两年前美国政府发出警告,朝鲜政府派出具备IT开发能力的商业间谍,通过自由职业者招募平台、社交网站、数字支付系统等渠道,于全球市场求职,但这些人士不光只是为朝鲜政府赚钱,一旦企业雇佣他们,就有可能面临数据外流及资金遭窃的风险,如今这样的情况,真实发生在一家安全企业身上,而且,差一点就可能造成内部数据外流的危机。
7月24日安全意识教育训练企业KnowBe4披露他们近期遭遇的内部威胁安全事故,该公司最近为内部的IT AI团队招募软件工程师,他们发布招聘消息,并在收到履历后安排面试、核实应征者的背景、验证推荐者等程序,最后决定聘用。但该公司向这名新进人员提供Mac计算机工作站之后,奇怪的事情发生:这台计算机竟然开始被加载恶意软件。
该公司指出,人力资源(HR)团队其实相当尽力进行相关的检查,他们在不同场合安排了4次视频会议面试,并尽可能确认应征者是履历其中的本人,而且,该团队也进行身家调查,以及执行就职前的其他标准审查流程。然而,对方虽然是真实人物,但滥用遭窃的美国公民身份,并使用Deepfake手法,通过AI“强化”照片。
安全企业KnowBe4发现,这名软件工程师履历上使用的照片,是通过AI技术进行变造,对方将原始的左图西方人的脸孔通过Deepfake变造,产生右边看起来像东方人的照片。
在该公司的EDR系统侦测到异状并向安全运营中心(SOC)发出警讯,SOC向该名新员工询问是否需要协助。在此同时,该公司也向安全企业Mandiant、美国联邦调查局(FBI)共享收集到的数据与初步的调查结果,从而确认这是来自朝鲜的假IT人员。
基于FBI已介入调查此事,KnowBe4表明他们无法说明完整的细节,但还是透露了整起事故发现异状的经过。
该公司在今年7月15日,发现新进的主任软件工程师用户账号出现一系统可疑活动,SOC团队向这名工程师进一步确认这些恶意活动及可能发生的根本原因,对方宣称他的路由器出现速度异常的情况,怀疑有可能是遭到网络攻击造成,正依照路由器的手册排除故障。
他们发现这名工程师意图借由各种手法来操纵网络连接的记录数据,并传输含有潜在风险的文件,以及执行未经授权的软件,而访问恶意软件的渠道,是通过树莓派设备来下载。SOC想要进一步联系这名工程师,对方表明无法接听电话,接下来就不再回应。
根据该公司SOC的发现,他们怀疑这名员工的身份不单纯,很有可能是国家级黑客,从而启动进一步的调查。值得庆幸的是,该公司新员工会处于高度管制的环境,无法访问正式的生产力系统,而免于内部数据外流的危险,再者,该公司的安全系统适时发现异状,而能尽早让对方的意图曝光,因此,他们的内部正式生产力系统并未遭到入侵,也没有机密敏感数据外流的情况。
该公司也对他们在核实对方身份真实性的流程,发现可能存在瑕疵的地方,例如,人资部门可能对于背景调查不够充分,因为后来他们发现对方使用的名称前后出现不一致的情况;再者,他们发现审查相关数据不够严谨,很有可能依赖对方提供的电子邮件作为参考依据而上当。
但究竟这些朝鲜黑客如何从事相关工作,而能够骗过美国企业的耳目?该公司表示,对方成功取得相关工作职位后,通常会要求企业将公务计算机发送到“IT骡子笔记本农场(IT Mule Laptop Farm)”,然后半夜通过VPN从实际所在的地理位置(通常是朝鲜或中国边界地区)访问,执行公司指派的任务,如此一来,这些“员工”看起来就在美国的白天时间正常上下班工作。
