駭客利用深偽技術線上應徵工作得逞，資安業者KnowBe4傳出不慎僱用北韓駭客，察覺異狀並尋求FBI協助調查

兩年前美國政府發出警告，北韓政府派出具備IT開發能力的商業間諜，透過自由工作者招募平臺、社交網站、數位支付系統等管道，於全球市場求職，但這些人士不光只是為北韓政府賺錢，一旦企業僱用他們，就有可能面臨資料外洩及資金遭竊的風險，如今這樣的情況，真實發生在一家資安業者身上，而且，差一點就可能造成內部資料外洩的危機。

7月24日資安意識教育訓練業者KnowBe4揭露他們近期遭遇的內部威脅資安事故，該公司最近為內部的IT AI團隊招募軟體工程師，他們發布求才訊息，並在收到履歷後安排面試、查核應徵者的背景、驗證推薦者等程序，最後決定聘僱。但該公司向這名新進人員提供Mac電腦工作站之後，奇怪的事情發生：這臺電腦竟然開始被載入惡意軟體。

該公司指出，人力資源（HR）團隊其實相當盡力進行相關的檢查，他們在不同場合安排了4次視訊會議面試，並儘可能確認應徵者是履歷當中的本人，而且，該團隊也進行身家調查，以及執行就職前的其他標準審查流程。然而，對方雖然是真實人物，但這位應徵的工作者其實是濫用遭竊的美國公民身分，並使用Deepfake手法，透過AI「強化」照片。

資安業者KnowBe4發現，這名軟體工程師履歷上使用的照片，是透過AI技術進行變造，對方將原始的左圖西方人的臉孔透過Deepfake變造，產生右邊看起來像東方人的照片。

在該公司的EDR系統偵測到異狀並向資安營運中心（SOC）發出警訊，SOC向該名新員工詢問是否需要協助。在此同時，該公司也向資安業者Mandiant、美國聯邦調查局（FBI）共享收集到的資料與初步的調查結果，從而確認這是來自北韓的假IT人員。

基於FBI已介入調查此事，KnowBe4表明他們無法說明完整的細節，但還是透露了整起事故察覺異狀的經過。

該公司在今年7月15日，察覺新進的主任軟體工程師使用者帳號出現一系統可疑活動，SOC團隊向這名工程師進一步確認這些惡意活動及可能發生的根本原因，對方宣稱他的路由器出現速度異常的情況，懷疑有可能是遭到網路攻擊造成，正依照路由器的手冊排除故障。

他們發現這名工程師意圖藉由各種手法來操縱網路連線的記錄資料，並傳輸含有潛在風險的檔案，以及執行未經授權的軟體，而存取惡意軟體的管道，是透過樹莓派裝置來下載。SOC想要進一步聯繫這名工程師，對方表明無法接聽電話，接下來就不再回應。

根據該公司SOC的發現，他們懷疑這名員工的身分不單純，很有可能是國家級駭客，從而啟動進一步的調查。值得慶幸的是，該公司新員工會處於高度管制的環境，無法存取正式的生產力系統，而免於內部資料外流的危險，再者，該公司的資安系統適時察覺異狀，而能及早讓對方的意圖曝光，因此，他們的內部正式生產力系統並未遭到入侵，也沒有機敏資料外流的情況。

該公司也對他們在查核對方身分真實性的流程，發現可能存在瑕疵的地方，例如，人資部門可能對於背景調查不夠充分，因為後來他們發現對方使用的名稱前後出現不一致的情況；再者，他們發現審查相關資料不夠嚴謹，很有可能依賴對方提供的電子郵件做為參考依據而上當。

但究竟這些北韓駭客如何從事相關工作，而能夠騙過美國企業的耳目？該公司表示，對方成功取得相關工作職位後，通常會要求企業將公務電腦寄送到「IT騾子筆電農場（IT Mule Laptop Farm）」，然後半夜透過VPN從實際所在的地理位置（通常是北韓或中國邊界地區）存取，執行公司指派的任務，如此一來，這些「員工」看起來就在美國的白天時間正常上下班工作。