L'attaquant a été découvert après avoir traversé sans encombre l'ensemble du processus de recrutement. Après avoir tenté de compromettre la sécurité de son employeur, il a cessé de répondre.
Tel est pris qui croyait recruter
Le secteur de l'emploi a considérablement évolué ces dernières années. Nous vivons dans un monde où de nombreuses personnes exercent des activités à distance. Cette dynamique présente souvent des avantages tant pour les employés que pour les employeurs. Les premiers peuvent travailler de n'importe où, les seconds économisent sur les coûts d'infrastructure, pour ne citer que quelques exemples.
Mais le télétravail peut aussi être utilisé par certains pour commettre des délits. Un exemple clair de cette réalité est ce qui s'est passé récemment dans une entreprise de sécurité américaine. KnowBe4, qui voulait embaucher un ingénieur logiciel, a fini par recruter un cybercriminel nord-coréen sans le savoir. L'acteur malveillant n'a été découvert que lorsqu'il a tenté de compromettre le réseau de l'employeur.
KnowBe4, qui propose entre autres des tests de sécurité contre l'hameçonnage aux entreprises clientes, explique dans un billet de blog que le cybercriminel n'a volé aucune de ses données, mais qu'il a été décidé de partager ce qui s'est passé en tant qu'expérience d'apprentissage organisationnel. « Si cela peut nous arriver, cela peut arriver à presque tout le monde. Ne laissez pas cela vous arriver », a ajouté l'entreprise dirigée par Stu Sjouwerman.
Un faux travailleur dans une société de sécurité
L'entreprise affirme que tout a commencé par un processus de recrutement normal. Elle a publié l'offre d'emploi, reçu plusieurs CV et organisé des entretiens avec les candidats. L'agresseur a participé à quatre entretiens par visioconférence à des occasions distinctes. Les vérifications d'antécédents n'ont posé aucun problème, pas plus que la comparaison entre la photographie figurant sur son CV et le visage apparaissant lors des réunions préliminaires. Après avoir franchi toutes les étapes de la procédure, il a finalement été embauché. Pour qu'il puisse commencer à travailler, comme il est d'usage dans l'entreprise, un ordinateur Mac lui a été envoyé. Cependant, peu de temps après, une activité suspecte a été détectée.
Une équipe de KnowBe4 a alors contacté l'utilisateur de l'ordinateur pour lui demander la cause possible de l'activité. Le faux employé a répondu qu'il était en train d'effectuer des réglages sur son routeur pour résoudre un problème de sécurité, et que cela avait probablement déclenché les alarmes. En réalité, cette personne voulait manipuler une partie du système cible pour charger des logiciels malveillants à l'aide d'un Raspberry Pi. Peu de temps après, il a rejeté une tentative de contact avec l'équipe, puis a cessé de répondre. Le FBI et les spécialistes en cybersécurité de Mandiant travaillent ensemble pour obtenir plus de détails sur cette affaire. On sait toutefois que l'auteur de l'attaque a utilisé une identité volée.
On pense également que le pirate a manipulé numériquement une photographie et que l'ordinateur a été envoyé dans une « ferme d'ordinateurs portables ». Le malfaiteur n'aurait pas été aux États-Unis, mais se serait connecté à distance depuis la Corée du Nord. Stu Sjouwerman explique que la sécurité de l'entreprise n'a pas été compromise parce que les nouveaux employés ont un accès restreint aux systèmes de l'entreprise.