KnowBe4, seorang vendor keamanan berbasis di AS, mengungkapkan bahwa mereka tidak sengaja mempekerjakan seorang peretas Korea Utara yang mencoba memasukkan malware ke dalam jaringan perusahaan. CEO dan pendiri KnowBe4, Stu Sjouwerman, menjelaskan insiden tersebut dalam sebuah posting blog minggu ini, menyebutnya sebagai sebuah kisah yang cukup menakutkan yang untungnya terdeteksi sebelum menimbulkan masalah besar.
Pertama-tama: Tidak ada akses ilegal yang diperoleh, dan tidak ada data yang hilang, dikompromikan, atau dieksfiltrasi dari sistem KnowBe4,” tulis Sjouwerman. “Ini bukan pemberitahuan pelanggaran data, tidak ada yang ada. Lihatlah sebagai sebuah momen pembelajaran organisasional yang saya bagikan dengan Anda. Jika itu bisa terjadi pada kami, itu bisa terjadi pada hampir siapa saja. Jangan biarkan itu terjadi pada Anda.”
KnowBe4 mengatakan bahwa mereka sedang mencari seorang insinyur perangkat lunak untuk tim AI TI internal mereka. Perusahaan tersebut mempekerjakan seseorang yang ternyata berasal dari Korea Utara dan “menggunakan identitas berbasis AS yang sah namun dicuri” dan foto yang “ditingkatkan” oleh kecerdasan buatan. Saat ini sedang berlangsung penyelidikan aktif oleh FBI karena tersangka bahwa pekerja tersebut adalah apa yang disebut posting blog KnowBe4 sebagai “Ancaman Insider/Aktor Negara.”
KnowBe4 beroperasi di 11 negara dan bermarkas besar di Florida. Mereka menyediakan pelatihan kesadaran keamanan, termasuk uji keamanan phishing, kepada pelanggan korporat. Jika Anda kadang-kadang menerima email phishing palsu dari majikan Anda, Anda mungkin bekerja untuk perusahaan yang menggunakan layanan KnowBe4 untuk menguji kemampuan karyawan mereka dalam mengenali penipuan.
Orang tersebut lulus pemeriksaan latar belakang dan wawancara video
KnowBe4 mempekerjakan peretas Korea Utara melalui proses biasa mereka. “Kami memasang iklan lowongan kerja, menerima resume, melakukan wawancara, melakukan pemeriksaan latar belakang, memverifikasi referensi, dan mempekerjakan orang tersebut. Kami mengirimkan tempat kerja Mac kepada mereka, dan saat diterima, langsung mulai memuat malware,” kata perusahaan tersebut.
Meskipun foto yang diberikan kepada HR adalah palsu, orang yang diwawancarai untuk pekerjaan tersebut tampaknya cukup mirip sehingga lolos. Tim HR KnowBe4 “melakukan empat wawancara berbasis konferensi video pada kesempatan terpisah, memastikan individu tersebut sesuai dengan foto yang diberikan pada aplikasinya,” tulis posting tersebut. “Selain itu, pemeriksaan latar belakang dan semua pemeriksaan pra-pekerjaan standar lainnya dilakukan dan kembali bersih karena identitas yang dicuri digunakan. Ini adalah orang nyata yang menggunakan identitas berbasis AS yang sah namun dicuri. Foto tersebut ‘ditingkatkan’ oleh kecerdasan buatan.”
Dua gambar di bagian atas cerita ini adalah foto stok dan apa yang diklaim KnowBe4 sebagai palsu AI berdasarkan foto stok. Foto stok ada di sebelah kiri, dan palsu AI ada di sebelah kanan.
Karyawan tersebut, yang disebut sebagai “XXXX” dalam posting blog, dipekerjakan sebagai insinyur perangkat lunak utama. Kegiatan mencurigakan dari karyawan baru tersebut telah diidentifikasi oleh perangkat lunak keamanan, yang kemudian mengarahkan Pusat Operasi Keamanan (SOC) KnowBe4 untuk menyelidiki:
Pada 15 Juli 2024, serangkaian aktivitas mencurigakan terdeteksi pada pengguna mulai pukul 9:55 malam EST. Ketika peringatan ini masuk, tim SOC KnowBe4 menghubungi pengguna untuk menanyakan tentang aktivitas aneh dan kemungkinan penyebabnya. XXXX menjawab SOC bahwa dia sedang mengikuti langkah-langkah pada panduan router untuk memperbaiki masalah kecepatan dan hal tersebut mungkin menyebabkan kompromi.
Penyerang melakukan berbagai tindakan untuk memanipulasi file riwayat sesi, mentransfer file berbahaya, dan menjalankan perangkat lunak tanpa izin. Dia menggunakan Raspberry Pi untuk mengunduh malware. SOC mencoba mendapatkan informasi lebih lanjut dari XXXX termasuk membawanya dalam panggilan. XXXX menyatakan bahwa dia tidak tersedia untuk panggilan dan kemudian tidak responsif. Sekitar pukul 10:20 malam EST, SOC menahan perangkat XXXX.
Analisis SOC menunjukkan bahwa pemuatan malware “mungkin disengaja oleh pengguna,” dan kelompok tersebut “mencurigai bahwa dia mungkin merupakan Ancaman Insider/Aktor Negara,” kata posting blog tersebut.
“Kami berbagi data yang terkumpul dengan teman-teman kami di Mandiant, pakar keamanan dunia terkemuka, dan FBI, untuk menguatkan temuan awal kami. Ternyata ini adalah pekerja IT palsu dari Korea Utara,” tulis Sjouwerman.
KnowBe4 mengatakan bahwa mereka tidak dapat memberikan banyak detail karena penyelidikan FBI yang sedang berlangsung. Namun, orang yang dipekerjakan untuk pekerjaan tersebut mungkin telah masuk ke komputer perusahaan secara remote dari Korea Utara, jelaskan Sjouwerman:
Cara kerja ini adalah bahwa pekerja palsu meminta tempat kerja mereka dikirim ke alamat yang pada dasarnya adalah “peternakan laptop kuli IT.” Mereka kemudian terhubung melalui VPN dari tempat fisik sebenarnya (Korea Utara atau di seberang perbatasan di China) dan bekerja shift malam sehingga terlihat bahwa mereka bekerja pada siang hari AS. Penipuan ini adalah bahwa mereka sebenarnya melakukan pekerjaan, dibayar dengan baik, dan memberikan sejumlah besar uang kepada Korea Utara untuk mendanai program ilegal mereka. Saya tidak perlu memberi tahu Anda tentang risiko yang sangat serius ini. Bagus bahwa kami memiliki karyawan baru di area yang sangat terbatas saat mereka mulai, dan tidak memiliki akses ke sistem produksi. Kontrol kami mendeteksinya, namun itu pasti adalah momen pembelajaran yang saya senang untuk berbagi dengan semua orang.
Cerita ini awalnya muncul di Ars Technica.