Recientemente, la empresa KnowBe4 ha vivido una experiencia que, aunque no resultó en una brecha de datos, destaca la importancia de estar siempre vigilantes ante amenazas internas sofisticadas. No sufrio una brecha de datos, ya que no se obtuvo acceso ilegal ni se perdió, comprometió o exfiltró información alguna. Este incidente debe verse como una oportunidad de aprendizaje organizacional.

KnowBe4 necesitaba un ingeniero de software para su equipo interno de inteligencia artificial (IA) de TI. Publicaron la oferta de empleo, recibieron currículums, realizaron entrevistas, verificaron antecedentes y referencias, y contrataron a la persona. Le enviaron su estación de trabajo Mac, y el momento en que la recibió, inmediatamente comenzó a cargar malware.

Proceso de contratación

El equipo de recursos humanos llevó a cabo cuatro entrevistas por videoconferencia en ocasiones separadas, confirmando que el individuo coincidía con la foto proporcionada en su solicitud. Además, realizaron una verificación de antecedentes y todas las demás comprobaciones previas a la contratación estándar, las cuales resultaron claras debido a que se utilizó una identidad robada. Esta era una persona real utilizando una identidad válida pero robada en los EE.UU. La foto estaba «mejorada» por IA.

Detección y respuesta

El software de detección y respuesta de endpoints (EDR) detectó la actividad maliciosa y alertó al Centro de Operaciones de Seguridad (SOC). El SOC llamó al nuevo empleado y le preguntó si podía ayudar. Ahí es cuando las cosas se pusieron turbias rápidamente. Compartieron los datos recopilados con Mandiant, un líder global en ciberseguridad, y con el FBI, para corroborar los hallazgos iniciales. Resulta que se trataba de un trabajador de TI falso de Corea del Norte. La foto que utilizo es un montaje de IA que comenzó con una fotografía de stock.

Detalles del Incidente

Este informe cubre la investigación del empleado con ID: XXXX contratado como Ingeniero principal de Software. El 15 de julio de 2024, se detectaron una serie de actividades sospechosas en la cuenta de ese usuario. Basándose en la evaluación del equipo del SOC, descubrieron que esto podría haber sido intencional por parte del usuario y se sospechó que podría ser una amenaza interna o un actor estatal.

El atacante realizó varias acciones para manipular archivos de historial de sesiones, transferir archivos potencialmente dañinos y ejecutar software no autorizado. Utilizó un Raspberry Pi para descargar el malware. El SOC intentó obtener más detalles del empleado, incluyendo llamarlo. XXXX indicó que no estaba disponible para una llamada y luego dejó de responder. Alrededor de las 10:20 p.m. EST, el SOC contuvo el dispositivo de XXXX.

Tácticas y estrategias del atacante

El trabajador falso solicita que su estación de trabajo sea enviada a una dirección que básicamente es una «granja de laptops mulas de TI». Luego, se conecta a través de VPN desde donde realmente está físicamente (Corea del Norte o cerca de la frontera con China) y trabaja en el turno nocturno para que parezca que trabaja en el horario diurno de EE.UU. El fraude consiste en que realmente están haciendo el trabajo, se les paga bien y entregan una gran cantidad a Corea del Norte para financiar sus programas ilegales. No hace falta mencionar el grave riesgo de esto.

Nuevas técnicas y medidas de diligencia debida

Esta actualización identifica nuevas técnicas utilizadas por los trabajadores de TI de la RPDC desde la emisión de los avisos de 2022, incluyendo nuevos indicadores de posible actividad de estos trabajadores y medidas adicionales de diligencia debida que la comunidad internacional, el sector privado y el público pueden tomar para prevenir la contratación de trabajadores de TI norcoreanos. La contratación o apoyo a estos trabajadores continúa representando numerosos riesgos, que van desde el robo de propiedad intelectual, datos y fondos, hasta daños reputacionales y consecuencias legales, incluyendo sanciones bajo las autoridades de EE.UU., ROK y las Naciones Unidas (ONU).

Indicadores adicionales de potencial actividad de trabajadores de TI de la RPDC

  • Reticencia o incapacidad para aparecer en Cámara: Los trabajadores muestran una resistencia o incapacidad para participar en entrevistas o reuniones por video. Cuando aparecen, hay inconsistencias en cuanto a la hora, ubicación o apariencia.
  • Preocupación excesiva por requisitos de pruebas de drogas o reuniones en persona: Exhiben una excesiva preocupación o incapacidad para cumplir con estos requisitos.
  • Indicaciones de trampa en pruebas de codificación o cuestionarios de empleo: Pausas excesivas, movimientos oculares que indican lectura, y respuestas incorrectas pero plausibles son señales de engaño.
  • Perfiles en redes sociales inconsistentes: Perfiles online que no coinciden con el currículum proporcionado, múltiples perfiles con diferentes fotos o perfiles sin foto.
  • Direcciones de entrega sospechosas: Direcciones para la provisión de materiales de la empresa son de empresas de reenvío de carga o cambian rápidamente tras la contratación.
  • Educación en universidades asiáticas con empleo principalmente en Occidente: La educación se lista en universidades de China, Japón, Singapur, Malasia u otros países asiáticos, con empleos casi exclusivamente en EE.UU., ROK y Canadá.
  • Solicitudes repetidas de prepago: Solicitudes frecuentes de prepago y comportamiento agresivo cuando se niega.
  • Amenazas de divulgación de código fuente propietario: Amenazan con liberar códigos fuentes si no se realizan pagos adicionales.
  • Problemas de cuentas y cambios frecuentes: Problemas con cuentas en varios proveedores, cambios de cuentas y solicitudes de usar otras empresas de freelancers o métodos de pago.
  • Preferencias de idioma: Preferencias de idioma en coreano, pero afirman ser de países o regiones no coreano-parlantes.

