Zusammenfassung des Berichts zum Vorfall: Bedrohung durch Insider
Zuallererst: Es wurde kein illegaler Zugang erlangt, und es sind keine Daten auf KnowBe4-Systemen verloren gegangen, kompromittiert oder exfiltriert worden. Hierbei handelt es sich nicht um eine Meldung über eine Datenschutzverletzung, da keine solche stattgefunden hat. Betrachten wir es vielmehr als einen hilfreichen Lerneffekt, den wir mit Ihnen teilen möchte. Wenn es uns passieren kann, kann es fast jedem passieren. Lassen Sie es nicht zu, dass es auch Ihnen passiert. Wir haben eine FAQ verfasst, die Fragen von Kunden beantwortet.
TLDR: KnowBe4 brauchte einen Software-Ingenieur für unser internes IT-KI-Team. Wir haben die Stelle ausgeschrieben, Lebensläufe erhalten, Vorstellungsgespräche geführt, Hintergrundprüfungen durchgeführt, Referenzen überprüft und die Person eingestellt. Wir teilten mit ihm seinen Mac-Arbeitsplatz, und sobald er Zugang hatte, begann er sofort, Malware zu laden.
Unser HR-Team führte vier Vorstellungsgespräche per Videokonferenz durch und bestätigte, dass die Person mit dem Foto in ihrer Bewerbung übereinstimmte. Darüber hinaus wurden ein Background-Check und alle anderen standardmäßigen Überprüfungen vor der Einstellung durchgeführt und ergaben, dass es sich um eine gestohlene Identität handelte. Es handelte sich um eine echte Person mit einer gültigen, aber gestohlenen US-Identität. Das Bild war mithilfe von KI verändert worden.
Die EDR-Software erkannte es und alarmierte unser InfoSec Security Operations Center. Das SOC rief den neuen Mitarbeiter an und fragte, ob sie helfen könnten. Und dann wurde es schnell brenzlig. Wir teilten die gesammelten Daten mit unseren Freunden bei Mandiant, einem weltweit führenden Experten für Cybersicherheit, und dem FBI, um unsere ersten Erkenntnisse zu bestätigen. Es stellte sich heraus, dass es sich um einen gefälschten IT-Mitarbeiter aus Nordkorea handelte. Bei dem Bild, das Sie sehen, handelt es sich um eine KI-Fälschung, die zunächst mit Stockfotos erstellt wurde (siehe unten). Die folgende Zusammenfassung ist nicht sehr detailliert, da die Ermittlungen des FBI noch nicht abgeschlossen sind.
Zusammenfassung: Dieser Bericht befasst sich mit der Untersuchung des Mitarbeiters ID: XXXX, der als Principal Software Engineer eingestellt wurde. Am 15. Juli 2024 wurde eine Reihe von verdächtigen Aktivitäten auf diesem Benutzerkonto entdeckt. Die Auswertung der Aktivitäten durch das SOC-Team ergab, dass dies möglicherweise vom Benutzer beabsichtigt war und der Verdacht bestand, dass es sich um eine Insider-Bedrohung oder einen staatlichen Bedrohungsakteur handelt. Nach einer ersten Untersuchung und der Eingrenzung des Hosts fand eine detailliertere Untersuchung des neuen Mitarbeiters statt.
Am 15. Juli 2024 wurde eine Reihe verdächtiger Aktivitäten des Benutzers entdeckt, die um 21:55 Uhr EST begannen. Als diese Warnungen eintrafen, wandte sich das SOC-Team von KnowBe4 an den Benutzer, um sich über die anomalen Aktivitäten und die mögliche Ursache zu erkundigen. XXXX antwortete dem SOC, dass er die Schritte in der Anleitung seines Routers befolgte, um ein Geschwindigkeitsproblem zu beheben, und dass dies möglicherweise eine Kompromittierung verursacht hat
Der Angreifer führte verschiedene Aktionen durch, um Sitzungsverlaufsdateien zu manipulieren, potenziell schädliche Dateien zu übertragen und nicht autorisierte Software auszuführen. Er verwendete einen Raspberry Pi, um die Schadsoftware herunterzuladen. Die SOC versuchte, weitere Details von XXXX zu erfahren und ihn anzurufen. XXXX gab an, dass er für einen Anruf nicht verfügbar sei und später nicht mehr reagierte. Gegen 22:20 Uhr EST stellte die SOC das Gerät von XXXX sicher.
