Kort efter ansættelsen af en ny softwareingeniør hos det amerikanske cybersikkerhedsselskab KnowBe4 begyndte de første mistænkelige tegn at dukke frem.
Potentielt skadelige filer blev downloadet, ikke godkendt software anvendt samtidig med, at medarbejderen forsøgte at skjule sine spor ved at manipulere såkaldte session history files, og downloade malware gennem minicomputeren Rasberry Pi, som KnowBe4s sikkerhedsteam hurtigt fandt ud.
Efter hele fire jobsamtaler lykkedes det kandidaten at få jobbet, men i virkeligheden var medarbejderen agent for Nordkorea.
KnowBe4 er et selskab, der specialiserer sig awareness-træning af medarbejdere i forhold til cybersikkerhed. I skrivende stund har selskabet en børsværdi på 5,5 milliarder dollars, knap 40 milliarder kroner samt over 1300 ansatte.
Derfor er det overraskende, at et sikkerhedsselskab med omfattende baggrundstjek af potentielle medarbejdere faldt for bedraget. En erkendelse, som administrerende direktør Stu Sjouwerman da også selv sætter ord på i en blog om situationen.
“Det er godt nye medarbejdere kun har ret restriktiv adgang og ingen adgang til produktionssystemerne, når de starter. Vores kontrol fangede bedraget, men det var virkelig en lærerig hændelse, som jeg er glad for at dele med alle,” skriver han.
Nordkorea bruger stjålne identiteter til operationer
Situationen giver alligevel flere konkrete detaljer på, hvordan Nordkorea forfalsker identiteter for at få ansat insidere i amerikanske virksomheder. I en trussel som FBI siden 2023 har forsøgt at gøre opmærksom på. Det gælder både som falske medarbejdere, der skal sende lønnen hjem til Nordkorea, hvor den ifølge FBI bliver brugt til at udvikle våben eller cyberoperationer, men medarbejderne kan også være deciderede agenter.
“Vores HR-team afholdte fire jobsamtaler på video, som bekræftede at ansøgerens identitet stemte overens med fotoet på ansøgningen. Derudover foretog teamet et baggrundstjek og alle andre standardkontroller før en ansættelse, som var positive, da identiteten var ægte. Det var en ægte person, som brugte en valid men stjålet amerikansk identitet. Billedet var forbedret med AI,” skriver Stu Sjouwerman.
Alarmklokkerne begyndte at blinke, da medarbejderen spurgte om at få tilsendt sin arbejdscomputer til en anden adresse end den, som han påstod at bo på. Ifølge KnowBe4 er det, fordi computeren blev sendt til et såkaldt “IT mule laptop farm,” hvorefter en VPN blev opsat.
Ifølge Know4Be fik selskabet stoppet insidertruslen før, at det for alvor blev farligt. Ingen kompromittering eller datalæk.