunda eğitin.
Bu olay, en dikkatli ve titiz olanların bile sosyal mühendislik saldırılarına kurban gidebileceğini vurguluyor. Ayrıca kimlik hırsızlığının yaygınlığına ve kötü niyetli aktörlerin bunu nasıl ustaca istismar edebileceğine dikkat çekiyor. Ancak, dikkatli olmaları nedeniyle KnowBe4 aldatmacayı hızla tespit etti ve daha önemli bir ihlali önlemek için gerekli adımları attı.