Source: Slashdot
据CyberScoop报道,网络安全公司KnowBe4在周二的一篇博客文章中透露,一名远程软件工程师的聘用实际是一名使用被盗身份和AI增强图像的朝鲜威胁行为者。详细描述了一个看似彻底的面试过程,包括背景调查、核实的参考以及四次基于视频会议的面试,KnowBe4的创始人兼首席执行官Stu Sjouwerman表示,该工作者通过使用从美国个人那里盗窃的合法身份避免被抓住。内部调查始于KnowBe4的InfoSec安全运营中心团队发现“一系列可疑活动”来自这位新员工。该远程工作者收到了一台苹果笔记本电脑,公司于7月15日标记该设备,因为装载了恶意软件。
同时,公司的端点检测和响应软件对AI过滤的照片进行了标记。稍后那天晚上,在该员工停止回复联系后,SOC团队“遏制”了虚假员工的系统。在大约25分钟的时间内,“攻击者执行了各种操作,操纵了会话历史文件,传输了潜在有害文件,并执行了未经授权的软件,”Sjouwerman在文章中写道。他使用单板计算机raspberry pi下载了恶意软件。
此后,公司与FBI和谷歌旗下的网络公司Mandiant分享了其数据和发现,并得出结论,这位员工是一个虚构的角色,从朝鲜操作。KnowBe4表示,这位虚假员工可能将他的工作站连接到“基本上是一个‘IT骡子笔记本电脑农场’的地址。然后,他们会使用VPN从他们实际居住的地方——在这种情况下是朝鲜“或者在中国的边境之上”——进行夜班工作。这项工作将在晚上进行,使他们看起来在美国正常工作时间登录。
这种骗局在于他们实际上在工作,得到高薪,然后向朝鲜捐赠大量资金用于资助他们的非法计划,”Sjouwerman写道。我不必告诉你这种严重的风险。尽管遭到入侵,Sjouwerman表示“没有非法访问,也没有在任何KnowBe4系统上丢失、泄漏或外泄数据。他将这一事件归因于一名“展示了高度的复杂性,创造了一个可信身份”的威胁行为者,并确定了“招聘和背景调查过程中的弱点。
在众多面试环节和背景检查下,仍有高度复杂的威胁行为者成功伪装身份,这值得深思。" } ```