Discussion :

[Bill Fassinou]

Le FBI met en garde contre l'embauche accidentelle d'un pirate nord-coréen
car ils utiliseraient leurs salaires pour soutenir les programmes d'armes nucléaires de la Corée du Nord

Le FBI et d'autres entités du gouvernement américain préviennent que la République populaire démocratique de Corée (RPDC) envoie ses informaticiens occuper des emplois en freelance dans des entreprises du monde entier afin d'obtenir un accès privilégié qui est parfois utilisé pour faciliter les cyberintrusions. Les rapports du gouvernement américain indiquent que "les supposés espions sont en effet des informaticiens qualifiés qui utilisent diverses méthodes pour cacher leur origine nord-coréenne afin d'éviter les sanctions des États-Unis et des Nations unies (ONU) à l'encontre des personnes et des organisations soutenant le régime de la RPDC".

Une alerte publiée par le département d'État, le département du Trésor et le FBI indique qu'en dehors du contournement des sanctions, ces efforts ont également pour but d'apporter de l'argent aux programmes d'armes nucléaires et de missiles balistiques de la Corée du Nord. Les autorités américaines ont averti que les entreprises qui embauchent et paient ces travailleurs peuvent s'exposer à des conséquences juridiques pour violation des sanctions. « Des milliers d'informaticiens nord-coréens sont à la fois envoyés à l'étranger et installés en RPDC, générant des revenus qui sont reversés au gouvernement nord-coréen », indique le communiqué.

« Ces informaticiens profitent de la demande existante de compétences informatiques spécifiques, comme le développement de logiciels et d'applications mobiles, pour obtenir des contrats de travail en freelance auprès de clients du monde entier, notamment en Amérique du Nord, en Europe et en Asie de l'Est », ajoutent les autorités américaines. Les travailleurs nord-coréens prétendraient être originaires de Corée du Sud, du Japon ou d'autres pays asiatiques. Il énonce une série de signaux d'alarme que les employeurs doivent surveiller, notamment le refus de participer à des appels vidéo et les demandes de paiement en monnaie virtuelle.

Le communiqué note que si les Nord-Coréens ne se livrent pas nécessairement à des cyberintrusions, "ils ont utilisé l'accès privilégié obtenu en tant que contractants pour permettre les cyberintrusions malveillantes de la RPDC". Certains d'entre eux auraient aidé les opérations de piratage menées par la Corée du Nord en fournissant un accès aux infrastructures ou en aidant au blanchiment d'argent et aux transferts de monnaie virtuelle. Le communiqué indique que les travailleurs peuvent également "voler les informations de comptes clients de banques américaines ou internationales pour vérifier leur identité auprès de plateformes diverses.

Cela comprend des plateformes de freelances, de prestataires de service de paiement et d'entreprises employant" des travailleurs sous contrat. « L'embauche de Nord-Coréens présente de nombreux risques, allant du vol de propriété intellectuelle, de données et de fonds à l'atteinte à la réputation et aux conséquences juridiques, y compris les sanctions prévues par les autorités des États-Unis et des Nations Unies », indique l'avis. L'aide informatique de la Corée du Nord est principalement axée sur le secteur du développement, tant pour les logiciels que pour le matériel, de complexité variable. Cela comprend les éléments suivants :

• applications mobiles et Web ;
• animation graphique ;
• programmes de jeux d'argent ;
• intelligence artificielle ;
• réalité virtuelle et augmentée ;
• reconnaissance faciale et biométrique ;
• développement et gestion de bases de données.

Pour dissimuler leur véritable identité et se faire passer pour un individu d'un pays non sanctionné, les informaticiens nord-coréens changent souvent de nom, utilisent des connexions de réseau privé virtuel (VPN) ou des adresses IP d'autres régions. Ils utilisent souvent des proxies sur diverses plateformes d'enchères pour obtenir du travail et achètent également des comptes de personnes dont le profil ne semble pas contenir d'affiliation à la RPDC, profitant ainsi de l'expérience professionnelle annoncée de ces personnes pour obtenir plus facilement des contrats en freelance.

Selon l'alerte, ils établissent une relation d'affaires avec d'autres travailleurs indépendants sur la plateforme afin d'avoir accès à de nouveaux contrats et effectuent leur travail sur une infrastructure américaine ou européenne, ce qui leur permet de passer outre la sécurité pour une utilisation frauduleuse. « En établissant des comptes avec l'aide d'autres travailleurs indépendants, les informaticiens de la RPDC peuvent prétendre être des ressortissants de pays tiers qui ont besoin de documents d'identité américains ou d'autres pays occidentaux et de comptes sur les plateformes de freelance pour gagner plus d'argent », indique le communiqué.

Ce dernier ajoute que l'utilisation de faux documents d'identité (parfois volés), de fausses signatures, de dispositifs dédiés à chaque compte et de services bancaires, fait partie des méthodes typiques utilisées par les Nord-Coréens pour échapper à la détection, aux sanctions et aux efforts de blanchiment d'argent. Une fois qu'ils ont obtenu un emploi indépendant dans une entreprise, il est probable qu'ils recommandent d'autres travailleurs informatiques nord-coréens. Selon l'alerte, voici quelques indices que les plateformes de travail et de paiement en freelance devraient rechercher comme étant révélateurs d'un travailleur informatique nord-coréen :

• des connexions à un même compte à partir de différentes adresses IP en peu de temps, surtout si elles proviennent de plusieurs pays ;
• plusieurs développeurs se connectant à partir de la même adresse IP ;
• indices techniques indiquant l'utilisation d'un logiciel de partage de bureau à distance ou d'une connexion VPN ;
• utilisation fréquente de modèles de documents (appel d'offres, projet) ;
• comptes recevant des évaluations positives d'un client avec une documentation similaire pour la création de comptes de développeurs ;
• transferts d'argent fréquents, en particulier vers des banques en Chine, surtout s'ils passent par au moins une société.

Enfin, les autorités américaines avertissent que les entreprises qui emploient des développeurs indépendants doivent rechercher les signes suivants qui pourraient indiquer un travailleur informatique de la RPDC :

• utilisation de services de paiement numérique, en particulier s'ils sont liés à la Chine ;
• incohérences dans les détails personnels et professionnels (orthographe du nom, nationalité, données de contact, éducation, etc.) ;
• sites Web de portfolio, médias sociaux ou profils de développeurs surprenants ;
• des messages directs ou des appels téléphoniques de personnes prétendant être des cadres de niveau C de logiciels pour des services ou pour faire de la publicité pour des compétences ;
• une adresse de destination pour recevoir des articles liés au travail qui ne figure pas sur la pièce d'identité du développeur ;
• demander à être payé en monnaie virtuelle ;
• informations de contact incorrectes ou modifiées (numéros de téléphone, adresses électroniques) ;
• demander à des collègues de travail d'emprunter certaines de leurs informations personnelles pour obtenir d'autres contrats.

Les éléments ci-dessus ne seraient que quelques-uns des indicateurs qui montrent qu'un informaticien de la RPDC tente d'obtenir un emploi auprès d'une entreprise dans le but de soutenir le développement militaire de la Corée du Nord. Selon les autorités américaines, les plateformes d'appels d'offres et les entreprises devraient faire preuve de diligence raisonnable, notamment en vérifiant l'identité d'un développeur pour détecter d'éventuels signes de fraude avant de le laisser s'engager dans des accords de travail.

Sources : L'alerte des autorités américaines (PDF), le département d'État américain

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des allégations des autorités américaines sur les développeurs espions nord-coréens ?

Voir aussi

Kim Jong Un maintenu au pouvoir par une armée croissante de pirates informatiques, la Corée du Nord compte sur la cybercriminalité pour financer les armes nucléaires et soutenir l'économie

Après avoir été piraté par la Corée du Nord, un hacker a mis l'Internet du pays hors service, en exploitant des vulnérabilités dans les outils comme Apache et NginX

Les États-Unis condamnent un expert en cryptomonnaie à 5 ans de prison après une présentation sur la blockchain en Corée du Nord, Virgil Griffith écope également d'une amende de 100 000 dollars

[micka132]

En même temps, faut-être sacrément con pour embaucher de l'expert sécurité en freelance télétravail complet et qu'on ne peut pas s'assurer à minima de son identité. Cela vaut aussi dans une moindre mesure pour n'importe quelle autre poste dès lors que l'entreprise est sensible.
Mais bon avec la mondialisation bisounours beaucoup ont oublié que tout le monde n'est pas dans le même "camp".

[GoloZer]

Connaissant la rivalité entre ces 2 pays rien d'étonnant là-dedans !

[Anthony]

Le FBI affirme que la Corée du Nord a déployé des milliers de faux informaticiens pour financer son programme d'armement, ce stratagème informatique nord-coréen aurait généré des millions de dollars

Le FBI affirme que la Corée du Nord a orchestré pendant des années un stratagème informatique qui a permis de tromper de nombreuses entreprises en faisant travailler des informaticiens à distance dans des sociétés basées aux États-Unis. Les salaires des informaticiens ont ensuite été envoyés à la Corée du Nord pour financer son programme de missiles balistiques.

Associated Press rapporte que des informaticiens ont réussi à tromper des entreprises américaines par divers moyens. Les informaticiens déployés par la Corée du Nord sont envoyés sur des continents comme la Chine et la Russie, où ils passent des contrats avec des entreprises américaines pour travailler à distance.

Selon Jay Greenberg, agent spécial en charge du bureau du FBI à St. Louis, les travailleurs ont utilisé de nombreux moyens pour donner l'impression de travailler aux États-Unis, notamment en payant des Américains pour qu'ils utilisent les connexions Wi-Fi de leur domicile.

Le stratagème informatique de la Corée du Nord a permis de générer des millions de dollars par an pour le compte d'entités désignées, telles que le ministère nord-coréen de la Défense et d'autres, en utilisant des comptes pseudonymes de courrier électronique, de médias sociaux, de plateformes de paiement et de sites d'emploi en ligne, ainsi que de faux sites web et des ordinateurs mandataires situés aux États-Unis et ailleurs.

