De nombreuses entreprises, dont plusieurs spécialisées dans les crypto-monnaies, ont été infiltrées par des pirates nord-coréens. Ces derniers ont volé plusieurs millions de dollars, ainsi que des documents confidentiels pour le compte du régime.
La Corée du Nord est l'un des pays les plus actifs en matière de piratage informatique, et le prouve une fois encore aujourd'hui. Lors de la conférence Cyberwarcon, un évènement annuel organisé à Washington DC axée sur les menaces dans le cyberespace, des chercheurs en sécurité employés par Microsoft ont présenté une étude complète sur les agissements de pirates nord-coréens pour infiltrer de nombreuses entreprises en toute illégalité, et récupérer des fonds ainsi que des documents sensibles.
De fausses identités générées par IA pour berner les recruteurs à distance
Les agents nord-coréens opèrent selon un process bien connu désormais. Ces derniers se font passer pour des freelances japonais ou sud-coréens, en utilisant des faux papiers. Des fausses voix et identités sont générées par IA. Les hackers utilisent enfin GitHub pour trouver des offres d'emploi, ainsi qu'un profil LinkedIn pour ne pas éveiller les soupçons.
Les pirates organisent ensuite un entretien en visio, conçu pour s'achever rapidement à cause de problèmes techniques dans le but de ne pas révéler la supercherie. Une fois embauchés, les pirates nord-coréens s'empressent de valider leur compte LinkedIn avec l'adresse mail proposée par leur employeur pour parfaire l'entourloupe. Les identités ne sont pas parfaites, et certaines entreprises ont rapidement détecté l'arnaque, mais de nombreuses autres n'y ont vu que du feu.
L'employeur envoie un PC portable à une adresse américaine, gérée par un facilitateur en lien avec l'employé. Les citoyens nord-coréens sont interdits de séjour sur le sol des États-Unis depuis de nombreuses années et ont besoin d'un complice pour récupérer la machine. Une fois réceptionnée, le vol peut commencer.
Des millards de dollars et des documents détournés au profit du régime nord-coréen et de ses activités d'armement nucléaire
Les complices vont installer un logiciel espion et un accès à distance pour permettre au pirate nord-coréen de prendre le contrôle de la machine. Celui-ci se chargera de récupérer des données sensibles, notamment des documents confidentiels qui pourront servir les intérêts nord-coréens en matière de recherche et développement. Un groupe nommé Ruby Sleet aurait précisément visé une entreprise américaine œuvrant dans le secteur aérospatial, et aurait récupéré des documents leur permettant d'améliorer leurs armes et leurs systèmes de navigation.
Les pirates vont aussi se charger de détourner des millions de dollars, spécialement en crypto-monnaies, envoyées au régime nord-coréen pour financer son programme d'armement nucléaire. Une entreprise d'investissement s'est faite ainsi dépouiller de près de 10 millions de dollars en à peine six mois. La fraude s'élèverait au total à plusieurs milliards de dollars sur une décennie.
Les pirates n'opèrent pas uniquement depuis la Corée du Nord, mais aussi depuis la Russie et la Chine, deux pays amis de la dictature communiste rendant parfois plus difficile de vérifier le profil des freelances recrutés.
Le FBI a déjà arrêté et poursuivi plusieurs complices gérant des parcs entiers d'ordinateurs pour le compte de pirates nord-coréens, mais les experts sont sans appel : ces pratiques ne disparaitront pas du jour au lendemain et devraient se poursuivre dans les mois à venir. Charge aux recruteurs d'être le plus vigilant possible.
Source : TechCrunch
01 décembre 2024 à 11h06
