Il 15 luglio 2024, alle 01:55 UTC (9:55 PM Eastern Time), i sistemi di monitoraggio KnowBe4 di Clearwater, in Florida, hanno registrato un allarme di sicurezza critico.L'allarme segnalava attività anomali su una nuova stazione di lavoro provvisata assegnata a un ingegnere software principale recentemente assunto.L'individuo aveva superato con successo quattro interviste video, controlli di riferimento e un'indagine di background prima di questo incidente, che si è verificato circa 25 minuti dopo il suo turno inaugurale.

L'attività osservata ha coinvolto l'installazione di malware, distribuito tramite un Raspberry Pi connesso alla stessa rete della stazione di lavoro.Le indagini hanno rivelato che il profilo dell'ingegnere utilizzava un'immagine di stock modificata da intelligenza artificiale e un'identità fabbricata da un vero cittadino americano.Le valutazioni dell'intelligence indicano che l'operatore ha la sua posizione fisica all'interno della Repubblica popolare democratica di Corea o della Cina nordorientale, operando sotto il controllo del Dipartimento 53 della RPDC.

Il centro di operazioni di sicurezza di KnowBe4 ha avviato un contatto con l'utente in merito all'attività anomalia, ricevendo una risposta che lo attribuisce al root di risoluzione dei problemi. Una successiva richiesta di una chiamata in diretta è stata respinta, seguita da una completa non-risposta. Alle 02:20 UTC (10:20 PM Eastern Time), la stazione di lavoro è stata concesso con successo, impedendo ulteriore accesso. Il malware è stato identificato come un infostealer che mirava ai dati di credenziali rimanenti dalla fornitura del sistema precedente.

RICOMANDAMENTO: Data la capacità dell'operatore di aggirare ampi controlli pre-impiego e la confermata intenzione di sfiltrare dati sensibili, è fondamentale migliorare continuamente i processi di verifica dell'identità centrati sulle risorse umane.La persistenti minacce poste da attori sponsorizzati dallo stato che impiegano sofisticate tecniche di fabbricazione dell'identità e di accesso remoto richiede un passaggio verso una dinamica, multi-fattore di garanzia dell'identità durante tutto il ciclo di vita dell'impiego, che va oltre l'onboarding iniziale.