En plus de générer des millions de dollars pour le programme d'armement de la Corée du Nord, le système a également infiltré les réseaux informatiques d'employeurs inconnus pour voler des informations et en conserver l'accès en vue de futures activités de piratage et d'extorsion.

Indicateurs potentiels des informaticiens nord-coréens

Le ministère de la Justice a publié une liste complète d'indicateurs supplémentaires pour aider à protéger les entreprises technologiques américaines contre l'emploi de ces travailleurs.

La liste indique que le travailleur est incapable ou refuse de se présenter devant une caméra, de mener des entretiens vidéo ou d'organiser des réunions vidéo. Une inquiétude injustifiée ou le refus de se soumettre à des tests de dépistage de drogues ou à des réunions en personne.

Les informaticiens déployés par la Corée du Nord peuvent également montrer des signes de tricherie lors d'examens de codage ou lorsqu'ils remplissent des questionnaires d'embauche et des questions d'entretien. Leurs médias sociaux et autres comptes en ligne ne correspondent pas au CV soumis par la personne employée, plusieurs profils en ligne avec différentes images pour la même personne, ou des profils en ligne sans photo.

Des adresses personnelles incohérentes, des demandes répétées de paiement anticipé, une formation inscrite dans des universités chinoises, japonaises et singapouriennes, ainsi que d'autres facteurs sont également mentionnés comme indicateurs possibles du fait que l'individu est un travailleur informatique déployé par la Corée du Nord.

Les autorités du FBI ont affirmé que la prévalence de ce stratagème informatique est si courante que les entreprises doivent redoubler de prudence lorsqu'elles recrutent. Associated Press rapporte que d'autres entreprises américaines pourraient également avoir travaillé avec des Nord-Coréens et d'autres pays.

Mesures prises par les États-Unis et le FBI pour lutter contre ce stratagème

L'action autorisée par le tribunal et rendue publique le mercredi 18 octobre indique que le ministère de la Justice a ordonné une saisie. Il précise qu'une enquête en cours permettra de saisir 1,5 million de dollars et 17 noms de domaine.

Le procureur général adjoint Matthew G. Olsen, de la division de la sécurité nationale du ministère de la Justice, explique que cette mesure vise à protéger les entreprises américaines "contre l'infiltration de codes informatiques nord-coréens et à faire en sorte que les entreprises américaines ne soient pas utilisées pour financer le programme d'armement de ce régime".

Les États-Unis ont également collaboré avec la Corée du Sud pour partager des informations sur les menaces concernant le système informatique de la Corée du Nord, ainsi que pour traiter des initiatives visant à renforcer les partenariats public-privé.

La section cybernétique de la division de la sécurité nationale du bureau du procureur du district oriental du Missouri examine cette situation. L'enquête a été menée par le bureau local du FBI à St. Louis, avec l'aide de la division cybernétique du FBI.

Source : Associated Press

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Le FBI met en garde contre l'embauche accidentelle d'un pirate nord-coréen, car ils utiliseraient leurs salaires pour soutenir les programmes d'armes nucléaires de la Corée du Nord

Kim Jong Un maintenu au pouvoir par une armée croissante de pirates informatiques, la Corée du Nord compte sur la cybercriminalité pour financer les armes nucléaires et soutenir l'économie

[Jules34]

Le FBI affirme que la Corée du Nord a déployé des milliers de faux informaticiens pour financer son programme d'armement, ce stratagème informatique nord-coréen aurait généré des millions de dollars

Les américains envoient aussi des gens chez nous, ils partent de grosses entreprises comme Exxon, Facebook, et deviennent commissaires européens !

Fiona Scott Morton a été choisie par la Commission pour surveiller les Gafam et la Britannique Ellen Robson pour diriger le personnel du Parlement européen. Autrement dit une ancienne consultant d'Apple et Microsoft arrive en Europe pour vérifier que tout roule niveau non concurrence marché libre et parfait . Le parlement s'est opposé mais bon, on imagine volontiers le sérieux de l'institution et leur réelle envie d'aider les peuples européens.

Même le Sénat Français avait fait un rapport sur le sujet qui date un peu maintenant mais donnait déjà le ton en 2013 : "l'Union européenne, colonie du monde numérique ?"

On se fait tellement marcher dessus en Europe que ce qu'affirme le FBI pour faire sa victime, je m'en tape, quelle bande de salopard ces américains.

Allez on sourit on paie la taxe foncière et on met de côté pour la taxe carbone !!!

[Jade Emy]

Une femme de l'Arizona est accusée d'avoir aidé des Nord-Coréens à obtenir des emplois informatiques à distance, la conspiration de 6,8 millions de dollars impliquait l'usurpation d'identité.

Une femme de l'Arizona est accusée d'avoir aidé des Nord-Coréens à obtenir des emplois informatiques à distance dans 300 entreprises. La conspiration présumée de 6,8 millions de dollars impliquait une "ferme d'ordinateurs portables", l'usurpation d'identité et l'accompagnement de curriculum vitae.

Les procureurs américains ont accusé une Américaine d'avoir aidé des Nord-Coréens à trouver des emplois à distance aux États-Unis, puis d'avoir envoyé leur salaire en Corée du Nord. Christina Chapman est accusée, aux côtés de trois ressortissants nord-coréens, d'avoir participé à ce complot complexe.

Selon les procureurs, cette résidente de l'Arizona aurait volé l'identité de citoyens américains, puis aidé des travailleurs informatiques étrangers à utiliser ces identités pour se faire passer pour des Américains et obtenir un emploi dans des entreprises américaines. Mme Chapman a été inculpée de neuf chefs d'accusation pour conspiration en vue de frauder les États-Unis.

Les enquêteurs ont déclaré que ce stratagème "stupéfiant" utilisait les identités volées de 60 personnes et générait près de 7 millions de dollars de fonds qui étaient renvoyés en Corée du Nord, peut-être pour contribuer au programme d'armement du pays. Le système - impliquant quelque 300 entreprises américaines - aurait débuté en octobre 2020. Selon l'acte d'accusation, il s'agissait de "travailleurs hautement qualifiés dans le domaine des technologies de l'information".

Les entreprises, qui n'étaient pas au courant de la combine, n'ont pas été identifiées, mais des fonctionnaires ont déclaré qu'elles comprenaient plusieurs sociétés Fortune 500, ainsi qu'un grand réseau de télévision, une société de défense indicta, une "première" société technologique de la Silicon Valley et un constructeur automobile américain "emblématique".

Mme Chapman, 49 ans, aurait dirigé une "ferme d'ordinateurs portables" depuis son domicile, où elle se connectait aux ordinateurs portables fournis par les entreprises de manière à donner l'impression que les travailleurs nord-coréens d'autres pays se trouvaient physiquement aux États-Unis. Elle aidait ensuite les informaticiens à se connecter à distance aux ordinateurs portables et à recevoir leurs salaires des entreprises, selon le document d'inculpation de 57 pages.

L'acte d'accusation précise qu'"en échange, Mme Chapman facturait des frais mensuels aux travailleurs informatiques étrangers pour ses services, s'enrichissant ainsi grâce à ce stratagème". Elle est également accusée d'avoir tenté en vain de trouver un emploi auprès d'agences gouvernementales américaines.

"Les accusations portées dans cette affaire devraient alerter les entreprises américaines et les agences gouvernementales qui emploient des informaticiens à distance", a déclaré Nicole Argentieri, responsable de la division criminelle du ministère de la justice. "Ces crimes ont profité au gouvernement nord-coréen, lui procurant une source de revenus et, dans certains cas, des informations exclusives volées par les co-conspirateurs."

Selon les autorités, Mme Chapman a été contactée en mars 2020 par un inconnu qui lui a demandé d'être "le visage américain" de son entreprise. Mme Chapman est inculpée aux côtés des citoyens nord-coréens Jiho Han, Chunji Jin et Haoran Xu, qui sont toujours en fuite. Tous trois sont liés au département nord-coréen de l'industrie des munitions, selon le département d'État américain, qui note que l'organisation s'occupe de la production de missiles balistiques et d'armes pour la Corée du Nord.

Le département d'État américain a offert 5 millions de dollars pour "toute information permettant de démanteler" les activités nord-coréennes de blanchiment d'argent et de fraude financière. Mme Chapman a été arrêtée jeudi en Arizona.

Source : Acte d'accusation

Et vous ?

Quel est votre avis sur cette affaire ?
Pensez-vous que ces accusations sont crédibles ou pertinentes ?

Voir aussi :

Le FBI affirme que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement. Ce stratagème nord-coréen aurait généré des millions de dollars

Le FBI affirme que des personnes utilisent des deepfakes pour postuler à des emplois à distance, les imposteurs auraient pour but de voler les données sensibles des entreprises

Le FBI met en garde contre l'embauche accidentelle d'un pirate nord-coréen, car ils utiliseraient leurs salaires pour soutenir les programmes d'armes nucléaires de la Corée du Nord

[Jade Emy]

KnowBe4, une société de cybersécurité, découvre qu'un travailleur à distance est en réalité un pirate nord-coréen, lorsque le Mac fourni par l'entreprise a commencé à charger des logiciels malveillants.

La société de sensibilisation à la cybersécurité KnowBe4 découvre qu'un travailleur à distance est en réalité un pirate nord-coréen. La société a remarqué qu'il y avait anguille sous roche lorsque le Mac fourni par l'entreprise a commencé à charger des logiciels malveillants.

Selon un rapport antérieur, le FBI affirme que la Corée du Nord a orchestré pendant des années un stratagème informatique qui a permis de tromper de nombreuses entreprises en faisant travailler des informaticiens à distance dans des sociétés basées aux États-Unis. Les travailleurs ont utilisé de nombreux moyens pour donner l'impression de travailler aux États-Unis, notamment en payant des Américains pour qu'ils utilisent les connexions Wi-Fi de leur domicile. Les informaticiens déployés par la Corée du Nord sont envoyés sur des continents comme la Chine et la Russie, où ils passent des contrats avec des entreprises américaines pour travailler à distance.

