ما الذي يمكن تعلمه من توظيف شركة KnowBe4 لموظف تكنولوجيا المعلومات من كوريا الشمالية؟
هل تعلم من الذي تقوم بتعيينه للعمل عن بعد في شركتك؟ تمتلك الشركات عمليات توظيف شاملة للإجابة على هذا السؤال بالذات، ولكن التهديدات الداخلية لا تزال قادرة على التسلل عبر هذه الشبكات. اعرف 4 لقد شهدت هذه التجربة مؤخرًا بنفسي. فقد قامت شركة الأمن السيبراني بتعيين شخص لفريق الذكاء الاصطناعي في تكنولوجيا المعلومات الخاص بها فقط لتكتشف لاحقًا أن هذا الشخص كان جزءًا من عملية احتيال شائعة تستخدمها جمهورية كوريا الشعبية الديمقراطية.
وقد اختارت شركة KnowBe4 أن تكون شفافة بشأن الحادث، ونشرت سلسلة من المدونات وتحدثت إلى مجلة InformationWeek، على أمل زيادة الوعي بهذا التهديد على وجه الخصوص. ما الذي يمكننا أن نتعلمه من تجربتهم، وكيف يمكن منع حدوث ذلك في شركات أخرى؟
اكتشاف التهديد الداخلي
أجرت KnowBe4 عملية التوظيف المعتادة في هذه الحالة، بما في ذلك عدة مقابلات فيديو، وفحص المراجع، والتحقق من الخلفية. وبدا أن العامل عن بعد مناسب للوظيفة.
يقول براين جاك، مدير أمن المعلومات ومسؤول حماية البيانات في KnowBe4، لـInformationWeek: “كان الرجل يعرف سيرته الذاتية من الداخل والخارج. لقد عرض أمثلة على الأشياء التي قام بها في شركات سابقة”.
بالإضافة إلى سجل العمل الجيد، تم التحقق من رقم الضمان الاجتماعي للمرشح وفحص السجل الجنائي من خلال نظام E-Verify. وتم تحديد تاريخ بدء العمل للموظف الجديد.
طلب عامل تكنولوجيا المعلومات إرسال معداته إلى مكان مختلف عن المكان الذي أخبر KnowBe4 أنه سيعمل منه. وفقًا لجاك، هذا النوع من الطلبات ليس بالأمر غير المعتاد.
“يقول: “”خاصة بالنسبة للموظفين الجدد، فهم يخرجون من الكلية، وينتقلون إلى شقتهم الأولى ثم يحتاجون إلى إرسال المعدات إلى مكان آخر. لذا، فإن هذا الأمر يظهر أحيانًا””.”
استلم عامل تكنولوجيا المعلومات المعدات. وفي اليوم السابق لتاريخ بدء عمله، بدأ في تحميل البرامج الضارة. ومن المرجح أن البرنامج الخبيث الذي يستخدم لسرقة المعلومات كان يبحث عن بيانات اعتماد لتصعيد الامتيازات.
يقول جاك: “نشعر وكأنهم كانوا يكافحون من أجل تهيئة الجهاز للوصول عن بعد من قبل عامل تكنولوجيا المعلومات الكوري الشمالي”.
اكتشف برنامج أمان نقطة النهاية الخاص بشركة KnowBe4 البرامج الضارة، وسارع مركز العمليات الأمنية الخاص بالشركة إلى اتخاذ الإجراءات اللازمة. وتواصلوا مع العامل، الذي روى قصة مريبة. يقول جاك: “في تلك اللحظة، لم نتلق أي رد منهم، لذا تم احتواء جهازهم وتقييد حسابهم”.
تم إنهاء عمل موظف تكنولوجيا المعلومات قبل بدء عملية التوظيف. لم يتم الحصول على إذن بالوصول إلى النظام، ولم يتم المساس بأي بيانات. لكن KnowBe4 لا يزال لديه أسئلة مقلقة حول ما كان هذا الشخص يأمل في تحقيقه على وجه التحديد.
تواصل جاك مع شركة Mandiant وشارك هذه القصة، وأكد فريقهم أن هذه الحادثة كانت عملية احتيال من قبل أحد موظفي تكنولوجيا المعلومات في كوريا الشمالية.
