首先:
没有获得非法访问,也没有在任何 KnowBe4 系统上丢失、泄露或泄露数据。这不是数据泄露通知,没有。将其视为我与您分享的组织学习时刻。如果这可能发生在我们身上,那么它可能发生在几乎任何人身上。不要让它发生在你身上。
我们编写了一个常见问题解答
,回答了客户的问题。
故事于 2024 年 7 月 27 日更新。
TLDR:
KnowBe4 需要一名软件工程师加入我们的内部 IT AI 团队。我们发布了招聘信息,收到了简历,进行了面试,进行了背景调查,核实了推荐信,然后聘用了该人。我们将 Mac 工作站发送给了他们,收到后,它立即开始加载恶意软件。
我们的人力资源团队在不同场合进行了四次视频会议面试,确认应聘者与申请中提供的照片相符。此外,还进行了背景调查和所有其他标准的招聘前检查,结果显示,由于使用了被盗身份,因此没有发现任何可疑情况。这是一个真实的人,使用了一个有效但被盗的美国身份。照片是经过人工智能“增强”的。
EDR 软件检测到了它并向我们的 InfoSec 安全运营中心发出警报。SOC 打电话给新员工并询问他们是否可以提供帮助。就在那时,事情很快就变得可疑了。
我们与 Mandiant(一家全球领先的网络安全专家)和 FBI 的朋友分享了收集到的数据,以证实我们的初步发现。
原来这是一名来自朝鲜的假 IT 工作者。您看到的图片是 AI 伪造的,最初是从库存照片开始的(见下文)。以下摘要中的细节有限,因为这是 FBI 的一项积极调查。
摘要:
本报告涵盖对被聘为首席软件工程师的员工 ID:XXXX 的调查。2024 年 7 月 15 日,在该用户帐户上检测到一系列可疑活动。根据 SOC 团队对这些活动的评估,发现这可能是用户故意为之,并怀疑他可能是内部威胁/国家行为者。在初步调查和对主机的控制后,对新员工进行了更详细的调查。
2024 年 7 月 15 日,从美国东部时间晚上 9:55 开始,检测到用户出现了一系列可疑活动。收到这些警报后,KnowBe4 的 SOC 团队联系了用户,询问异常活动和可能的原因。XXXX 回复 SOC 说,他正在按照路由器指南上的步骤排除速度问题,这可能造成了损害。
攻击者执行了各种操作来操纵会话历史文件、传输潜在有害文件并执行未经授权的软件。他使用 Raspberry Pi 下载了恶意软件。SOC 试图从 XXXX 那里获取更多详细信息,包括给他打电话。XXXX 表示他无法接听电话,后来没有回应。美国东部时间晚上 10:20 左右,SOC 控制了 XXXX 的设备。
其工作原理是,假冒员工要求将他们的工作站发送到一个基本上是“IT 骡子笔记本电脑农场”的地址。然后他们从他们实际所在的地方(朝鲜或中国边境)通过 VPN 进入,并上夜班,这样他们看起来就像在美国白天工作一样。骗局是他们实际上在工作,获得丰厚的报酬,并向朝鲜提供大量资金来资助他们的非法计划。我不必告诉你这会带来多么严重的风险。新员工入职时处于高度受限制的区域,无法访问生产系统,这很好。我们的控制措施发现了这一点,但这肯定是一个学习的时刻,我很乐意与大家分享。
预防建议
建议的流程改进
需要注意的事项:
-
使用 VOIP 号码且提供的联系信息缺乏数字足迹
-
不同来源的地址和出生日期存在差异
