Comment KnowBe4 a débusqué un pirate nord-coréen dans ses effectifs

Un acteur malveillant nord-coréen s’est fait passer pour un employé informatique dans l’équipe IA de KnowBe4. Il a été découvert avant de réussir à accéder au réseau corporate de l’entreprise de cybersécurité.

Dans un résumé de rapport d’incident publié mardi, le PDG de KnowBe4, Stu Sjouwerman, explique comment la société a découvert qu’un ingénieur logiciel principal, nouvellement embauché, était un acteur malveillant étatique nord-coréen ayant tenté de compromettre ses systèmes d’information. Le candidat avait pourtant été vérifié et interviewé avant de rejoindre l’équipe IA interne du spécialiste de la sensibilisation et de la formation à la cybersécurité.

Ce qui a mis la puce à l’oreille de KnowBe4, c’est une activité suspecte détectée le 15 juillet, et liée au poste de travail de la nouvelle recrue. Avant cela, tout semblait normal.

« Nous avons publié l’offre d’emploi, reçu des CV, mené des entretiens, effectué des vérifications des antécédents, vérifié les références et embauché la personne », raconte Stu Sjouwerman dans le rapport. Son poste de travail Mac a été envoyé à la nouvelle recrue. Mais voilà, « dès qu’il a été reçu, il a immédiatement commencé à charger des logiciels malveillants ».

Les outils de détection et de réponse (EDR) de KnowBe4 ont détecté l’activité malveillante et alerté le centre des opérations de sécurité (SOC). Mais la situation s’est aggravée après que le centre a appelé le nouvel employé et lui a demandé s’il pouvait aider à traiter l’alerte. En raison de la réponse insuffisante et de l’activité suspecte, KnowBe4 a évalué que le nouvel employé constituait une « menace interne/acteur étatique ».

« L’attaquant a effectué diverses actions pour manipuler les fichiers d’historique de session, transférer des fichiers potentiellement dangereux et exécuter des logiciels non autorisés. Il a utilisé un Raspberry Pi pour télécharger le logiciel malveillant », relate Stu Sjouwerman dans le rapport.

Une enquête menée avec Mandiant et le FBI a montré que l’acteur malveillant avait utilisé un deepfake pour obtenir l’emploi et un VPN pour tromper sur sa localisation géographique. « Notre équipe des ressources humaines a mené quatre entretiens en visioconférence à des occasions distinctes, confirmant que la personne correspondait à la photo fournie dans sa candidature », précise Stu Sjouwerman. Et d’ajouter qu’une « vérification des antécédents et toutes les autres vérifications préalables à l’embauche standard ont été effectuées et sont revenues positives en raison de l’utilisation d’une identité volée. C’était une vraie personne utilisant une identité américaine valide, mais volée. La photo était “améliorée” par IA ».

L’enquête a également mis en lumière le fonctionnement de la supercherie : le faux employé avait fait envoyer son poste de travail à une adresse servant de « ferme à mules d’ordinateurs portables ».

« De petits réseaux sont installés dans ces points de dépôt où une personne basée aux États-Unis allume les ordinateurs reçus et les configure pour être accessibles à distance. »

Le RSSI de KnowBe4, Brian Jack, explique le fonctionnement de ces fermes : « la plupart de ces individus qui tentent d’obtenir un emploi ne se trouvent pas physiquement aux États-Unis. Pour pouvoir travailler, ils ont besoin d’un emplacement aux États-Unis pour l’envoi du matériel ». Dès lors, « de petits réseaux sont installés dans ces points de dépôt où une personne basée aux États-Unis allume les ordinateurs reçus et les configure pour être accessibles à distance. Le travailleur à distance se connecte ensuite au réseau de la ferme et accède à distance à l’appareil reçu. Cela fait apparaître les journaux de sécurité et d’accès de cette personne comme étant basés aux États-Unis et provenant du bon appareil ».

Ensuite, les acteurs de la menace manipulent leur localisation avec le VPN et travaillent de nuit là où ils se trouvent pour faire croire qu’ils travaillent pendant les heures ouvrées aux États-Unis.

« L’escroquerie est qu’ils effectuent réellement le travail, sont bien payés et donnent une grande partie à la Corée du Nord de leurs revenus pour financer leurs programmes illégaux. Je n’ai pas besoin de vous parler du risque grave que cela représente », indique Stu Sjouwerman.

Ce risque n’est pas nouveau. Les autorités américaines avaient déjà alerté à son sujet en mai 2022. 

Stu Sjouwerman complète son rare témoignage de conseils pour détecter et prévenir ce type d’arnaque, notamment en menant des entretiens vidéo et en scannant les appareils internes à distance. Il a averti les organisations de ne pas se fier uniquement aux références par e-mail pour les nouvelles recrues et de mener des vérifications des antécédents plus approfondies.

Pour lui, cette menace met en évidence la nécessité critique d’un processus de vérification plus robuste pour empêcher les acteurs de menaces avancées persistantes d’accéder à une organisation : « le sujet a démontré un haut niveau de sophistication dans la création d’une fausse identité crédible, l’exploitation des faiblesses des processus d’embauche et de vérification des antécédents ».