KnowBe4, vendor keamanan yang berbasis di AS, mengungkapkan bahwa mereka tanpa sengaja merekrut seorang hacker Korea Utara yang mencoba memuat malware ke dalam jaringan perusahaan. CEO dan pendiri KnowBe4, Stu Sjouwerman, menggambarkan insiden tersebut dalam sebuah postingan blog minggu ini, menyebutnya sebagai kisah peringatan yang untungnya terdeteksi sebelum menimbulkan masalah besar.
“Pertama-tama: Tidak ada akses ilegal yang diperoleh, dan tidak ada data yang hilang, dikompromikan, atau dicuri pada sistem KnowBe4 mana pun,” tulis Sjouwerman. “Ini bukan pemberitahuan pelanggaran data, tidak ada. Anggap saja ini sebagai momen pembelajaran organisasi yang saya bagikan kepada Anda. Jika ini bisa terjadi pada kita, ini bisa terjadi pada hampir semua orang. Jangan biarkan ini terjadi pada Anda.”
KnowBe4 mengatakan sedang mencari seorang insinyur perangkat lunak untuk tim AI TI internalnya. Perusahaan itu mempekerjakan seseorang yang ternyata berasal dari Korea Utara dan “menggunakan identitas asli AS yang dicuri” dan foto yang “disempurnakan” oleh kecerdasan buatan. Sekarang ada penyelidikan FBI yang sedang berlangsung di tengah kecurigaan bahwa pekerja itu adalah apa yang disebut dalam posting blog KnowBe4 sebagai “Ancaman Orang Dalam/Pelaku Negara Bangsa.”
KnowBe4 beroperasi di 11 negara dan berkantor pusat di Florida. Perusahaan ini menyediakan pelatihan kesadaran keamanan, termasuk uji keamanan phishing, kepada pelanggan korporat. Jika Anda sesekali menerima email phishing palsu dari atasan Anda, Anda mungkin bekerja untuk perusahaan yang menggunakan layanan KnowBe4 untuk menguji kemampuan karyawannya dalam mengenali penipuan.
Orang yang Lulus Pemeriksaan Latar Belakang dan Wawancara Video
KnowBe4 merekrut peretas Korea Utara melalui proses yang biasa. “Kami memasang lowongan pekerjaan, menerima resume, melakukan wawancara, melakukan pemeriksaan latar belakang, memverifikasi referensi, dan merekrut orang tersebut. Kami mengirimi mereka komputer Mac mereka, dan saat komputer itu diterima, komputer itu langsung memuat malware,” kata perusahaan itu.
Meskipun foto yang diberikan kepada HRD palsu, orang yang diwawancarai untuk pekerjaan itu tampaknya cukup mirip untuk lolos. Tim HRD KnowBe4 “melakukan empat wawancara berbasis konferensi video pada kesempatan terpisah, mengonfirmasi bahwa orang tersebut cocok dengan foto yang diberikan pada lamaran mereka,” kata postingan tersebut. “Selain itu, pemeriksaan latar belakang dan semua pemeriksaan pra-perekrutan standar lainnya dilakukan dan hasilnya bersih karena identitas yang dicuri digunakan. Ini adalah orang sungguhan yang menggunakan identitas AS yang valid tetapi dicuri. Foto itu ‘disempurnakan’ dengan AI.”
Dua gambar di bagian atas berita ini adalah foto stok dan apa yang dikatakan KnowBe4 adalah AI palsu berdasarkan foto stok. Foto stok ada di sebelah kiri, dan AI palsu ada di sebelah kanan.
Karyawan tersebut, yang disebut sebagai “XXXX” dalam posting blog tersebut, dipekerjakan sebagai kepala teknisi perangkat lunak. Aktivitas mencurigakan yang dilakukan karyawan baru tersebut ditandai oleh perangkat lunak keamanan, yang menyebabkan Pusat Operasi Keamanan (SOC) KnowBe4 melakukan penyelidikan:
Pada tanggal 15 Juli 2024, serangkaian aktivitas mencurigakan terdeteksi pada pengguna yang dimulai pada pukul 21.55 EST. Ketika peringatan ini muncul, tim SOC KnowBe4 menghubungi pengguna untuk menanyakan tentang aktivitas yang tidak lazim dan kemungkinan penyebabnya. XXXX menanggapi SOC bahwa ia mengikuti langkah-langkah pada panduan routernya untuk memecahkan masalah kecepatan dan bahwa hal itu mungkin telah menyebabkan gangguan.
Penyerang melakukan berbagai tindakan untuk memanipulasi berkas riwayat sesi, mentransfer berkas yang berpotensi membahayakan, dan menjalankan perangkat lunak yang tidak sah. Ia menggunakan Raspberry Pi untuk mengunduh malware. SOC berusaha mendapatkan informasi lebih lanjut dari XXXX termasuk menghubunginya. XXXX menyatakan bahwa ia tidak dapat dihubungi dan kemudian tidak dapat merespons. Sekitar pukul 10:20 malam EST, SOC berhasil mengamankan perangkat XXXX.
“Pekerja IT Palsu dari Korea Utara”
Analisis SOC menunjukkan bahwa pemuatan malware “mungkin disengaja oleh pengguna,” dan kelompok tersebut “mencurigai bahwa ia mungkin merupakan Aktor Ancaman Orang Dalam/Negara,” kata posting blog tersebut.
“Kami membagikan data yang terkumpul dengan teman-teman kami di Mandiant, pakar keamanan siber global terkemuka, dan FBI, untuk menguatkan temuan awal kami. Ternyata ini adalah pekerja IT palsu dari Korea Utara,” tulis Sjouwerman.
KnowBe4 mengatakan tidak dapat memberikan banyak detail karena investigasi FBI yang masih berlangsung. Namun, orang yang dipekerjakan untuk pekerjaan itu mungkin telah masuk ke komputer perusahaan dari jarak jauh dari Korea Utara, Sjouwerman menjelaskan:
Cara kerjanya adalah pekerja palsu tersebut meminta agar stasiun kerja mereka dikirim ke alamat yang pada dasarnya adalah “ladang laptop IT.” Mereka kemudian menggunakan VPN dari tempat mereka sebenarnya berada (Korea Utara atau di seberang perbatasan di Tiongkok) dan bekerja pada shift malam sehingga mereka tampak bekerja di siang hari di AS. Penipuannya adalah bahwa mereka benar-benar melakukan pekerjaan itu, dibayar dengan baik, dan memberikan sejumlah besar uang kepada Korea Utara untuk mendanai program ilegal mereka. Saya tidak perlu memberi tahu Anda tentang risiko berat dari hal ini. Ada baiknya kita memiliki karyawan baru di area yang sangat terbatas saat mereka mulai bekerja, dan tidak memiliki akses ke sistem produksi. Kontrol kami menangkapnya, tetapi itu tentu saja merupakan momen pembelajaran yang dengan senang hati saya bagikan kepada semua orang.
Cerita ini awalnya muncul di Ars Teknik.
