A empresa americana KnowBe4, especializada em questões de segurança cibernética, contratou involuntariamente um hacker da RPDC, que tentou carregar malware na rede da empresa assim que começou a “trabalhar”. Seu fundador e diretor, Stu Sjouwerman, falou sobre isso.
A KnowBe4 opera em 11 países e está sediada na Flórida. A empresa oferece treinamento em segurança cibernética e proteção contra phishing para clientes corporativos. Um dia, a KnowBe4 postou uma vaga e recebeu o currículo de um candidato ao cargo – ele forneceu uma foto feita a partir de um banco de imagens usando um editor de inteligência artificial. A equipe de RH realizou uma entrevista remota, verificou a biografia e as recomendações do candidato e o contratou para o cargo de engenheiro-chefe de software.
A foto anexada ao currículo era falsa, mas a pessoa que passou nas quatro entrevistas era parecida o suficiente com essa imagem para não levantar suspeitas. Ele conseguiu passar no teste porque os documentos usavam a identidade roubada de uma pessoa real. Uma estação de trabalho Apple Mac foi enviada para o endereço especificado.
Assim que o novo funcionário começou a trabalhar, ele passou a realizar ações suspeitas na rede corporativa, às quais o sistema de segurança respondeu. A empresa entrou em contato com o novo funcionário para esclarecer a situação – ele disse que estava tendo problemas com a velocidade da conexão, estava configurando um roteador, e isso pode ter levado ao hack. Na realidade, ele tentou manipular arquivos do histórico de sessões, transferir arquivos potencialmente perigosos para a rede e até mesmo executar software não autorizado. Ele usou um computador de placa única Raspberry Pi para baixar o malware. Os agentes de segurança continuaram monitorando o que estava acontecendo e até tentaram ligar para esse funcionário, mas ele respondeu que não conseguia atender e, posteriormente, parou totalmente de se comunicar. 25 minutos após o início do ataque, seu computador foi bloqueado na rede.
A análise subsequente revelou que as tentativas de baixar o malware foram provavelmente intencionais e que o funcionário suspeito era “uma ameaça interna ou [outro] ator do Estado-nação”. A KnowBe4 compartilhou informações com especialistas em segurança cibernética da Mandiant e também notificou o FBI sobre o incidente – descobriu-se que era de fato um falso funcionário da Coreia do Norte. Eles têm um esquema bem estabelecido. Os empregadores enviam estações de trabalho para endereços onde estão localizadas “fazendas” inteiras desses computadores. Os hackers se conectam a eles via VPN da Coreia do Norte ou da China e trabalham em turnos noturnos para fazer parecer que estão trabalhando durante o dia nos Estados Unidos. Alguns deles realizam tarefas e recebem bons salários, que financiam as atividades de Pyongyang.