Em 15 de julho de 2024, às 01:55 UTC (9:55 PM, hora oriental), os sistemas de monitoramento KnowBe4 em Clearwater, Flórida, registraram um alerta de segurança crítico.O alerta sinalizou atividade anómala em uma estação de trabalho recém-provisionada atribuída a um engenheiro principal de software recém-contratado.O indivíduo havia superado com sucesso quatro entrevistas por vídeo, verificações de referência e uma investigação de antecedentes antes deste incidente, que ocorreu aproximadamente 25 minutos após o seu turno inaugural.

A atividade observada envolveu a instalação de malware, entregue através de um Raspberry Pi conectado à mesma rede que a estação de trabalho.As investigações revelaram que o perfil do engenheiro utilizou uma imagem de estoque modificada por inteligência artificial e uma identidade fabricada a partir de um cidadão americano real.Evaluas de inteligência indicam que a localização física do operador está dentro da República Popular Democrática da Coreia ou no nordeste da China, operando sob o âmbito do Departamento 53 da RPDC.

O centro de operações de segurança do KnowBe4 iniciou contato com o usuário em relação à atividade anómala, recebendo uma resposta atribuindo-a ao problema de solução do roteador. Um pedido posterior para uma chamada ao vivo foi rejeitado, seguido por uma total não-resposta. Às 02:20 UTC (10:20 PM hora oriental), a estação de trabalho foi contida com sucesso, impedindo mais acesso. O malware foi identificado como um infostealer que visava dados de credenciais remanescentes do provisionamento anterior do sistema.

RECOMENDAÇÃO: Dada a capacidade do operador de contornar extensos controles pré-empregados e a intenção confirmada de exfiltrar dados confidenciais, a melhoria contínua dos processos de verificação de identidade centrada em recursos humanos é primordial.A ameaça persistente representada por atores patrocinados pelo estado que empregam técnicas sofisticadas de fabricação de identidade e acesso remoto requer uma mudança em direção a uma garantia de identidade dinâmica e multifatorial ao longo do ciclo de vida do emprego, estendendo-se além do embarque inicial.