Le stratagème informatique de la Corée du Nord a permis de générer des millions de dollars par an pour le programme d'armement de la Corée du Nord. Le système a également infiltré les réseaux informatiques d'employeurs inconnus pour voler des informations et en conserver l'accès en vue de futures activités de piratage et d'extorsion.

Récemment, une société américaine de formation à la cybersécurité a découvert qu'elle avait embauché par erreur un pirate informatique nord-coréen en tant qu'ingénieur logiciel après que l'ordinateur nouvellement fourni à l'employé ait été infecté par des logiciels malveillants. L'incident s'est produit chez KnowBe4, qui développe des programmes de sensibilisation à la sécurité pour enseigner aux employés les attaques par hameçonnage et les cybermenaces.

L'entreprise a récemment embauché un ingénieur logiciel à distance qui a passé l'entretien et la procédure de vérification des antécédents. Mais après, KnowBe4 a découvert quelque chose d'étrange après avoir envoyé à l'employé un Mac fourni par l'entreprise. « Dès qu'il a été reçu, il a immédiatement commencé à charger un logiciel malveillant », a indiqué KnowBe4.

L'entreprise a détecté le logiciel malveillant grâce au logiciel de sécurité intégré au Mac. Une enquête, menée avec l'aide du FBI et de Mandiant, le service de sécurité de Google, a ensuite permis de conclure que l'ingénieur logiciel engagé était en fait un Nord-Coréen qui se faisait passer pour un travailleur du secteur des technologies de l'information.

Heureusement, l'entreprise a pu contenir le Mac à distance avant que le pirate ne puisse utiliser l'ordinateur pour compromettre les systèmes internes de KnowBe4. Lorsque le logiciel malveillant a été détecté pour la première fois, l'équipe informatique de l'entreprise a d'abord contacté l'employé, qui a prétendu « qu'il suivait les étapes du guide de son routeur pour résoudre un problème de vitesse ». En réalité, KnowBe4 a surpris le travailleur embauché en train de manipuler des fichiers de session et d'exécuter des logiciels non autorisés, notamment en utilisant un Raspberry Pi pour charger le logiciel malveillant.

Comment un faux informaticien nord-coréen a tenté d'infiltrer la société de cybersécurité KnowBe4

KnowBe4 avait besoin d'un ingénieur logiciel pour son équipe interne d'intelligence artificielle. Ils ont publié le poste, reçu des CV, organisé des entretiens, vérifié les antécédents et les références, et embauché la personne. Ils ont envoyé un poste de travail Mac, et dès sa réception, il a immédiatement commencé à charger des logiciels malveillants.

L'équipe des ressources humaines a mené quatre entretiens par vidéoconférence à des occasions différentes, confirmant que la personne correspondait à la photo fournie sur sa candidature. En outre, une vérification des antécédents et toutes les autres vérifications standards préalables à l'embauche ont été effectuées et n'ont rien donné en raison de l'utilisation d'une identité volée. Il s'agissait d'une personne réelle utilisant une identité valide mais volée, basée aux États-Unis. La photo a été "améliorée" par l'IA.

Le logiciel EDR l'a détectée et a alerté le centre d'opérations de sécurité InfoSec. Le SOC a appelé le nouvel employé et lui a demandé s'il pouvait l'aider. KnowBe4 a partagé les données recueillies avec Mandiant, un expert mondial en cybersécurité, et avec le FBI, afin de corroborer ces premières conclusions. Il s'est avéré qu'il s'agissait d'un faux informaticien de Corée du Nord. L'image que vous voyez est un faux d'IA qui a commencé par une photographie de stock. À gauche, l'image originale. À droite, la fausse image d'IA soumise aux RH.

Résumé du rapport d'incident : Menace interne

Ce rapport couvre l'enquête sur l'employé ID : XXXX embauché en tant qu'ingénieur logiciel principal. Le 15 juillet 2024, une série d'activités suspectes a été détectée sur ce compte utilisateur. Sur la base de l'évaluation des activités par l'équipe SOC, il a été constaté que cela pouvait être intentionnel de la part de l'utilisateur et suspecté d'être une menace interne/un acteur de l'État-nation. Après l'enquête initiale et le confinement de l'hôte, une enquête plus détaillée sur le nouvel employé a eu lieu.

Le 15 juillet 2024, une série d'activités suspectes a été détectée sur l'utilisateur à partir de 21 h 55 (heure de l'Est). Lorsque ces alertes sont arrivées, l'équipe SOC de KnowBe4 a contacté l'utilisateur pour s'enquérir de l'activité anormale et de sa cause possible. XXXX a répondu au SOC qu'il suivait les étapes du guide de son routeur pour résoudre un problème de vitesse et que cela avait pu causer une compromission.

L'attaquant a effectué diverses actions pour manipuler les fichiers d'historique de session, transférer des fichiers potentiellement dangereux et exécuter des logiciels non autorisés. Il a utilisé un Raspberry Pi pour télécharger le logiciel malveillant. Le SOC a tenté d'obtenir plus de détails de la part de XXXX, notamment en l'appelant. XXXX a déclaré qu'il n'était pas disponible pour un appel et qu'il ne répondait plus. Vers 22 h 20 (heure de l'Est), le SOC a confiné l'appareil de XXXX.

Le faux travailleur demande à ce que son poste de travail soit envoyé à une adresse qui est en fait une "ferme d'ordinateurs portables de la mule informatique". Ils se connectent ensuite par VPN depuis l'endroit où ils se trouvent réellement (Corée du Nord ou Chine) et travaillent de nuit pour donner l'impression de travailler pendant la journée aux États-Unis. L'escroquerie consiste à dire qu'ils font réellement le travail, qu'ils sont bien payés et qu'ils donnent un montant important à la Corée du Nord pour financer leurs programmes illégaux. Je n'ai pas besoin de vous parler du risque grave que cela représente. C'est une bonne chose que nous ayons des « Knewbies » dans un bac à sable lorsqu'ils commencent. Nos contrôles l'ont détecté, mais ce fut un moment d'apprentissage que je suis heureux de partager avec tout le monde.

Conseils pour éviter cela

• Scannez vos appareils à distance pour vous assurer que personne ne les utilise.
• Un meilleur contrôle, pour s'assurer qu'ils sont physiquement là où ils sont censés être.
• Mieux analyser les CV pour détecter les incohérences de carrière.
• Faites passer ces personnes devant une caméra vidéo et posez-leur des questions sur le travail qu'elles effectuent.
• L'adresse d'expédition de l'ordinateur portable, différente de l'endroit où ils sont censés vivre/travailler, est un signal d'alarme.

Recommandation pour améliorer les processus

• La vérification des antécédents semble inadéquate. Les noms utilisés ne sont pas cohérents.
• Les références n'ont potentiellement pas été vérifiées correctement. Ne pas se fier uniquement à des références envoyées par courrier électronique.
• Mettre en œuvre une surveillance renforcée de toute tentative continue d'accès aux systèmes.
• Examiner et renforcer les contrôles d'accès et les processus d'authentification.
• Organiser une formation de sensibilisation à la sécurité pour les employés, en mettant l'accent sur les tactiques d'ingénierie sociale.

Ce à quoi il faut faire attention

• L'utilisation de numéros VOIP et l'absence d'empreinte numérique pour les informations de contact fournies.
• Divergences dans l'adresse et la date de naissance entre différentes sources
• Informations personnelles contradictoires (état civil, « urgences familiales » expliquant l'indisponibilité)
• Utilisation sophistiquée de VPN ou de machines virtuelles pour accéder aux systèmes de l'entreprise.
• Tentative d'exécution de logiciels malveillants et efforts de dissimulation subséquents

Alertez le RH à propos

Le sujet a fait preuve d'un haut niveau de sophistication en créant une identité de couverture crédible, en exploitant les faiblesses des processus de recrutement et de vérification des antécédents, et en tentant de s'implanter dans les systèmes de l'organisation.

Il s'agit d'un réseau criminel de grande envergure, bien organisé et soutenu par l'État, qui dispose de ressources considérables. Ce cas met en évidence le besoin critique de processus de vérification plus robustes, d'une surveillance continue de la sécurité et d'une meilleure coordination entre les équipes des ressources humaines, des technologies de l'information et de la sécurité pour se protéger contre les menaces persistantes avancées.

Source : Knowbe4

Et vous ?

Quel est votre avis sur cet incident ?
Selon vous, quelles sont les solutions pour éviter ce genre de cas ?

Voir aussi :

Le FBI affirme que la Corée du Nord a déployé des milliers de faux informaticiens pour financer son programme d'armement, ce stratagème informatique nord-coréen aurait généré des millions de dollars

Le FBI met en garde contre l'embauche accidentelle d'un pirate nord-coréen, car ils utiliseraient leurs salaires pour soutenir les programmes d'armes nucléaires de la Corée du Nord

[RenarddeFeu]

Quel cancer cette entreprise ! Elle arrête pas de m'envoyer des faux mails de phishing qui si on clique dessus affichent un message du genre "Ha ! Ha ! T'as cliqué ! T'es une grosse merde !"

J'en ai eu tellement marre que j'ai blacklisté leurs noms de domaine, au grand damne de mon responsable informatique qui ne comprends pas pourquoi je ne terminé jamais leurs formations obligatoires à temps.

[Patrick Ruiz]

Le DoJ inculpe un Américain pour avoir facilité l'obtention d’emplois IT à distance auprès d’entreprises US et UK par des Nord-Coréens
Dont les salaires servent à financer un programme d’armement

Le FBI a mis la main sur un homme du Tennessee en raison de soupçons pour son rôle de facilitateur dans l’obtention d’emplois IT auprès d’entreprises américaines et britanniques. Le stratagème reposait sur une « ferme d'ordinateurs portables. » Le tableau qui n’est pas le premier dans le genre permet, d’après les autorités américaines, de financer des programmes d’armement de Pyongyang. Il met en sus en avant une facette du télétravail dont les employeurs pourront se servir pour durcir leur position par rapport à cette approche de gestion du personnel.

