Amerikan siber güvenlik şirketi KnowBe4, yakın zamanda Baş Yazılım Mühendisi olarak işe aldığı kişinin, cihazlarına bilgi çalma girişiminde bulunan bir Kuzey Koreli devlet aktörü olduğunu açıkladı.
Şirket kötü amaçlı eylemleri zamanında tespit edip durdurdu, bu nedenle veri ihlali gerçekleşmedi. Ancak, dava, BT personeli gibi davranan Kuzey Koreli tehdit aktörlerinin oluşturduğu devam eden tehdidi vurguluyor; FBI’ın 2023’ten beri defalarca uyardığı bir şey.
Kuzey Kore, yüzlerce Amerikan firmasında işe girebilmek için gerçek kimliklerini gizleyen, oldukça organize bir bilişim çalışanları ordusu bulunduruyor.
Bu çalışanların elde ettiği gelir, ülkenin silah programlarını ve siber operasyonlarını finanse etmek ve istihbarat toplamak için kullanılıyor.
AI destekli maskeleme
KnowBe4, tehdit aktörü işe alınmadan önce geçmiş kontrolleri yaptı, verilen referansları doğruladı ve gerçek bir kişi olduğundan ve yüzünün özgeçmişindeki yüzle eşleştiğinden emin olmak için dört video görüşmesi gerçekleştirdi.
Ancak daha sonra söz konusu kişinin ön kontrolleri atlatmak için bir ABD vatandaşının çalıntı kimliğini sunduğu, ayrıca yapay zeka araçlarını kullanarak bir profil resmi oluşturup görüntülü konferans görüşmeleri sırasında bu yüzü eşleştirdiği tespit edildi.
Güvenlik farkındalığı eğitimleri ve kimlik avı simülasyonları konusunda uzmanlaşmış KnowBe4, 15 Temmuz 2024’te EDR ürününde yeni işe alınan kişiye gönderilen Mac iş istasyonundan kötü amaçlı yazılım yükleme girişimi bildirdiğinde bir şeylerin ters gittiğinden şüphelendi.
KnowBe4 sözcüsü BleepingComputer’a yaptığı açıklamada, kötü amaçlı yazılımın web tarayıcılarında depolanan verileri hedef alan bir bilgi hırsızı olduğunu ve kötü niyetli çalışanın büyük ihtimalle kendisine verilmeden önce bilgisayarda bırakılan bilgileri çalmayı umduğunu söyledi.
“Saldırgan, [have used] KnowBe4 sözcüsü BleepingComputer’a yaptığı açıklamada, “Bunun amacı, bir BT departmanının ilk sağlama süreci sonucunda önceki tarayıcı oturumlarından kalan kimlik bilgilerini bulmak veya daha önce farklı bir çalışana verilen eksik veya düzgün bir şekilde silinmemiş bir dizüstü bilgisayardan kalan bilgileri çıkarmaktır.” dedi.
Firmanın bilişim personeli tarafından konuyla ilgili sorguya alınan devlet görevlisi, ilk başta bahaneler üretti ancak kısa süre sonra tüm iletişimi kesti.
“Bu uyarılar geldiğinde KnowBe4’ün SOC ekibi anormal etkinlik ve olası neden hakkında bilgi almak için kullanıcıyla iletişime geçti. XXXX (tehdit aktörü) SOC’ye bir hız sorununu gidermek için yönlendirici kılavuzundaki adımları izlediğini ve bunun bir tehlikeye yol açmış olabileceğini söyledi.
Saldırgan, oturum geçmişi dosyalarını manipüle etmek, potansiyel olarak zararlı dosyaları aktarmak ve yetkisiz yazılımları çalıştırmak için çeşitli eylemler gerçekleştirdi. Kötü amaçlı yazılımı indirmek için bir Raspberry Pi kullandı. SOC, XXXX’ten onu bir aramaya dahil olmak üzere daha fazla ayrıntı almaya çalıştı. XXXX, bir aramaya katılamayacağını belirtti ve daha sonra tepkisiz hale geldi.”
❖ Bilin4
KnowBe4 CEO’su Stu Sjouwerman’ın paylaştığı bir yazıda, dolandırıcılığın işvereni kandırarak iş istasyonunu dolandırıcının başvuruda ev adresi olarak belirttiği yerin yakınındaki bir “BT dizüstü bilgisayar çiftliğine” göndermeye çalıştığı belirtiliyor.
Daha sonra gece vakti VPN kullanarak o cihaza bağlanıyorlar, böylece ABD saatine göre çalışıyormuş gibi görünüyorlar ve kendilerine verilen görevleri normal şekilde yerine getiriyorlar.
KnowBe4, bu riski azaltmak için firmaların yeni işe alımlar için en kritik ağ parçalarından izole edilmiş bir deneme ortamı sağlamasını öneriyor.
Şirket ayrıca yeni işe alınanların harici cihazlarının uzaktan kullanılmamasını sağlamayı ve teslimat adresindeki tutarsızlıkları kırmızı bayrak olarak değerlendirmeyi öneriyor.