عمال تكنولوجيا المعلومات في كوريا الشمالية
كيف تتم هذه الخدعة؟ كان الشخص الذي استأجرته KnowBe4 يستخدم هوية مسروقة لمواطن أمريكي. تم تغيير الصورة الموجودة على بطاقة الهوية المقدمة للشركة إلى صورة أحد الجهات الفاعلة المهددة.
يقول جاك: “كانت المقابلات التي أجريت عبر تطبيق زووم مقنعة للغاية، حيث أظهرنا أننا في الواقع نتحدث إلى الشخص الذي اعتقدنا أننا نتحدث معه”.
كان للذكاء الاصطناعي دور في هذه الحادثة أيضًا. قدم عامل تكنولوجيا المعلومات صورة لاستخدامها في دليل الموظفين. وكشف البحث العكسي عن الصورة أن الصورة تم تعديلها باستخدام الذكاء الاصطناعي.
لا يعد موقع KnowBe4 الهدف الوحيد لهذا النوع من التهديدات. ففي وقت سابق من هذا العام، أعلن برنامج مكافآت العدالة التابع لوزارة الخارجية الأمريكية عن مكافأة قدرها 5 ملايين دولار للحصول على معلومات عن العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية.
قد يطلب العاملون في مجال تكنولوجيا المعلومات الذين تستأجرهم إحدى الشركات إرسال معداتهم إلى موقع محدد، غالبًا مزرعة أجهزة كمبيوتر محمولة. يمكن للأشخاص الموجودين في الولايات المتحدة مساعدة العاملين في مجال تكنولوجيا المعلومات من خلال تأمين الهويات المسروقة واستضافة المعدات التي ترسلها الشركات المستأجرة. بعد ذلك، سيتمكن العاملون في مجال تكنولوجيا المعلومات في كوريا الشمالية من إرسال معداتهم إلى مكان آخر. استخدم VPN للعمل من موقعهم الفعلي، والذي قد يكون في كوريا الشمالية أو في الصين، كما يوضح KnowBe4 في مدونة.
“لنفترض أن هناك 10 أشخاص … عمال تكنولوجيا المعلومات، يعيشون في شقة. يمكن لكل منهم أن يتنقل بين سبعة وعشرة ملفات تعريف أو شخصيات في شركات مختلفة”، مايكل بارنهارت، قائد عمليات جمهورية كوريا الديمقراطية الشعبية مع مانديانتوتقول شركة الأمن السيبراني التابعة لشركة Google Cloud لموقع InformationWeek: “هذا يعني أن أكثر من 70 شخصًا يحصلون على رواتبهم من شقة واحدة”.
في كثير من الأحيان يكون الدافع وراء هذه الخدعة ماليًا. تُستخدم الشيكات المستحقة لتمويل الحكومة الكورية الشمالية. ويوضح بارنهارت: “تاريخيًا، كان العاملون في مجال تكنولوجيا المعلومات موجودين فقط لتكملة النظام. وبدلاً من التمويل من أعلى إلى أسفل، يتم التمويل من أسفل إلى أعلى”.
ولكن قد يكون هناك دافع وراء هذا الأمر يتجاوز مجرد المكاسب المالية. ويحذر بارنهارت من وجود تداخل متزايد بين عمليات الاحتيال التي تستهدف العاملين في مجال تكنولوجيا المعلومات ومجموعات التهديدات المتقدمة المستمرة، مثل ابت45.
ويقول “إن العاملين في مجال تكنولوجيا المعلومات في مواقع ذات أهمية استراتيجية، مثل البنوك والمصانع النووية… يتم استغلالهم من قبل مشغلي التهديدات المتقدمة المستمرة للتحرك جانباً للقيام بالعمليات”.
وزارة العدل الأمريكية تقدم مكافأة 10 مليون دولار للحصول على معلومات حول APT45 (المعروفة أيضًا باسم Andariel) والجهات الفاعلة ذات الصلة بالتهديدات. ترتبط المجموعة الكورية الشمالية بهجمات برامج الفدية على مؤسسات الرعاية الصحية والاختراقات في العديد من الصناعات الأخرى.
وبحسب بارنهارت، فإن توظيف عمال تكنولوجيا المعلومات من كوريا الشمالية في الشركات حول العالم من الممكن أن يسبب أضرارًا كبيرة. اختراق سوني, دارك سيول “نحن نعلم يقينًا أنه إذا ما تصاعدت الأمور، فسوف يدمرون شيئًا ما”، كما يقول. “والآن أضف إلى ذلك حقيقة مفادها أن لديك عمال تكنولوجيا المعلومات الذين لديهم وظائف وفرص عمل في شركات فورتشن 500 في جميع أنحاء العالم”.
