En un incidente que parece sacado de una película de espíass, KnowBe4, una empresa de entrenamiento de concienciación sobre seguridad, descubrió que un ingeniero de software remoto recientemente contratado era en realidad un actor de amenaza (hacker) norcoreano que utilizaba una identidad estadounidense robada y una fotografía modificada por IA. A pesar de un proceso de contratación exhaustivo que incluía entrevistas por video, verificaciones de antecedentes y referencias, el engaño sofisticado solo se descubrió después de que el nuevo empleado comenzó a cargar malware en un dispositivo. Lo curioso es que utilizaba IA también en las videollamadas para cambiar su apariencia y parecer estadounidense.
El incidente
El 15 de julio de 2024, el Centro de Operaciones de Seguridad (SOC) de InfoSec de KnowBe4 detectó actividades sospechosas en la cuenta del nuevo Ingeniero Principal de Software. El equipo de SOC contactó de inmediato al individuo, quien afirmó estar resolviendo un problema de enrutador.
Sin embargo, una investigación más profunda reveló que el nuevo empleado estaba manipulando archivos de historial de sesiones, transfiriendo archivos potencialmente dañinos y ejecutando software no autorizado. La rápida respuesta del equipo de SOC de KnowBe4, que incluyó la contención remota del dispositivo comprometido, evitó el acceso ilegal o la pérdida de datos.
Stu Sjouwerman, fundador y CEO de KnowBe4, enfatizó en una publicación que la propia empresa ha subido a su blog, la importancia de aprender de este incidente. Señaló que si algo así puede sucederles a ellos, puede sucederle a casi cualquier empresa. Subrayó la necesidad de utilizar tecnología avanzada de verificación de identidad y de realizar múltiples rondas de entrevistas por video para verificar la autenticidad del candidato. Desde una perspectiva de seguridad de la información, el monitoreo continuo es imperativo para detectar y responder rápidamente a actividades sospechosas. El software EDR de KnowBe4 fue crucial para identificar el intento de carga de malware.
Dejó de responder a las llamadas
La investigación interna de KnowBe4 comenzó cuando el equipo de SOC detectó una serie de actividades sospechosas del nuevo empleado. La computadora portátil Apple enviada al trabajador remoto fue marcada cuando se cargó malware en la máquina. Posteriormente, el equipo de SOC logró contener los sistemas del trabajador falso después de que dejó de responder a los intentos de contacto. Durante aproximadamente 25 minutos, el atacante realizó varias acciones para manipular archivos de historial de sesiones, transferir archivos potencialmente dañinos y ejecutar software no autorizado. El ataque fue sofisticado y demostró un alto nivel de organización y recursos, como la modificación de la apariencia física con IA hasta en videollamadass.