Medidas adicionales de diligencia debida

  • Solicitar documentación de verificación de antecedentes: Si se usan empresas de personal o subcontratación, solicitar documentación de sus procesos de verificación de antecedentes. Si no se puede proporcionar, asumir que no se ha realizado y hacer la verificación por cuenta propia.
  • Verificaciones de diligencia debida en trabajadores: Realizar verificaciones de diligencia debida en los individuos proporcionados por empresas de personal o desarrolladores de software terceros.
  • No aceptar documentación de verificación de fuentes no confiables: Proporcionar un formulario de liberación para realizar la verificación de antecedentes en lugar de aceptar documentación de autoridades locales no confiables.
  • Solicitar cheques anulados o documentación certificada de instituciones financieras: Verificar que los números de cheque y ruta coincidan con un banco real y no pertenezcan a un negocio de servicios monetarios.
  • Mantener registros de todas las interacciones: Incluyendo grabaciones de entrevistas en video.
  • Prohibir el uso de protocolos de escritorio remoto: En todos los dispositivos de la empresa y prohibir aplicaciones de escritorio remoto para el trabajo.
  • Bloquear permisos administrativos e instalar software de monitoreo de amenazas internas: En los dispositivos de la empresa.
  • Requerir entrega con firma de dispositivos de la empresa: Asegurar que los dispositivos no se envíen a direcciones distintas a las ubicaciones de trabajo designadas.
  • Requerir pruebas de identidad notarizadas: Durante la verificación en video.
  • Verificación de ubicación durante la verificación en video: Solicitar a los individuos que muestren su ubicación.
  • Localización regular de portátiles de la empresa: Verificar que coincidan con las direcciones de los empleados.
  • Prohibir el uso de VPN comerciales: Al acceder a las redes de la empresa.
  • Implementar políticas de confianza Cero y necesidad de saber: Evitar conceder acceso a información propietaria.
  • Usar plataformas de Freelancers con reputacion: Que ofrezcan medidas robustas para verificar identidades y calificaciones.
  • Evitar reclutamiento directo mediante competencias Online: Aplicar medidas reforzadas para verificar identidades.

Recomendaciones para prevenir este tipo de incidentes

  • Escanear dispositivos remotos: Asegurarse de que nadie se conecte remotamente a estos.
  • Mejorar la verificación: Asegurarse de que las personas estén físicamente donde se supone que deben estar.
  • Revisión exhaustiva de currículums: Buscar inconsistencias en las carreras profesionales.
  • Uso de videoconferencias: Obtener a las personas en cámara y preguntarles sobre el trabajo que están haciendo.
  • Dirección de envío de la laptop: Diferente de donde se supone que viven/trabajan es una señal de alerta.

Mejoras de proceso recomendadas

  • Verificación de antecedentes: Parece inadecuada. Los nombres utilizados no eran consistentes.
  • Referencias: Potencialmente no verificadas adecuadamente. No confiar solo en referencias por correo electrónico.
  • Monitoreo mejorado: Implementar monitoreo mejorado para cualquier intento continuo de acceder a los sistemas.
  • Revisión y fortalecimiento de controles de acceso: Revisar y fortalecer los procesos de autenticación y controles de acceso.
  • Entrenamiento de concientización en seguridad: Capacitar a los empleados, enfatizando las tácticas de ingeniería social.

Señales de alerta a tener en Cuenta

  • Uso de números VOIP y falta de huella digital: Para la información de contacto proporcionada.
  • Discrepancias en la dirección y fecha de nacimiento: A través de diferentes fuentes.
  • Información personal conflictiva: Estado civil, «emergencias familiares» que expliquen la falta de disponibilidad.
  • Uso sofisticado de VPNs o máquinas virtuales: Para acceder a los sistemas de la empresa.
  • Intento de ejecutar malware: Y esfuerzos subsecuentes para encubrirlo.

Este es un anillo criminal bien organizado, patrocinado por el Estado, con amplios recursos. El caso destaca la necesidad crítica de procesos de verificación más robustos, monitoreo de seguridad continuo y una mejor coordinación entre RRHH, TI y equipos de seguridad para protegerse contra amenazas persistentes avanzadas.

Un incidente asi, subraya la importancia de estar siempre un paso adelante en la ciberseguridad, implementando controles rigurosos y manteniéndose alerta ante las amenazas sofisticadas que pueden surgir incluso desde dentro de la organización.

Fuente: https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us