Une ferme d'ordinateurs portables est un lieu hébergeant plusieurs ordinateurs se connectant tous à l'internet par le biais du même réseau et dans lequel des personnes de la ferme d'ordinateurs portables aident des personnes distantes à se connecter aux ordinateurs. Cela donne l'impression que la personne à distance travaille à la ferme d'ordinateurs portables afin d'éviter les soupçons de son employeur.

Selon les autorités judiciaires américaines, Matthew Isaac Knoot, 38 ans, de Nashville, a escroqué plusieurs entreprises américaines et britanniques en postulant à des emplois technologiques à distance, puis en sous-traitant secrètement ces emplois à des Nord-Coréens.

De juillet 2022 à août 2023, Knoot a travaillé pour un nombre indéterminé de sociétés américaines de médias, de technologie et de finance, qui pensaient avoir embauché un certain Andrew M., un citoyen américain dont l'identité avait été volée. Ces entreprises auraient envoyé à Knoot des ordinateurs portables de travail qu'il a ensuite configurés pour que Nord-Coréens puisse s'y connecter à distance et faire son travail à sa place.

Les autorités judiciaires américaines affirment que les ordinateurs portables dans cette affaire ont été mis en commun aux États-Unis par Knoot, que des travailleurs fantômes nord-coréens se sont connectés à distance pour effectuer le travail qui leur était confié et que, pour les employeurs britanniques et américains, ils employaient un homme en Amérique utilisant la large bande américaine.

Department Disrupts North Korean Remote IT Worker Fraud Schemes Through Charges and Arrest of Nashville Facilitator:https://t.co/SFk9QHzn0j

Summary:
The DOJ disrupted a scheme where North Korean IT workers, aided by Matthew Isaac Knoot in Nashville, used fake identities to get… pic.twitter.com/MekOmUk65t

— Seongsu Park (@unpacker) August 9, 2024

Les fermes d’ordinateurs portables qui permettent d’obtenir à des Nord-Coréens des emplois IT auprès d’entreprises US et UK ne sont pas une première

Les procureurs américains ont accusé une Américaine d'avoir aidé des Nord-Coréens à trouver des emplois à distance aux États-Unis, puis d'avoir envoyé leur salaire en Corée du Nord. Christina Chapman est accusée, aux côtés de trois ressortissants nord-coréens, d'avoir participé à ce complot complexe.

Selon les procureurs, cette résidente de l'Arizona aurait volé l'identité de citoyens américains, puis aidé des travailleurs informatiques étrangers à utiliser ces identités pour se faire passer pour des Américains et obtenir un emploi dans des entreprises américaines. Mme Chapman a été inculpée de neuf chefs d'accusation pour conspiration en vue de frauder les États-Unis.

Les enquêteurs ont déclaré que ce stratagème "stupéfiant" utilisait les identités volées de 60 personnes et générait près de 7 millions de dollars de fonds qui étaient renvoyés en Corée du Nord, peut-être pour contribuer au programme d'armement du pays. Le système - impliquant quelque 300 entreprises américaines - aurait débuté en octobre 2020. Selon l'acte d'accusation, il s'agissait de "travailleurs hautement qualifiés dans le domaine des technologies de l'information".

Les entreprises, qui n'étaient pas au courant de la combine, n'ont pas été identifiées, mais des fonctionnaires ont déclaré qu'elles comprenaient plusieurs sociétés Fortune 500, ainsi qu'un grand réseau de télévision, une société de défense indicta, une "première" société technologique de la Silicon Valley et un constructeur automobile américain "emblématique".

Mme Chapman, 49 ans, aurait dirigé une "ferme d'ordinateurs portables" depuis son domicile, où elle se connectait aux ordinateurs portables fournis par les entreprises de manière à donner l'impression que les travailleurs nord-coréens d'autres pays se trouvaient physiquement aux États-Unis. Elle aidait ensuite les informaticiens à se connecter à distance aux ordinateurs portables et à recevoir leurs salaires des entreprises, selon le document d'inculpation de 57 pages.

L'acte d'accusation précise qu'"en échange, Mme Chapman facturait des frais mensuels aux travailleurs informatiques étrangers pour ses services, s'enrichissant ainsi grâce à ce stratagème". Elle est également accusée d'avoir tenté en vain de trouver un emploi auprès d'agences gouvernementales américaines.

"Les accusations portées dans cette affaire devraient alerter les entreprises américaines et les agences gouvernementales qui emploient des informaticiens à distance", a déclaré Nicole Argentieri, responsable de la division criminelle du ministère de la justice. "Ces crimes ont profité au gouvernement nord-coréen, lui procurant une source de revenus et, dans certains cas, des informations exclusives volées par les co-conspirateurs."

Selon les autorités, Mme Chapman a été contactée en mars 2020 par un inconnu qui lui a demandé d'être "le visage américain" de son entreprise. Mme Chapman est inculpée aux côtés des citoyens nord-coréens Jiho Han, Chunji Jin et Haoran Xu, qui sont toujours en fuite. Tous trois sont liés au département nord-coréen de l'industrie des munitions, selon le département d'État américain, qui note que l'organisation s'occupe de la production de missiles balistiques et d'armes pour la Corée du Nord.

Le département d'État américain a offert 5 millions de dollars pour "toute information permettant de démanteler" les activités nord-coréennes de blanchiment d'argent et de fraude financière. Mme Chapman a été arrêtée jeudi en Arizona.

Source : DoJ

Et vous ?

Partagez-vous les avis selon lesquels ce type de stratagèmes constitue un motif valable pour les employeus de durcir leur position vis-à-vis du télétravail ?

Voir aussi :

Le FBI affirme que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement. Ce stratagème nord-coréen aurait généré des millions de dollars

Le FBI affirme que des personnes utilisent des deepfakes pour postuler à des emplois à distance, les imposteurs auraient pour but de voler les données sensibles des entreprises

Le FBI met en garde contre l'embauche accidentelle d'un pirate nord-coréen, car ils utiliseraient leurs salaires pour soutenir les programmes d'armes nucléaires de la Corée du Nord

[Anthony]

Des douzaines d'entreprises du Fortune 100 ont involontairement embauché des informaticiens nord-coréens sous de fausses identités, compromettant ainsi la sécurité des entreprises technologiques, selon Mandiant

Des douzaines d'organisations du Fortune 100 ont embauché à leur insu des informaticiens nord-coréens utilisant de fausses identités, générant des revenus pour le gouvernement nord-coréen tout en compromettant potentiellement les entreprises technologiques, selon l'unité Mandiant de Google.

En 2023, le FBI avait déjà indiqué que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement. Selon l'agence gouvernementale, les nord-coréens ont orchestré pendant des années un stratagème informatique qui a permis de tromper de nombreuses entreprises en faisant travailler des informaticiens à distance dans des sociétés basées aux États-Unis. Les salaires des informaticiens auraient ensuite été envoyés à la Corée du Nord pour financer son programme de missiles balistiques.

Le lundi 23 septembre 2024, un nouveau rapport a été publié par Mandiant et décrit un schéma commun orchestré par le groupe que l'unité de Google suit sous le nom de UNC5267, actif depuis 2018. Dans la plupart des cas, les informaticiens « se composent d'individus envoyés par le gouvernement nord-coréen pour vivre principalement en Chine et en Russie, avec un plus petit nombre en Afrique et en Asie du Sud-Est. », précise le rapport.

Les informaticiens à distance « obtiennent souvent un accès élevé pour modifier le code et administrer les systèmes de réseau », a constaté Mandiant, qui met en garde contre les effets en aval de l'entrée d'acteurs malveillants dans le sanctuaire intérieur d'une entreprise. Utilisant des identités volées ou fictives, les acteurs sont généralement embauchés en tant que sous-traitants à distance.

Mandiant a constaté que les informaticiens étaient embauchés dans une variété de rôles complexes dans plusieurs secteurs. Certains informaticiens sont employés par plusieurs entreprises et perçoivent plusieurs salaires par mois. La tactique est facilitée par une personne basée aux États-Unis qui gère une ferme d'ordinateurs portables où sont envoyés les ordinateurs portables des informaticiens. Une technologie à distance est installée sur les ordinateurs portables, ce qui permet aux Nord-Coréens de se connecter et de travailler depuis la Chine ou la Russie.

Les informaticiens demandaient généralement que leurs ordinateurs portables professionnels soient envoyés à des adresses différentes de celles figurant sur leur CV, ce qui éveillait les soupçons des entreprises.

Mandiant a déclaré avoir trouvé des preuves que les ordinateurs portables de ces fermes étaient connectés à un dispositif KVM (Keyboard Video Mouse) ou à plusieurs outils de gestion à distance, notamment LogMeIn, GoToMeeting, Chrome Remote Desktop, AnyDesk, TeamViewer et d'autres.

« Les commentaires des membres de l'équipe et des responsables qui se sont entretenus avec Mandiant au cours des enquêtes ont systématiquement mis en évidence des modèles de comportement, tels que la réticence à s'engager dans une communication vidéo et une qualité de travail inférieure à la moyenne affichée par l'informaticien à distance de la République Populaire Démocratique de Corée (RPDC) qui utilisait les ordinateurs portables », a rapporté Mandiant.

Lors de plusieurs interventions, Mandiant a constaté que les informaticiens utilisaient les mêmes CV qui contenaient des liens vers de faux profils d'ingénieurs logiciels hébergés sur Netlify, une plateforme souvent utilisée pour créer et déployer rapidement des sites web. De nombreux CV et profils comportaient un anglais médiocre et d'autres indices indiquant que l'acteur n'était pas basé aux États-Unis.

L'une des caractéristiques observées à plusieurs reprises est l'utilisation d'adresses basées aux États-Unis accompagnées de diplômes délivrés par des universités situées en dehors de l'Amérique du Nord, souvent à Singapour, au Japon ou à Hong Kong. Selon Mandiant, les entreprises ne vérifient généralement pas les diplômes délivrés par les universités étrangères.

Aperçu stratégique des travailleurs du secteur de l'informatique

Depuis 2022, Mandiant a suivi et signalé l'existence d'informaticiens opérant pour le compte de la République populaire démocratique de Corée (RPDC). Ces travailleurs se font passer pour des ressortissants d'autres pays que la Corée du Nord afin d'obtenir un emploi auprès d'organisations dans un large éventail de secteurs, dans le but de générer des revenus pour le régime nord-coréen, en particulier pour échapper aux sanctions et financer ses programmes d'armes de destruction massive (ADM) et de missiles balistiques. Un avis du gouvernement américain datant de 2022 indique que ces travailleurs ont également tiré parti de l'accès privilégié obtenu dans le cadre de leur emploi pour permettre des cyberintrusions malveillantes, une observation corroborée par Mandiant et d'autres organisations.

Les informaticiens emploient diverses méthodes pour échapper à la détection. Mandiant a observé que les opérateurs s'appuient sur des sociétés-écrans pour déguiser leur véritable identité ; en outre, les actes d'accusation du gouvernement américain montrent que des individus non nord-coréens, connus sous le nom de « facilitateurs », jouent un rôle crucial pour faciliter la tâche de ces informaticiens dans leurs efforts de recherche et de maintien de l'emploi. Ces personnes fournissent des services essentiels qui comprennent, sans s'y limiter, le blanchiment d'argent et/ou de crypto-monnaie, la réception et l'hébergement d'ordinateurs portables de l'entreprise à leur domicile, l'utilisation d'identités volées pour la vérification de l'emploi et l'accès aux systèmes financiers internationaux.

Le rapport de Mandiant contribue à mieux faire connaître les efforts déployés par la RPDC pour obtenir un emploi en tant qu'informaticien et met en lumière ses tactiques opérationnelles pour obtenir un emploi et conserver l'accès aux systèmes de l'entreprise. La compréhension de ces méthodes peut aider les organisations à mieux détecter ce type de comportements suspects plus tôt dans le processus d'embauche. Dans son rapport, Mandiant a inclus un échantillon des types de comportements identifiés au cours de ses missions de réponse aux incidents, ainsi que des stratégies pour la détection et la perturbation des activités des informaticiens de la RPDC.

UNC5267

Mandiant suit les opérations des informaticiens que l'unité a identifiés dans divers environnements sous le nom de UNC5267. UNC5267 reste très actif à l'heure actuelle et constitue une menace permanente. Certaines sources suggèrent que l'origine de ces opérations remonte à 2018. Il est important de noter que UNC5267 n'est pas un groupe de menace traditionnel et centralisé. Les informaticiens sont constitués d'individus envoyés par le gouvernement nord-coréen pour vivre principalement en Chine et en Russie, et en plus petit nombre en Afrique et en Asie du Sud-Est. Leur mission consiste à obtenir des emplois lucratifs au sein d'entreprises occidentales, en particulier dans le secteur technologique américain.

UNC5267 obtient un accès initial en utilisant des identités volées pour postuler à divers postes ou pour être recruté en tant que sous-traitant. Les opérateurs de l'UNC5267 ont principalement postulé pour des postes offrant un travail 100 % à distance. Mandiant a observé que les opérateurs effectuaient des travaux d'une complexité et d'une difficulté variables dans des domaines et des secteurs disparates. Il n'est pas rare qu'un informaticien de la RPDC ait plusieurs emplois à la fois et perçoive plusieurs salaires par mois. Un facilitateur américain travaillant avec les informaticiens a compromis plus de 60 identités de personnes américaines, a eu un impact sur plus de 300 entreprises américaines et a permis de générer au moins 6,8 millions de dollars de revenus pour les informaticiens à l'étranger, d'octobre 2020 ou autour d'octobre 2023.

Les objectifs de l'UNC5267 sont les suivants :

• Gagner de l'argent en effectuant des retraits illicites de salaires auprès d'entreprises compromises.
• Maintenir un accès à long terme aux réseaux des victimes en vue d'une éventuelle exploitation financière future
• Utilisation potentielle de l'accès à des fins d'espionnage ou d'activités perturbatrices (bien que cela n'ait pas été observé de manière définitive).

Observations sur les réponses aux incidents

Les missions de réponse aux incidents menées par Mandiant jusqu'à présent ont principalement permis d'observer que les informaticiens de la RPDC agissaient dans le cadre de leurs responsabilités professionnelles. Cependant, les travailleurs à distance obtiennent souvent un accès élevé pour modifier le code et administrer les systèmes de réseau. Ce niveau d'accès élevé accordé aux employés frauduleux présente un risque important pour la sécurité.

L'unité Mandiant de Google a identifié un nombre important de CV d'informaticiens de la RPDC utilisés pour postuler à des emplois à distance. Dans l'un des CV d'un informaticien présumé, l'adresse électronique - précédemment observée dans des activités liées à l'informatique - était également liée à un faux profil d'ingénieur logiciel hébergé sur Netlify, une plateforme souvent utilisée pour créer et déployer rapidement des sites web. Le profil prétendait maîtriser plusieurs langages de programmation et comportait de faux témoignages avec des images volées de professionnels de haut rang, probablement volées à des PDG, des directeurs et d'autres profils LinkedIn d'ingénieurs en logiciel.

Sur la page Netlify de l'informaticien présumé de la RPDC, Mandiant a découvert un CV accompagné d'un lien vers un autre CV hébergé sur Google Docs, présentant une identité différente. Le CV lié présentait un nom, un numéro de téléphone et une adresse électronique différents des informations figurant sur la page Netlify. D'autres divergences entre la page Netlify et le CV lié incluaient des différences dans les universités et les années de fréquentation, ainsi que des variations dans les titres des emplois précédents et dans l'historique de l'entreprise. Cependant, les deux CV comportaient une légère variation de la phrase « Je ne me préoccupe pas de moi, je me préoccupe davantage des autres qui comptent sur moi ».

Ces deux CV ne représentent qu'un petit échantillon du nombre total de CV frauduleux identifiés par Mandiant. Cependant, ils prouvent que les informaticiens de la RPDC ont utilisé plusieurs personnages pour tenter d'obtenir un emploi dans plusieurs organisations.

Une caractéristique récurrente des CV utilisés par l'UNC5267 est l'utilisation d'adresses basées aux États-Unis associées à des diplômes d'universités situées en dehors de l'Amérique du Nord, souvent dans des pays tels que Singapour, le Japon ou Hong Kong. Bien que cela soit possible, Mandiant a noté que le taux d'acceptation des étudiants étrangers dans de nombreuses universités est faible. Cet écart peut empêcher les employeurs nord-américains potentiels de vérifier ou de contacter ces établissements étrangers au sujet du candidat. Mandiant a également observé que les universités mentionnées dans la vérification des antécédents peuvent ne pas correspondre à la formation du candidat mentionnée dans son curriculum vitae, y compris la période d'inscription et les programmes d'études terminés. En outre, les CV d'UNC5267 présentent souvent un chevauchement important avec les CV accessibles au public ou sont largement réutilisés dans plusieurs personas d'UNC5267.

Pour accomplir ses tâches, UNC5267 accède souvent à distance aux ordinateurs portables de l'entreprise victime situés dans une ferme d'ordinateurs portables. Ces fermes d'ordinateurs portables sont généralement dotées d'un seul facilitateur qui est payé mensuellement pour héberger de nombreux appareils au même endroit. Mandiant a identifié des preuves que ces ordinateurs portables sont souvent connectés à un dispositif KVM (Keyboard Video Mouse) basé sur IP, bien qu'un thème récurrent dans ces incidents soit l'installation de plusieurs outils de gestion à distance sur les ordinateurs portables de l'entreprise victime immédiatement après l'envoi à la ferme. Ces outils indiquent que la personne se connecte à distance au système de son entreprise via l'internet et qu'elle n'est peut-être pas géographiquement située dans la ville, l'État ou même le pays où elle déclare résider. Voici une liste des outils d'administration à distance identifiés lors des missions de Mandiant :

• GoToRemote / LogMeIn
• GoToMeeting
• Chrome Remote Desktop
• AnyDesk
• TeamViewer
• RustDesk

Les connexions à ces solutions de gestion à distance provenaient principalement d'adresses IP associées à Astrill VPN, probablement de Chine ou de Corée du Nord. Enfin, les commentaires des membres de l'équipe et des responsables qui se sont entretenus avec Mandiant au cours des enquêtes ont systématiquement mis en évidence des modèles de comportement, tels que la réticence à s'engager dans une communication vidéo et une qualité de travail inférieure à la moyenne affichée par l'informaticien de la RPDC qui utilisait les ordinateurs portables à distance.

Une autre caractéristique commune identifiée dans les missions de Mandiant est que les informaticiens de la RPDC prétendent généralement vivre à un endroit, mais demandent l'envoi des ordinateurs portables à un autre endroit (ferme d'ordinateurs portables ou entité d'habilitation externe). Mandiant a observé que les informaticiens de la RPDC utilisaient le lieu associé à l'identité volée utilisée pour l'emploi, y compris le permis de conduire volé, qui ne correspond souvent pas au lieu où l'ordinateur portable est finalement expédié et stocké.

Méthodes de détection

Mandiant a mis en évidence un certain nombre de stratégies que les organisations peuvent utiliser pour identifier et entraver les opérations des informaticiens de la RPDC, sur la base d'informations provenant de sources fiables et d'avis gouvernementaux. Pour contrer la menace posée par les cyberacteurs nord-coréens, une approche à multiples facettes est nécessaire, combinant des défenses techniques, une formation de sensibilisation des utilisateurs et une chasse aux menaces proactive. Les principales recommandations de Mandiant sont les suivantes :

Vérification des antécédents des candidats à l'emploi

• Exiger des vérifications rigoureuses des antécédents, y compris la collecte d'informations biométriques pour les comparer à des identités connues par l'intermédiaire de services spécialisés de vérification des antécédents, peut décourager l'utilisation de faux.
• Mettre en place des procédures d'entretien rigoureuses, par exemple en exigeant l'utilisation de caméras pendant les entretiens pour s'assurer que l'apparence visuelle correspond aux profils en ligne, en vérifiant que la personne interrogée correspond à la pièce d'identité fournie et en posant des questions pour établir la cohérence des réponses d'un candidat par rapport à ses antécédents supposés.
  
