Hace tiempo veíamos que uno de los nuevos panoramas que nos encontramos con el teletrabajo que permite a las empresas contratar a personal de cualquier lugar del mundo era que Corea del Norte cuenta con trabajadores del sector tech que han conseguido trabajos remotos en Estados Unidos, según declaraciones del FBI y del Departamento de Justicia del país.
Corea del Norte, por su hermetismo al mundo, mientras su gobierno presume de tener fuertes herramientas tecnológicas de espionaje a otros países, siempre produce gran curiosidad. Hoy, Xataka se hace eco de una noticia muy impactante: un ciberdelincuente coreano casi consigue entrar en la plantilla de una gran empresa de ciberseguridad de EE.UU.
Ha sido la propia empresa la que ha relatado toda la historia en su blog e incluso muestran la fotografía que el hacker envió, modificada con inteligencia artificial. La imagen real es de un hombre con rasgos más comunes de países occidentales y le hizo un cambio con inteligencia artificial para mostrar una apariencia asiática. Toda la historia no tiene desperdicio.
Cómo fue el proceso de selección
KnowBe4 necesitaba un ingeniero de software para su equipo interno de inteligencia artificial de TI. Publicaron el trabajo, recibieron currículums, realizaron entrevistas, ficharon las verificaciones de antecedentes, verificaron referencias y contrataron a la persona.
Le enviaron su estación de trabajo Mac y y ahí llegó la sospecha: inmediatamente comenzó a cargar malware. El equipo de RR. HH. de la empresa había realizado cuatro entrevistas por videoconferencia en ocasiones separadas, confirmando que la persona coincidía con la foto proporcionada en su solicitud.
Además, se realizó una verificación de antecedentes y todas las demás verificaciones estándar previas a la contratación y no hubo ningún problema. El único problema para llevar a cabo la verificación de la persona es que había usado identidad robada. Se trataba de una persona real que usaba una identidad válida pero robada de alguien estadounidense.
Cómo la empresa comenzó a sospechar
Por otro lado, la imagen fue cambiada con IA y el software EDR de la empresa lo detectó y alertó al Centro de Operaciones de Seguridad de InfoSec. Llamaron al nuevo empleado y "ahí fue cuando todo se puso complicado rápidamente".
Según la empresa, a la izquierda está la imagen de archivo original. A la derecha está la falsificación de la IA enviada a recursos humanos
La empresa decidió compartir los datos recopilados y sus sospechas iniciales con Mandiant, una empresa reconocida de ciberseguridad, y también con el FBI, para corroborar sus hallazgos iniciales. Y ahí pudieron comprobar que se trataba de un trabajador de Corea del Norte. La imagen que envió era una falsificación de IA que comenzó con fotografías de archivo.
Los detalles "son limitados porque se trata de una investigación activa del FBI", dice la empresa. El 15 de julio de 2024, se detectaron una serie de actividades sospechosas en esa cuenta de usuario. Según la evaluación de las actividades por parte de los equipos, se determinó que esto podría haber sido intencional por parte del usuario y se sospechaba que podría ser una amenaza de un estado nacional.
Tras la investigación inicial, se llevó a cabo una investigación más detallada sobre el nuevo empleado. El 15 de julio de 2024, se detectó una serie de actividades sospechosas en el usuario. Cuando llegaron estas alertas, el equipo que gestiona el SOC de KnowBe4 se comunicó con el usuario para preguntar sobre la actividad anómala y la posible causa.
La persona respondió al SOC que estaba siguiendo los pasos de la guía de su enrutador para solucionar un problema de velocidad y que esto podría haber causado una vulneración. El atacante realizó varias acciones para manipular archivos del historial de sesiones, transferir archivos potencialmente dañinos y ejecutar software no autorizado. Usó una Raspberry Pi para descargar el malware.
Granja de ordenadores tras la frontera de China
Además, el equipo quiso llamar a su compañero para conocer qué estaba pasando, pero este se negó. Dijo que no estaba disponible y ya luego dejó de responderles. Más tarde, el SOC logró acceder al dispositivo de esta persona. Vieron que solicitaba que su estación de trabajo se envíe a una dirección que es básicamente una "granja de ordenador portátiles".
Luego, las personas que trabajan en esa granja se conectan mediante VPN aunque se cree que están en Corea del Norte y que puede ser cerca de la frontera con China y trabajan en el turno de noche para que parezca que trabajan durante el día en EE. UU.
La estafa es que realmente están haciendo el trabajo, reciben un buen salario y dan una gran cantidad a Corea del Norte para financiar sus programas ilegales, según las palabras de la empresa que relata toda la historia. La firma recuerda que los nuevos empleados se sitúan "en un área altamente restringida cuando comienzan y no tienen acceso a los sistemas de producción", por lo que es difícil que hayan logrado robar información interna.
Consejos a otras empresas para evitar el mismo problema
La compañía, cuya historia también puede servirle de publicidad para sus servicios de ciberseguridad, da consejos para evitar estos problemas como escanear los dispositivos remotos; usar mejores procesos de verificación, asegurándose de que estén físicamente donde se supone que deben estar; mejor escaneo de currículums para detectar inconsistencias profesionales; graba a estas personas en una cámara de video y pregunta sobre el trabajo que están haciendo. También recomienda no confiar solo en las referencias de correo electrónico.
También recomiendan prestar atención al uso de números de VOIP y falta de huella digital para la información de contacto proporcionada; fijarse que no haya discrepancias en la dirección y la fecha de nacimiento en diferentes fuentes; información personal que puedan explicar la falta de disponibilidad cuando la persona dice que no puede responder a una llamada; uso sofisticado de VPN o máquinas virtuales para acceder a los sistemas de la empresa; y, claro está, el intento de ejecutar malware y posteriores esfuerzos de encubrimiento. Todo esto, entre más advertencias.
Imagen | Foto de Thomas Evans en Unsplash
Ver 1 comentarios