KnowBe4
兩年前美國政府發出警告,北韓政府派出具備IT開發能力的商業間諜,透過自由工作者招募平臺、社交網站、數位支付系統等管道,於全球市場求職,但這些人士不光只是為北韓政府賺錢,一旦企業僱用他們,就有可能面臨資料外洩及資金遭竊的風險,如今這樣的情況,真實發生在一家資安業者身上,而且,差一點就可能造成內部資料外洩的危機。
7月24日資安意識教育訓練業者KnowBe4揭露他們近期遭遇的內部威脅資安事故,該公司最近為內部的IT AI團隊招募軟體工程師,他們發布求才訊息,並在收到履歷後安排面試、查核應徵者的背景、驗證推薦者等程序,最後決定聘僱。但該公司向這名新進人員提供Mac電腦工作站之後,奇怪的事情發生:這臺電腦竟然開始被載入惡意軟體。
該公司指出,人力資源(HR)團隊其實相當盡力進行相關的檢查,他們在不同場合安排了4次視訊會議面試,並儘可能確認應徵者是履歷當中的本人,而且,該團隊也進行身家調查,以及執行就職前的其他標準審查流程。然而,對方雖然是真實人物,但這位應徵的工作者其實是濫用遭竊的美國公民身分,並使用Deepfake手法,透過AI「強化」照片。
資安業者KnowBe4發現,這名軟體工程師履歷上使用的照片,是透過AI技術進行變造,對方將原始的左圖西方人的臉孔透過Deepfake變造,產生右邊看起來像東方人的照片。
在該公司的EDR系統偵測到異狀並向資安營運中心(SOC)發出警訊,SOC向該名新員工詢問是否需要協助。在此同時,該公司也向資安業者Mandiant、美國聯邦調查局(FBI)共享收集到的資料與初步的調查結果,從而確認這是來自北韓的假IT人員。
基於FBI已介入調查此事,KnowBe4表明他們無法說明完整的細節,但還是透露了整起事故察覺異狀的經過。
該公司在今年7月15日,察覺新進的主任軟體工程師使用者帳號出現一系統可疑活動,SOC團隊向這名工程師進一步確認這些惡意活動及可能發生的根本原因,對方宣稱他的路由器出現速度異常的情況,懷疑有可能是遭到網路攻擊造成,正依照路由器的手冊排除故障。
他們發現這名工程師意圖藉由各種手法來操縱網路連線的記錄資料,並傳輸含有潛在風險的檔案,以及執行未經授權的軟體,而存取惡意軟體的管道,是透過樹莓派裝置來下載。SOC想要進一步聯繫這名工程師,對方表明無法接聽電話,接下來就不再回應。
根據該公司SOC的發現,他們懷疑這名員工的身分不單純,很有可能是國家級駭客,從而啟動進一步的調查。值得慶幸的是,該公司新員工會處於高度管制的環境,無法存取正式的生產力系統,而免於內部資料外流的危險,再者,該公司的資安系統適時察覺異狀,而能及早讓對方的意圖曝光,因此,他們的內部正式生產力系統並未遭到入侵,也沒有機敏資料外流的情況。
該公司也對他們在查核對方身分真實性的流程,發現可能存在瑕疵的地方,例如,人資部門可能對於背景調查不夠充分,因為後來他們發現對方使用的名稱前後出現不一致的情況;再者,他們發現審查相關資料不夠嚴謹,很有可能依賴對方提供的電子郵件做為參考依據而上當。
但究竟這些北韓駭客如何從事相關工作,而能夠騙過美國企業的耳目?該公司表示,對方成功取得相關工作職位後,通常會要求企業將公務電腦寄送到「IT騾子筆電農場(IT Mule Laptop Farm)」,然後半夜透過VPN從實際所在的地理位置(通常是北韓或中國邊界地區)存取,執行公司指派的任務,如此一來,這些「員工」看起來就在美國的白天時間正常上下班工作。
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-02