Das Ganze funktioniert so, dass der falsche Mitarbeiter darum bittet, seinen Arbeitsplatz an eine Adresse zu schicken, die im Grunde eine „IT-Maultier-Laptop-Farm" ist. Sie melden sich dann per VPN von ihrem tatsächlichen Aufenthaltsort aus an (Nordkorea oder China) und arbeiten in der Nachtschicht, so dass es so aussieht, als würden sie tagsüber in den USA arbeiten. Der Betrug besteht darin, dass sie tatsächlich die Arbeit verrichten, gut bezahlt werden und einen großen Betrag an Nordkorea zur Finanzierung seiner illegalen Programme überweisen. Ich muss Ihnen nicht sagen, wie groß das Risiko ist. Es ist gut, dass wir neue Mitarbeiter zu Beginn in einem streng gesicherten Bereich unterbringen, in dem sie keinen Zugang zu den Produktionssystemen haben. Unsere Kontrollen haben es aufgefangen, aber das war sicher ein lehrreicher Moment, den wir gerne mit allen teilen möchten.
Tipps, um dies in Zukunft zu verhindern
- Scannen Sie Ihre Remote-Geräte, um sicherzustellen, dass sich niemand in diese Geräte einwählt.
- Bessere Überprüfung, um sicherzugehen, dass die Mitarbeiter auch wirklich dort sind, wo sie sein sollen.
- Bessere Überprüfung des Lebenslaufs auf berufliche Unstimmigkeiten.
- Holen Sie sich diese Leute vor die Videokamera und befragen Sie sie zu ihrer Arbeit.
- Wenn die Lieferadresse des Laptops nicht mit dem Wohn-/Arbeitsort übereinstimmt, ist das ein Warnsignal.
Empfehlungen zur Verbesserung der Prozesse
- Die Hintergrundüberprüfung erscheint unzureichend. Die verwendeten Namen waren nicht einheitlich.erences only.
- Die Referenzen wurden möglicherweise nicht ordnungsgemäß überprüft. Verlassen Sie sich nicht nur auf E-Mail-Referenzen.
- Verstärkte Überwachung aller fortgesetzten Versuche, auf Systeme zuzugreifen, einführen.
- Überprüfen und verstärken Sie die Zugangskontrollen und Authentifizierungsprozesse.
- Durchführung von Sicherheitsschulungen für Mitarbeiter unter besonderer Berücksichtigung von Social-Engineering-Taktiken.
Worauf noch zu achten ist:
- Verwendung von VOIP-Nummern und Fehlen eines digitalen Fußabdrucks für die angegebenen Kontaktinformationen
- Unstimmigkeiten bei Adresse und Geburtsdatum in verschiedenen Quellen
- Widersprüchliche persönliche Angaben (Familienstand, "familiäre Notfälle" als Erklärung für die Nichtverfügbarkeit)
- Ausgeklügelte Nutzung von VPNs oder VMs für den Zugriff auf Unternehmenssysteme
- Versuch der Ausführung von Schadsoftware und anschließende Vertuschungsversuche
Melde den Vorfall der Humans Resources Abteilung:
Die Person hat ein hohes Maß an Raffinesse bewiesen, indem sie eine glaubwürdige gefälschte Identität geschaffen, Schwachstellen in den Einstellungs- und Hintergrundprüfungsverfahren ausgenutzt und versucht hat, in den Systemen der Organisation Fuß zu fassen.
Es handelt sich um einen gut organisierte, staatlich geförderte, Vereinigung von Bedrohungsakteuren mit umfangreichen Ressourcen. Der Fall macht deutlich, wie wichtig robuste Überprüfungsprozesse, eine kontinuierliche Sicherheitsüberwachung und eine bessere Koordinierung zwischen Personal-, IT- und Sicherheitsteams zum Schutz vor hochentwickelten anhaltenden Bedrohungen sind. Links ist das Originalbild zu sehen.
Das rechte Bild zeigt die KI-Fälschung, die der Personalabteilung vorgelegt wurde
Weiterführende Informationen finden Sie hier:
- Die US-Regierung ist sich dieser Bedrohung bewusst und warnt bereits seit 2022 vor ihr.
- Google: Prognose über die Cyberstruktur und -ausrichtung von Nordkorea im Jahr 2023
- Mandiant-Podcast auf Spotify: Die nordkoreanischen IT-Arbeiter
- Mandiant-Blog
- Brian Krebs teilte den Beitrag auf LinkedIn
Zurück zu KnowBe4 Security Blog
Demo anfragen: Security Awareness Training
New-school Security Awareness Training ist entscheidend, damit Sie und Ihr IT-Personal mit den Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. Dies ist keine einmalige Angelegenheit. Kontinuierliche Schulungen und simuliertes Phishing sind notwendig, um die Mitarbeiter:innen als Ihre letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der KnowBe4-Plattform für Sicherheitsschulungen und simuliertes Phishing an und sehen Sie, wie einfach es sein kann!
Demo anfragen
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo