Слева стоковое фото; справа фото, предоставленное мошенником в резюме
Американская компания KnowBe4 случайно наняла хакера из Северной Кореи. Ему удалось успешно пройти собеседования, а фотографию для резюме он создал, обработав стоковое фото при помощи нейросетей.
Как рассказывает президент KnowBe4 Стю Сьюверман, поиск кандидата проходил по стандартной схеме: компания разместила вакансию, получила несколько резюме, HR-отдел провёл собеседования. После проверки данных в резюме кандидата команда приняла его на работу и отправила ему рабочий Mac, с которого в системы компании сразу же начало загружаться вредоносное ПО.
Как уточняет Сьюверман, HR-отдел провёл четыре собеседования по видеосвязи и тщательно проверил данные в анкете. Кандидат не вызвал подозрений, так как использовал украденные данные реального человека и внешне был похож на предоставленную фотографию.
По словам Сьювермана, почти сразу после того, как новый сотрудник получил рабочий Mac, системы EDR компании обнаружили потенциальную угрозу и предупредили о ней оперативный центр по безопасности (SOC).
«Специалисты SOC позвонили новому сотруднику и спросили, чем они могут помочь. Вот тогда всё быстро пошло наперекосяк», — пишет Сьюверман.
Новый сотрудник объяснил, что пытался настроить маршрутизатор, и, возможно, это привело к компрометации. На самом деле он попытался манипулировать файлами истории сеансов, передать в сеть потенциально опасные файлы и запустить вредоносное ПО. Служба безопасности попыталась ещё раз связаться с новым сотрудником и позвонила ему, но он был недоступен. Через 25 минут после начала атаки SOC заблокировала его компьютер.
Анализ показал, что попытки загрузить вредоносное ПО были намеренными. KnowBe4 сообщила об инциденте экспертам по кибербезопасности компании Mandiant, а также ФБР. Расследование показало, что фальшивый сотрудник оказался хакером из Северной Кореи.
«Схема выглядит так: фальшивый сотрудник просит отправить его рабочий компьютер или ноутбук на адрес, который, по сути, представляет собой просто «ферму ноутбуков». Затем он подключается к рабочему устройству через VPN оттуда, где он физически находится (в данном случае Северная Корея) и работает в ночную смену, так что создаётся впечатление, что человек трудится в дневное время в США», — поясняет Сьюверман. По его словам, многие такие мошенники действительно работают и получают хорошую зарплату, которую они передают правительству для финансирования его деятельности.
В 2023 году представители ФБР и Министерства юстиции США сообщили, что тысячи удалённых программистов в американских компаниях — граждане КНДР. В течение нескольких лет эти специалисты отправляли миллионы долларов из своих зарплат на финансирование программы по разработке баллистических ракет, считают американские ведомства.
Схема настолько распространена, что работодателям следует проявлять особую бдительность при наборе персонала, в том числе проводить собеседования по видеосвязи, уточнили в ФБР. Компаниям также советуют предпринимать активные шаги в отношении удалённых специалистов, чтобы злоумышленникам было сложнее скрыть свою личность.
В мае Министерство юстиции США сообщило о результатах расследования, которое выявило, что в течение трёх лет (с октября 2022 года) гражданка страны Кристина Чепмен помогала северокорейским IT-работникам получить «незаконную удалённую работу», используя поддельные или реальные личности граждан США. По информации следователей, востребованные северокорейские IT-специалисты могли зарабатывать удалённо до $300 тыс. в год каждый, используя фальшивые или украденные документы, удостоверяющие личность.
Источник: habr.com