التهديدات الداخلية المستمرة
قرر فريق KnowBe4 أن يكون شفافًا بشأن تجربة هذه الخدعة في محاولة لزيادة الوعي لدى الشركات الأخرى. ما الدروس التي يمكن للقادة الآخرين تعلمها من هذه الحادثة والحد من المخاطر التي قد يتعرضون لها؟
إن هذه الحادثة بالذات تذكرنا بأهمية الضوابط الفنية القوية. فباعتباره موظفًا جديدًا، كان لدى عامل تكنولوجيا المعلومات وصول محدود إلى أنظمة KnowBe4. وكان قادرًا على الوصول إلى البريد الإلكتروني وSlack ونظام معلومات الموارد البشرية (HRIS) للإعلان عن مزاياه. وكان مبدأ الحد الأدنى من الامتياز يضمن عدم تمكنه من استكشاف المزيد من الأنظمة على شبكة KnowBe4. وبعد ذلك، اكتشف برنامج نقطة النهاية الخاص بالشركة على الفور محاولة تحميل البرامج الضارة.
يقول جاك: “لقد كانت استجابة مناسبة للحادث أظهرت أن الضوابط الفنية لمنع وإصلاح وإزالة شيء من هذا النوع نجحت. لذا، فإننا نستفيد من الدروس المستفادة من المجالات التي لم تنجح، والتي تتمثل في عملية التوظيف، ونحاول معرفة كيفية القيام بهذا الجزء بشكل أفضل”.
تعمل KnowBe4 على إجراء تغييرات على عملية التوظيف الخاصة بها في أعقاب هذه الحادثة. ويعمل جاك مع قسم التوظيف لزيادة الوعي بالإشارات التحذيرية المحتملة، مثل طلبات تغيير الاسم قبل تواريخ البدء وطلبات شحن المعدات إلى مواقع غير مدرجة في الطلب الأصلي. كما تنفذ الشركة عملية للتحقق من الهوية الشخصية.
ويقول بارنهارت: “يتعين على المنظمات أن تعمل بجد على تعزيز عملية التحقق الخاصة بها”.
على الرغم من أن فرق المؤسسة لديها القدرة على القيام بذلك من خلال التوظيف الداخلي، إلا أن هذه العملية تصبح أكثر تحديًا مع العاملين المتعاقدين في مجال تكنولوجيا المعلومات، وهو مورد مستخدم بشكل شائع.
“أنت لا تقوم بإجراء فحوصات على خلفية العاملين المتعاقدين. إنه مكتوب في العقد أنك تثق في أن شركة التعاقد قامت بذلك. ولكن ما هي ممارسات التوظيف لديهم؟” يسأل جاك.
كما أن الذكاء الاصطناعي في أيدي الجهات الفاعلة التي تهدد الأمن يزيد الأمور تعقيدًا. فالمقابلات الشخصية والتحقق منها ليسا ممكنين دائمًا، كما أصبحت عمليات التزييف العميق أكثر تعقيدًا وإقناعًا. وفي حين كان الذكاء الاصطناعي مجرد عنصر صغير من عملية الاحتيال التي استهدفت موظفي تكنولوجيا المعلومات في KnowBe4، فإنه يمكن استخدامه بسهولة في المقابلات المرئية والصوتية في أماكن أخرى.
ويؤكد بارنهارت قائلاً: “من ناحية الدفاع عن المنزل، يتعين علينا أن نصبح أفضل في اكتشاف متى يتم استخدام الذكاء الاصطناعي”.
إن الضوابط الفنية القوية والضوابط المتعلقة بالتوظيف أمر حيوي، ولكن الوعي البسيط بهذا التهديد مهم أيضاً.
““ربما إذا كان لدينا مجموعة من الشركات والمنظمات الأخرى التي تبحث عن هذا الأمر، وقادرة على اكتشافه… فيمكنها الإبلاغ عنه لمكتب التحقيقات الفيدرالي. ويمكن لمكتب التحقيقات الفيدرالي أن يعمل على القضية ويحاول جعل الأمر أكثر صعوبة لتحقيق النجاح”، كما يقول جاك.