  • Des avis du gouvernement américain et des tiers de confiance ont également noté la réticence des informaticiens à allumer les caméras et leur utilisation de faux antécédents lors des entretiens.
• Former les services des ressources humaines à repérer les incohérences de manière générale et à apprendre les tactiques, techniques et procédures (TTP) des informaticiens.
• Contrôler l'utilisation de l'intelligence artificielle (IA) pour modifier les photos de profil d'emploi.
  
  • Mandiant a observé de multiples cas où les informaticiens de la RPDC ont utilisé l'IA pour modifier les photos de profil.
  • Les organisations concernées ont utilisé des outils libres pour déterminer si l'image avait été créée à l'aide de l'intelligence artificielle.
• Exiger une preuve d'identité notariée avant l'embauche.

Observations des indicateurs techniques potentiels

• Vérifier les numéros de téléphone pour identifier les numéros de téléphone VoIP (Voice over Internet Protocol). L'utilisation de numéros de téléphone VoIP est une tactique couramment employée par l'UNC5267.
• Vérifier que l'ordinateur portable de l'entreprise est expédié et ensuite géolocalisé à l'endroit où l'individu déclare résider lors de l'intégration. Mandiant a observé des cas où l'ordinateur portable de l'entreprise déployé n'a jamais été géolocalisé à l'endroit où la personne a déclaré résider.
• Contrôler et restreindre l'utilisation et l'installation d'outils d'administration à distance :
  
  • Empêcher toute connexion à distance à des ordinateurs fournis par l'entreprise qui pourraient par la suite accéder au réseau de l'entreprise.
  • Contrôler les outils d'administration à distance peu courants.
  • Contrôler si plusieurs outils d'administration à distance sont installés sur un même système.
• Contrôler l'utilisation de services VPN pour se connecter à l'infrastructure de l'entreprise. Les adresses IP associées aux services VPN, tels qu'Astrill VPN, devraient faire l'objet d'un examen plus approfondi.
• Contrôler l'utilisation de logiciels de « mouse jiggling ». Mandiant a observé des cas où des informaticiens de la RPDC utilisent le logiciel Caffeine pour rester actifs sur plusieurs ordinateurs portables et profils. Cela facilite l'utilisation sur les sites des facilitateurs, où il est essentiel que les ordinateurs portables restent allumés et fonctionnent, et pour les informaticiens de la RPDC qui ont souvent plusieurs emplois à la fois et doivent apparaître en ligne.
• Demander la vérification du numéro de série de l'ordinateur portable au moment de l'intégration des informaticiens. Cette information doit être facilement accessible à toute personne en possession physique de l'appareil de l'entreprise.
• Utiliser un système d'authentification multifactorielle basé sur le matériel pour garantir l'accès physique aux appareils de l'entreprise.
• Surveiller et restreindre l'utilisation des dispositifs KVM basés sur IP. Les KVM IP sont fréquemment utilisés par les informaticiens de la RPDC pour maintenir un accès à distance permanent aux appareils de l'entreprise.

Stratégies de mitigation en cours

• Envisager d'effectuer des contrôles ponctuels obligatoires périodiques au cours desquels les employés à distance doivent être filmés.
• Proposer aux utilisateurs et aux employés une formation continue sur les menaces et les tendances actuelles, ce qui est essentiel pour identifier les activités potentiellement malveillantes. Fournir une formation supplémentaire sur le signalement des activités suspectes.
• Collaborer avec les communautés de partage d'informations et les fournisseurs de sécurité pour se tenir au courant des dernières menaces et stratégies de mitigation.
• Exiger l'utilisation de banques américaines pour les transactions financières afin d'entraver les efforts des informaticiens, car l'acquisition de comptes bancaires américains est plus difficile et implique une vérification d'identité plus stricte que dans de nombreux autres pays.

Pour les clients de Google SecOps Enterprise+, des règles ont été ajoutées au pack de règles Emerging Threats, et les indicateurs de compromission (IOC) répertoriés dans le rapport de Mandiant sont disponibles pour être classés par ordre de priorité avec Applied Threat Intelligence.

Mandiant propose également des services Custom Threat Hunt basés sur le renseignement et pilotés par des humains pour révéler les activités en cours ou passées des acteurs de la menace dans les environnements cloud et sur site. Ce service comprend une analyse adaptée aux particularités de la pile technologique et aux menaces ciblant les utilisateurs.

Perspectives et implications

Les informaticiens nord-coréens, bien que soumis à des contraintes importantes, représentent une cybermenace persistante et croissante. La double motivation qui sous-tend leurs activités - la réalisation des objectifs de l'État et la recherche de gains financiers personnels - les rend particulièrement dangereux. Leurs compétences techniques, associées à des tactiques d'évasion sophistiquées, constituent un formidable défi, en particulier pour les équipes de RH et de recrutement chargées d'identifier les menaces potentielles au cours du processus d'embauche.

Compte tenu de leurs succès passés et de la dépendance du régime de la RPDC à l'égard des cyberopérations pour ses revenus et ses objectifs stratégiques, Mandiant prévoit une augmentation continue des attaques et des intrusions sophistiquées ciblant les entreprises du monde entier. Les informaticiens continuent d'avoir un impact particulier sur les organisations occidentales, avec un nombre croissant d'organisations européennes ciblées. Ces attaques peuvent entraîner des violations de données, des pertes financières, des vols de propriété intellectuelle et l'interruption de services essentiels.

Les activités des informaticiens nord-coréens soulignent la nécessité d'une vigilance soutenue et d'une attitude proactive en matière de cybersécurité. Bien que la menace soit complexe, une combinaison de mesures de sécurité robustes, de sensibilisation des employés et d'efforts de collaboration peut considérablement améliorer la résilience d'une organisation face à ces acteurs malveillants. En outre, l'utilisation d'outils avancés de détection des menaces et le maintien de solides plans de réponse aux incidents sont essentiels pour minimiser l'impact des violations potentielles. La collaboration avec les pairs du secteur et les agences de cybersécurité pour partager les informations sur les menaces peut encore renforcer les défenses contre cette menace en constante évolution.

Mandiant a déclaré participer avec succès à cet effort en s'appuyant sur des partenariats publics ou privés avec des organisations clés et des victimes. Si une organisation a été touchée ou si des informations sont disponibles concernant les cyber-opérations de la RPDC, Mandiant a indiqué qu'il peut aider à transmettre ces informations aux personnes qui ont besoin d'être protégées ou informées. Cela concerne tout le monde.

Une collection de renseignements sur les menaces de Google comprenant des IOC liés à l'activité de l'UNC5267 est maintenant disponible pour les utilisateurs enregistrés.

À propos de Mandiant
Mandiant est une société américaine de cybersécurité, leader reconnu en matière de cyberdéfense dynamique, de renseignements sur les menaces et de services de réponse aux incidents. En mettant à profit des décennies d'expérience en première ligne, Mandiant protège les organisations des cyberattaques et leur donne confiance dans leur état de préparation. Mandiant combine une expertise, une CTI et des technologies leaders du marché pour créer des services et produits garants d'une cyberdéfense dynamique.

Source : Mandiant

Et vous ?

Quelle lecture faites-vous de cette situation ?
Trouvez-vous que les recommandations de Mandiant pour identifier et entraver les opérations des informaticiens nord-coréens sont crédibles ou pertinentes ?

Voir aussi :

Le FBI affirme que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement, ce stratagème nord-coréen aurait généré des millions de dollars

Le FBI met en garde contre l'embauche accidentelle d'un pirate nord-coréen, car ils utiliseraient leurs salaires pour soutenir les programmes d'armes nucléaires de la Corée du Nord

[Bruno]

La fraude nord-coréenne impliquant des faux informaticiens a rapporté au moins 88 millions de dollars en six ans
un défi de taille pour la cybersécurité mondiale

L'escroquerie nord-coréenne impliquant des faux informaticiens a rapporté au moins 88 millions de dollars en six ans, selon le ministère américain de la Justice. Des travailleurs nord-coréens se faisaient passer pour des techniciens à distance en dissimulant leur véritable identité et emplacement, et ciblaient des entreprises, souvent des sociétés informatiques, pour extorquer de l'argent ou voler des données sensibles. Ces « guerriers de l'informatique » ont utilisé des identités fictives et des faux sites web pour obtenir des emplois et exiger des paiements en échange de leur silence ou de la non-divulgation d'informations volées.

Deux entreprises, Yanbian Silverstar en Chine et Volasys Silverstar en Russie, sont identifiées comme ayant facilité cette opération en employant plus de 130 informaticiens nord-coréens. Ces derniers auraient dû générer un revenu de 93,6 millions de dollars sur six ans, avec des objectifs mensuels de 10 000 dollars par technicien. En parallèle, des extorsions plus violentes ont eu lieu avec des demandes de rançons en cryptomonnaies.

Le FBI et le Département d'État américain ont intensifié leurs efforts pour démanteler ce réseau, en offrant une récompense pour toute information perturbant ces activités. Cependant, malgré l'identification des responsables, la menace reste active, le gouvernement nord-coréen ayant formé des milliers d'informaticiens pour mener ces escroqueries à grande échelle.

Informaticiens nord-coréens impliqués dans un programme de fraude et d'extorsion

Un tribunal fédéral de Saint-Louis (Missouri) a inculpé 14 ressortissants de la République populaire démocratique de Corée du Nord (RPDC) pour leur implication dans une conspiration de longue durée visant à violer les sanctions américaines, ainsi que pour des actes de fraude électronique, de blanchiment d'argent et d'usurpation d'identité. Ces conspirateurs, travaillant pour les sociétés nord-coréennes Yanbian Silverstar et Volasys Silverstar, basées en Chine et en Russie, ont utilisé de fausses identités, des identités volées et des identités empruntées à des Américains pour se faire passer pour des informaticiens à distance travaillant pour des entreprises américaines et des organisations à but non lucratif. Pendant six ans, ils ont généré au moins 88 millions de dollars, en grande partie en volant des informations sensibles des entreprises, qu'ils utilisaient ensuite pour extorquer de l'argent.

