Ce rapport couvre l'enquête sur l'employé ID : XXXX embauché en tant qu'ingénieur logiciel principal. Le 15 juillet 2024, une série d'activités suspectes a été détectée sur ce compte utilisateur. Sur la base de l'évaluation des activités par l'équipe SOC, il a été constaté que cela pouvait être intentionnel de la part de l'utilisateur et suspecté d'être une menace interne/un acteur de l'État-nation. Après l'enquête initiale et le confinement de l'hôte, une enquête plus détaillée sur le nouvel employé a eu lieu.
Le 15 juillet 2024, une série d'activités suspectes a été détectée sur l'utilisateur à partir de 21 h 55 (heure de l'Est). Lorsque ces alertes sont arrivées, l'équipe SOC de KnowBe4 a contacté l'utilisateur pour s'enquérir de l'activité anormale et de sa cause possible. XXXX a répondu au SOC qu'il suivait les étapes du guide de son routeur pour résoudre un problème de vitesse et que cela avait pu causer une compromission.
L'attaquant a effectué diverses actions pour manipuler les fichiers d'historique de session, transférer des fichiers potentiellement dangereux et exécuter des logiciels non autorisés. Il a utilisé un Raspberry Pi pour télécharger le logiciel malveillant. Le SOC a tenté d'obtenir plus de détails de la part de XXXX, notamment en l'appelant. XXXX a déclaré qu'il n'était pas disponible pour un appel et qu'il ne répondait plus. Vers 22 h 20 (heure de l'Est), le SOC a confiné l'appareil de XXXX.
Le faux travailleur demande à ce que son poste de travail soit envoyé à une adresse qui est en fait une "ferme d'ordinateurs portables de la mule informatique". Ils se connectent ensuite par VPN depuis l'endroit où ils se trouvent réellement (Corée du Nord ou Chine) et travaillent de nuit pour donner l'impression de travailler pendant la journée aux États-Unis. L'escroquerie consiste à dire qu'ils font réellement le travail, qu'ils sont bien payés et qu'ils donnent un montant important à la Corée du Nord pour financer leurs programmes illégaux. Je n'ai pas besoin de vous parler du risque grave que cela représente. C'est une bonne chose que nous ayons des « Knewbies » dans un bac à sable lorsqu'ils commencent. Nos contrôles l'ont détecté, mais ce fut un moment d'apprentissage que je suis heureux de partager avec tout le monde.
Conseils pour éviter cela
- Scannez vos appareils à distance pour vous assurer que personne ne les utilise.
- Un meilleur contrôle, pour s'assurer qu'ils sont physiquement là où ils sont censés être.
- Mieux analyser les CV pour détecter les incohérences de carrière.
- Faites passer ces personnes devant une caméra vidéo et posez-leur des questions sur le travail qu'elles effectuent.
- L'adresse d'expédition de l'ordinateur portable, différente de l'endroit où ils sont censés vivre/travailler, est un signal d'alarme.
Recommandation pour améliorer les processus
- La vérification des antécédents semble inadéquate. Les noms utilisés ne sont pas cohérents.
- Les références n'ont potentiellement pas été vérifiées correctement. Ne pas se fier uniquement à des références envoyées par courrier électronique.
- Mettre en œuvre une surveillance renforcée de toute tentative continue d'accès aux systèmes.
- Examiner et renforcer les contrôles d'accès et les processus d'authentification.
- Organiser une formation de sensibilisation à la sécurité pour les employés, en mettant l'accent sur les tactiques d'ingénierie sociale.
Ce à quoi il faut faire attention
- L'utilisation de numéros VOIP et l'absence d'empreinte numérique pour les informations de contact fournies.
- Divergences dans l'adresse et la date de naissance entre différentes sources
- Informations personnelles contradictoires (état civil, « urgences familiales » expliquant l'indisponibilité)
- Utilisation sophistiquée de VPN ou de machines virtuelles pour accéder aux systèmes de l'entreprise.
- Tentative d'exécution de logiciels malveillants et efforts de dissimulation subséquents
Alertez le RH à propos
Le sujet a fait preuve d'un haut niveau de sophistication en créant une identité de couverture crédible, en exploitant les faiblesses des processus de recrutement et de vérification des antécédents, et en tentant de s'implanter dans les systèmes de l'organisation.
Il s'agit d'un réseau criminel de grande envergure, bien organisé et soutenu par l'État, qui dispose de ressources considérables. Ce cas met en évidence le besoin critique de processus de vérification plus robustes, d'une surveillance continue de la sécurité et d'une meilleure coordination entre les équipes des ressources humaines, des technologies de l'information et de la sécurité pour se protéger contre les menaces persistantes avancées.
Partager