- KnowBe4 stellte unwissentlich einen nordkoreanischen Hacker ein, der versucht hatte, Malware ins Unternehmensnetzwerk zu laden. Stu Sjouwerman, CEO von KnowBe4, betonte, dass kein illegaler Zugriff erfolgte und keine Daten kompromittiert wurden. Der Hacker nutzte eine gestohlene US-Identität und künstlich veränderte Fotos, um eingestellt zu werden, und das FBI untersucht nun den Vorfall. Das Sicherheitsteam von KnowBe4 entdeckte verdächtige Aktivitäten und konnte das Gerät des Hackers schnell eindämmen. Der Hacker war möglicherweise Teil einer “Laptop-Farm” und schickte einen großen Teil seines Gehalts nach Nordkorea zur Finanzierung illegaler Programme.
KnowBe4, ein in den USA ansässiger Sicherheitsanbieter, enthüllte, dass er unwissentlich einen nordkoreanischen Hacker eingestellt hatte, der versuchte, Malware in das Netzwerk des Unternehmens zu laden. Stu Sjouwerman, CEO und Gründer von KnowBe4, beschrieb den Vorfall als eine Mahnung, die zum Glück erkannt wurde, bevor größere Schäden entstehen konnten. Sjouwerman betonte, dass kein illegaler Zugriff erfolgte und keine Daten kompromittiert oder exfiltriert wurden.
Eine Warnung für alle Unternehmen
KnowBe4 war auf der Suche nach einem Softwareentwickler für sein internes IT-AI-Team und stellte eine Person ein, die sich später als Nordkoreaner herausstellte und eine gültige, aber gestohlene US-Identität sowie künstlich veränderte Fotos verwendete. Jetzt läuft eine FBI-Untersuchung, da der Mitarbeiter möglicherweise eine Insider-Bedrohung oder ein Akteur eines Nationalstaates ist. KnowBe4, das in 11 Ländern tätig ist und seinen Sitz in Florida hat, bietet Schulungen zur Sensibilisierung für Sicherheitsrisiken, einschließlich Phishing-Tests, für Unternehmenskunden an.
Die betrügerische Person bestand einen Hintergrundcheck und mehrere Video-Interviews, was zeigt, wie raffiniert die Täuschung war. Der Hacker wurde als leitender Softwareentwickler eingestellt und das Sicherheitsteam von KnowBe4 bemerkte am 15. Juli 2024 verdächtige Aktivitäten auf dem Benutzerkonto zu einer ungewöhnlichen Uhrzeit. Die Sicherheitsoperationen von KnowBe4 fragten den Benutzer nach den auffälligen Aktivitäten, und der Mitarbeiter behauptete, er habe Probleme mit seinem Router.
Malware-Versuch vereitelt
Der Angreifer führte verschiedene Handlungen aus, um Sitzungsverlauf-Dateien zu manipulieren, potenziell schädliche Dateien zu übertragen und nicht autorisierte Software auszuführen, wobei ein Raspberry Pi verwendet wurde, um die Malware herunterzuladen. Das Sicherheitsüberwachungsteam versuchte, mehr Details vom Hacker zu erhalten, aber dieser wurde unkooperativ und später unerreichbar. Schließlich konnte das Sicherheitsteam das Gerät des Hackers um 22:20 Uhr EST eindämmen.
Die Analyse von KnowBe4 ergab, dass das Laden der Malware möglicherweise absichtlich vom Benutzer ausgeführt wurde, was zu der Vermutung führte, dass es sich um eine Insider-Bedrohung oder einen Akteur eines Nationalstaates handelte. Sjouwerman betonte die rasche Zusammenarbeit mit Mandiant und dem FBI, um die ersten Ergebnisse zu bestätigen. Es stellte sich heraus, dass der angebliche IT-Mitarbeiter aus Nordkorea stammte.
Arbeitsweise der Täuschung
Der gefälschte Mitarbeiter ließ sich sein Arbeitsgerät an eine Adresse senden, die im Wesentlichen eine “Laptop-Farm” für IT-Maultiere ist. Er nutzte dann eine VPN-Verbindung, um von Nordkorea oder über die Grenze in China aus zu arbeiten, und führte seine Arbeit während der US-Arbeitszeit durch. Der Betrug bestand darin, dass sie tatsächlich die Arbeit ausführen, gut bezahlt werden und einen großen Teil des Geldes nach Nordkorea schicken, um illegale Programme zu finanzieren.
Die Sicherheitskontrollen von KnowBe4 fingen den Betrugsversuch ab, was als wertvolle Lektion für alle Unternehmen dient, wie Sjouwerman unterstrich. Die Sicherheitssysteme des Unternehmens konnten die Bedrohung rechtzeitig identifizieren, was eine größere Krise verhinderte.