Les conspirateurs, agissant sous la direction de leurs supérieurs, ont complété leurs revenus en menaçant de divulguer des informations confidentielles de leurs employeurs si ceux-ci refusaient de payer. Les fonds générés par ces activités ont été transférés par l'intermédiaire de systèmes financiers américains et chinois vers des comptes en Chine, alimentant ainsi les ressources du régime nord-coréen.

Le FBI met en lumière un stratagème informatique nord-coréen

En 2023, le FBI a révélé que la Corée du Nord avait mis en place, sur plusieurs années, un stratagème informatique permettant de tromper de nombreuses entreprises américaines en faisant travailler des informaticiens à distance pour elles. Les salaires perçus par ces travailleurs étaient ensuite envoyés en Corée du Nord pour financer le programme de missiles balistiques du pays.

Selon un reportage de l'Associated Press, ces informaticiens ont utilisé diverses méthodes pour duper les entreprises américaines. Déployés dans des pays comme la Chine et la Russie, ils ont signé des contrats pour travailler à distance pour des sociétés basées aux États-Unis. Jay Greenberg, agent spécial du FBI à Saint-Louis, a expliqué que ces travailleurs ont mis en œuvre plusieurs stratégies pour simuler qu’ils travaillaient depuis les États-Unis. Par exemple, certains ont payé des Américains pour utiliser leur connexion Wi-Fi afin de dissimuler leur localisation réelle.

Le stratagème a permis de générer des millions de dollars annuellement pour des entités liées à la Corée du Nord, comme le ministère de la Défense, grâce à l’utilisation de faux comptes de messagerie, de médias sociaux, de plateformes de paiement, de sites d’emploi en ligne et de faux sites web. Les informaticiens ont également utilisé des ordinateurs mandataires situés aux États-Unis et ailleurs.

En plus de financer le programme d'armement, ce système a permis aux cybercriminels nord-coréens d'infiltrer les réseaux informatiques d'entreprises américaines pour voler des données sensibles et en conserver l'accès, avec l'intention de mener des piratages et des extorsions futures.

En réponse à cette menace, le ministère de la Justice a publié en 2023 une liste de signes susceptibles de signaler la présence de ces travailleurs nord-coréens dans les entreprises américaines. Parmi ces indicateurs, on trouve l’incapacité ou le refus de se soumettre à des entretiens vidéo, une réticence à passer des tests de dépistage de drogues ou à participer à des réunions en personne, ainsi que des incohérences dans les informations fournies, telles que des adresses personnelles et des profils en ligne discordants. Des demandes de paiement anticipé ou une formation académique douteuse dans des universités chinoises, japonaises ou singapouriennes peuvent aussi être des signes d’alerte.

Le FBI a mis en garde les entreprises contre la fréquence de ce stratagème, les incitant à redoubler de vigilance lorsqu’elles recrutent des travailleurs à distance. D'autres entreprises américaines pourraient également avoir été ciblées par des informaticiens travaillant pour la Corée du Nord ou d'autres pays.

Les dangers de la fraude informatique menée par la Corée du Nord

Les autorités américaines soulignent que l'inculpation des 14 ressortissants nord-coréens illustre l'ingéniosité du régime dans son utilisation de travailleurs informatiques pour générer des revenus par la fraude. Lisa Monaco, procureure générale adjointe, a averti les entreprises du monde entier de rester vigilantes face à cette menace malveillante. Le procureur général adjoint Matthew G. Olsen a précisé que cette action s'inscrit dans le cadre d'une initiative visant à perturber les efforts de la RPDC pour duper les entreprises américaines en embauchant ses citoyens pour travailler à distance, une activité dangereuse pour la cybersécurité, notamment à travers le vol d'informations sensibles à des fins d'extorsion.

Le FBI et les autorités compétentes continuent de lutter contre ces menaces, incitant les entreprises à renforcer leur surveillance des travailleurs informatiques à distance pour éviter le vol de données et la finance involontaire du régime nord-coréen. Les actions antérieures du Département à l'encontre de ce groupe comprennent.

• une saisie autorisée par le tribunal en janvier d'environ 320 000 dollars ;
• une saisie autorisée par le tribunal en juillet d'environ 444 800 dollars ;
• des saisies autorisées par le tribunal annoncées précédemment en octobre 2022 et janvier 2023 d'environ 1,5 million de dollars ;
• des saisies autorisées par le tribunal annoncées précédemment en octobre 2023 et mai 2024 de 29 domaines Internet utilisés par le même groupe pour accroître la bonne foi et l'attrait de leurs identités présumées auprès d'employeurs potentiels.

En plus de ces mesures, le département d'État a annoncé une offre de récompense allant jusqu'à 5 millions de dollars pour des informations sur ces sociétés, les individus identifiés, leurs activités illicites et/ou celles des individus et entités qui leur sont associés.

Le programme Rewards for Justice et la lutte contre l'escroquerie nord-coréenne

Le programme « Rewards for Justice » du département d'État américain offre des récompenses pour des informations permettant de perturber les mécanismes financiers des personnes impliquées dans des activités soutenant le gouvernement nord-coréen. Cela inclut notamment les revenus générés par les travailleurs hautement qualifiés envoyés à l'étranger par la Corée du Nord. Ces travailleurs, souvent des informaticiens, sont employés pour violer les sanctions internationales en trompant des entreprises américaines et étrangères.

Les revenus générés servent à financer le régime de la République populaire démocratique de Corée (RPDC), contribuant ainsi indirectement à ses programmes de développement d'armements interdits par l'ONU. Le FBI et ses partenaires ont mis en lumière que ces travailleurs pouvaient gagner jusqu'à 300 000 dollars par an, générant des centaines de millions de dollars annuellement pour la Corée du Nord.

Les conspirateurs nord-coréens ont déployé diverses méthodes pour masquer leur identité et éviter d’être détectés par leurs employeurs. Ils ont utilisé des identités volées et falsifié des sites web, des comptes de messagerie et des plateformes de recrutement pour se faire passer pour des travailleurs qualifiés. Pour dissimuler leur localisation, ils ont installé des ordinateurs portables aux États-Unis via des « fermes d'ordinateurs portables », permettant ainsi aux informaticiens de travailler à distance depuis la Corée du Nord tout en donnant l'illusion d'être présents aux États-Unis.

En outre, certains informaticiens ont extorqué des paiements supplémentaires à leurs employeurs en menaçant de divulguer des informations confidentielles. Les conspirateurs font face à des accusations de fraude, de blanchiment d'argent et d'usurpation d'identité, avec des peines potentielles allant jusqu'à 27 ans de prison. L'enquête, dirigée par le FBI, met en évidence l'ampleur de cette opération et les risques persistants liés à ces escroqueries.

Ce sujet soulève plusieurs questions importantes concernant la cybercriminalité organisée, les sanctions internationales et la protection des entreprises contre les menaces étrangères. Voici quelques éléments de réflexion sur ce cas d'escroquerie nord-coréenne impliquant des faux informaticiens.

L'escroquerie orchestrée par la Corée du Nord, notamment par le biais de faux informaticiens, met en lumière la sophistication croissante des cyberattaques étatiques. Le fait que des travailleurs nord-coréens aient pu se faire passer pour des employés à distance auprès d'entreprises internationales pendant plusieurs années soulève des préoccupations sur les vulnérabilités existantes dans les systèmes de recrutement et la gestion des travailleurs à distance. Les entreprises, souvent dans le secteur informatique, sont particulièrement exposées à ces menaces, car elles traitent quotidiennement des données sensibles et gèrent des systèmes de haut niveau qui, s'ils sont compromis, peuvent causer des dommages considérables.

Le recours à des identités volées, à des faux sites web et à des pratiques de dissimulation avancées montre l’ingéniosité des opérateurs, mais aussi la difficulté pour les entreprises et les gouvernements de détecter ces menaces avant qu’elles ne causent des dégâts. Ce cas démontre que la cybersécurité est désormais un enjeu global et que la vigilance des entreprises doit être constante, surtout lorsqu'elles font appel à des travailleurs distants dans un contexte international.

La portée des extorsions et les implications pour la politique internationale

Le montant de 88 millions de dollars généré par cette escroquerie en six ans témoigne de l’ampleur de la fraude, mais aussi de la manière dont la Corée du Nord utilise des moyens de financement détournés pour soutenir son régime. En recourant à l'extorsion par cryptomonnaie, les auteurs de l'escroquerie ont exploité une forme de paiement difficile à tracer, ce qui complique l'effort des autorités internationales pour identifier les bénéficiaires et interrompre ces flux financiers. Cela montre également à quel point les réseaux criminels peuvent être interconnectés avec des stratégies étatiques visant à contourner les sanctions internationales.

Le rôle des entreprises comme Yanbian Silverstar et Volasys Silverstar, facilitant l’opération en employant les travailleurs nord-coréens, soulève aussi des questions sur les mécanismes de contrôle dans les pays tiers. Bien que ces entreprises soient situées en Chine et en Russie, elles ont joué un rôle central dans la mise en œuvre de ce programme de fraude, ce qui indique un besoin urgent de coopération internationale et d'une réglementation plus stricte des activités transfrontalières en matière de cybersécurité.

Une menace persistante malgré les efforts de répression

Malgré les efforts du FBI et du Département d'État pour démanteler ce réseau, la menace reste persistante. Comme le souligne l'agent spécial du FBI, le gouvernement nord-coréen a formé et déployé des milliers d'informaticiens pour mener des escroqueries similaires à grande échelle, ce qui laisse entendre que cette opération n'est que la partie visible d'un problème beaucoup plus vaste. Les gouvernements occidentaux, en particulier les États-Unis, se retrouvent dans une situation délicate : bien qu’ils identifient et poursuivent ces réseaux, la nature décentralisée et les moyens sophistiqués employés par ces acteurs rendent difficile la neutralisation complète de cette menace.

De plus, l'accent mis sur l’utilisation de cryptomonnaies pour l’extorsion montre à quel point les technologies modernes, bien qu'elles offrent des avantages indéniables, sont aussi un terrain fertile pour la criminalité internationale. Cela soulève des interrogations sur la régulation des cryptomonnaies, qui, en l'état actuel, restent en grande partie non surveillées par les autorités financières internationales.

Cette affaire souligne l'importance d'une collaboration renforcée entre les entreprises, les autorités nationales et les acteurs internationaux pour contrer la menace grandissante de la cybercriminalité étatique. Si l'inculpation des responsables constitue un pas important, la menace nord-coréenne ne disparaîtra pas de sitôt. Les entreprises doivent être particulièrement vigilantes dans leurs processus de recrutement, et les gouvernements doivent intensifier leurs efforts pour réglementer les flux financiers mondiaux et mettre en place des protocoles de sécurité plus robustes contre les attaques de ce type. La cybersécurité est désormais une priorité mondiale et doit être traitée comme telle pour éviter de futures attaques de grande envergure.

Sources : U.S. Department of Justice (1, 2), U.S District Court

Et vous ?

Quel est votre avis sur le sujet ?

Dans quelle mesure les mesures de cybersécurité des entreprises, notamment dans le secteur technologique, sont-elles suffisantes pour identifier et contrer de telles menaces ? Quelles améliorations devraient être apportées pour éviter que de telles escroqueries ne se reproduisent ?

Quelle est la responsabilité des entreprises qui ont facilité cette escroquerie en recrutant des travailleurs étrangers sans effectuer de vérifications approfondies ? Existe-t-il une négligence ou un manque de diligence de la part de ces entreprises dans la prévention de la fraude ?

Quels sont les impacts à long terme de cette escroquerie pour la réputation et la sécurité des entreprises victimes ? Comment ces entreprises peuvent-elles récupérer la confiance des clients et partenaires après une telle violation de leurs données ?

Voir aussi :

Le FBI affirme que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement, ce stratagème nord-coréen aurait généré des millions de dollars

Kim Jong Un maintenu au pouvoir par une armée croissante de pirates informatiques, la Corée du Nord compte sur la cybercriminalité pour financer les armes nucléaires et soutenir l'économie

Des faux tests de compétences en codage Python pour les développeurs à la recherche d'un nouvel emploi font installer des paquets de logiciels malveillants de Corée du Nord

[Anselme45]

Et bien franchement si les nord-coréens ont réussi à voler que 88 millions en 6 ans, il faut qu'ils prennent des cours auprès des vrais hackers...

[TotoParis]

Et bien franchement si les nord-coréens ont réussi à voler que 88 millions en 6 ans, il faut qu'ils prennent des cours auprès des vrais hackers...

Les petites rivières font les grands fleuves. Le piratage dans les crypto-monaies étant bien plus lucratifs.
Sinon, ce sont les méthodes employées qui inquiètent, le manque de sérieux des entreprises US, les secrets stratégiques auxquels ils ont eu accès...
T'es bouché ou tu es Nord-Coréen ?

[Patrick Ruiz]

Les faux travailleurs IT nord-coréens s’attaquent de plus en plus aux employeurs européens, d’après des rapports
Leur stratagème s’appuie sur le concept dit de « fermes d’ordinateurs portables »

Les faux travailleurs IT nord-coréens s’attaquent de plus en plus aux employeurs européens après des rapports faisant état de cas d’infiltration dans des entreprises américaines et britanniques. Le ur stratagème repose entre autres sur le concept dit de « ferme d'ordinateurs portables. » Le tableau qui n’est pas le premier dans le genre permet de financer des programmes d’armement de Pyongyang. Il met en sus en avant une facette du télétravail dont les employeurs pourront se servir pour durcir leur position par rapport à cette approche de gestion du personnel.

Une ferme d'ordinateurs portables est un lieu hébergeant plusieurs ordinateurs se connectant tous à l'internet par le biais du même réseau et dans lequel des personnes de la ferme d'ordinateurs portables aident des personnes distantes à se connecter aux ordinateurs. Cela donne l'impression que la personne à distance travaille à la ferme d'ordinateurs portables afin d'éviter les soupçons de son employeur.

Ces derniers font de plus en plus usage de cette approche pour cibler des postes dans des entreprises en Allemagne, au Portugal et au Royaume-Uni, en prétendant qu'ils sont des travailleurs de la filière IT originaires du Japon, de Malaisie, de Singapour, d'Ukraine, des États-Unis et du Vietnam.

Les projets européens pour lesquels ils sont employés vont de l'IA à la blockchain en passant par le développement de sites web, de robots et de systèmes de gestion de contenu (CMS).

Certains ciblent le travail dans la base industrielle de défense et les secteurs gouvernementaux en utilisant des références et des personas fabriqués pour faciliter la tromperie des recruteurs d'emploi pour les embaucher.

Ces travailleurs ont été recrutés par le biais de diverses plateformes en ligne, notamment Upwork, Telegram et Freelancer. Le paiement de leurs services a été facilité par les cryptomonnaies, le service TransferWise et Payoneer.

Les rapports y relatifs font état de ce que le régime nord-coréen conserve jusqu'à 90 % des salaires perçus de cette manière, générant ainsi des centaines de millions chaque année pour financer ses programmes d'armement.

Après leur découverte et leur licenciement, certains de ces informaticiens nord-coréens infiltrés ont également utilisé leurs connaissances pour extorquer leurs anciens employeurs, en les menaçant de divulguer des informations sensibles volées dans les systèmes de l'entreprise.

North Korea's IT Army is expandeding operations beyond the U.S. and are now increasingly targeting organizations across Europe.

Also referred to as "IT warriors," they hide their true identities and pose as workers based in other countries by connecting via laptop farms to… pic.twitter.com/tEhcOpxxCf

— Visegrád 24 (@visegrad24) April 3, 2025

Les autorités de divers pays s’activent pour mettre la main sur les facilitateurs et leurs complices nord-coréens

Les procureurs américains ont accusé une Américaine d'avoir aidé des Nord-Coréens à trouver des emplois à distance aux États-Unis, puis d'avoir envoyé leur salaire en Corée du Nord. Christina Chapman est accusée, aux côtés de trois ressortissants nord-coréens, d'avoir participé à ce complot complexe.

Selon les procureurs, cette résidente de l'Arizona aurait volé l'identité de citoyens américains, puis aidé des travailleurs informatiques étrangers à utiliser ces identités pour se faire passer pour des Américains et obtenir un emploi dans des entreprises américaines. Mme Chapman a été inculpée de neuf chefs d'accusation pour conspiration en vue de frauder les États-Unis.

Les enquêteurs ont déclaré que ce stratagème "stupéfiant" utilisait les identités volées de 60 personnes et générait près de 7 millions de dollars de fonds qui étaient renvoyés en Corée du Nord, peut-être pour contribuer au programme d'armement du pays. Le système - impliquant quelque 300 entreprises américaines - aurait débuté en octobre 2020. Selon l'acte d'accusation, il s'agissait de "travailleurs hautement qualifiés dans le domaine des technologies de l'information".

Les entreprises, qui n'étaient pas au courant de la combine, n'ont pas été identifiées, mais des fonctionnaires ont déclaré qu'elles comprenaient plusieurs sociétés Fortune 500, ainsi qu'un grand réseau de télévision, une société de défense indicta, une "première" société technologique de la Silicon Valley et un constructeur automobile américain "emblématique".

Mme Chapman, 49 ans, a de même été accusée d’avoir dirigé une "ferme d'ordinateurs portables" depuis son domicile, où elle se connectait aux ordinateurs portables fournis par les entreprises de manière à donner l'impression que les travailleurs nord-coréens d'autres pays se trouvaient physiquement aux États-Unis. Elle aidait ensuite les informaticiens à se connecter à distance aux ordinateurs portables et à recevoir leurs salaires des entreprises, selon le document d'inculpation de 57 pages.

L'acte d'accusation précise qu'"en échange, Mme Chapman facturait des frais mensuels aux travailleurs informatiques étrangers pour ses services, s'enrichissant ainsi grâce à ce stratagème". Elle est également accusée d'avoir tenté en vain de trouver un emploi auprès d'agences gouvernementales américaines.

"Les accusations portées dans cette affaire devraient alerter les entreprises américaines et les agences gouvernementales qui emploient des informaticiens à distance", a déclaré Nicole Argentieri, responsable de la division criminelle du ministère de la justice. "Ces crimes ont profité au gouvernement nord-coréen, lui procurant une source de revenus et, dans certains cas, des informations exclusives volées par les co-conspirateurs."

Selon les autorités, Mme Chapman a été contactée en mars 2020 par un inconnu qui lui a demandé d'être "le visage américain" de son entreprise. Mme Chapman est inculpée aux côtés des citoyens nord-coréens Jiho Han, Chunji Jin et Haoran Xu, qui sont toujours en fuite. Tous trois sont liés au département nord-coréen de l'industrie des munitions, selon le département d'État américain, qui note que l'organisation s'occupe de la production de missiles balistiques et d'armes pour la Corée du Nord.

Le département d'État américain a offert 5 millions de dollars pour "toute information permettant de démanteler" les activités nord-coréennes de blanchiment d'argent et de fraude financière. Mme Chapman a été arrêtée jeudi en Arizona.

Source : Google

Et vous ?

Partagez-vous les avis selon lesquels ce type de stratagèmes constitue un motif valable pour les employeurs de durcir leur position vis-à-vis du télétravail ?

Voir aussi :

Le FBI affirme que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement. Ce stratagème nord-coréen aurait généré des millions de dollars

Le FBI affirme que des personnes utilisent des deepfakes pour postuler à des emplois à distance, les imposteurs auraient pour but de voler les données sensibles des entreprises

Le FBI met en garde contre l'embauche accidentelle d'un pirate nord-coréen, car ils utiliseraient leurs salaires pour soutenir les programmes d'armes nucléaires de la Corée du Nord