Les informaticiens nord-coréens qui incitent les entreprises occidentales à les embaucher volent des données du réseau de l’organisation et demandent une rançon pour ne pas les divulguer.

Envoyer des informaticiens chercher un emploi dans des entreprises de pays plus riches est une tactique que la Corée du Nord utilise depuis des années pour obtenir un accès privilégié aux cyberattaques ou pour générer des revenus pour les programmes d’armement du pays.

Des chercheurs de la société de cybersécurité Secureworks ont découvert la composante d’extorsion lors de multiples enquêtes sur de tels stratagèmes frauduleux.

Après la fin de l’emploi d’un ressortissant nord-coréen ayant accès à des données exclusives (dans le cadre de son rôle d’entrepreneur), l’entreprise recevrait le premier e-mail d’extorsion, expliquent les chercheurs.

Pour obtenir le poste et éviter d’éveiller les soupçons par la suite, les informaticiens frauduleux ont utilisé une identité fausse ou volée et se sont appuyés sur des fermes d’ordinateurs portables pour acheminer le trafic entre leur emplacement réel et l’entreprise via un point basé aux États-Unis.

Ils ont également évité la vidéo pendant les appels ou ont eu recours à diverses astuces au travail pour cacher leur visage pendant les vidéoconférences, comme l’utilisation d’outils d’intelligence artificielle.

Aperçu du programme

En juillet, la société américaine de cybersécurité KnowBe4 a révélé qu’elle faisait partie des centaines d’entreprises victimes et, dans leur cas, l’auteur de la menace a tenté d’installer un revendeur d’informations sur l’ordinateur de l’entreprise.

Secureworks suit le groupe organisant et coordonnant l’armée des travailleurs informatiques de la Corée du Nord sous le nom de « Tapisserie de nickel », tandis que Mandiant utilise le nom UNC5267.

Un exemple d’une campagne de tapisserie au nickel à la mi-2024 sur laquelle Secureworks a enquêté est celui d’une entreprise qui s’est fait voler des données propriétaires presque immédiatement après avoir fait appel à un entrepreneur externe

Les données ont été transférées vers un stockage cloud Google Drive personnel à l’aide de l’infrastructure de bureau virtuel (VDI) de l’entreprise.

Après avoir mis fin à l’emploi en raison de mauvaises performances, l’entreprise a commencé à recevoir des courriels d’extorsion provenant d’adresses Outlook et Gmail externes contenant des échantillons des données volées dans des archives ZIP.

Les acteurs de la menace ont exigé une rançon à six chiffres à payer en crypto-monnaie en échange de ne pas divulguer les données publiquement.

L’enquête de Secureworks a révélé que Nickel Tapestry avait utilisé le VPN Astrill et des proxys résidentiels pour masquer leur véritable adresse IP pendant les activités malveillantes, tandis qu’AnyDesk était utilisé pour accéder à distance aux systèmes.

Les chercheurs avertissent que les informaticiens nord-coréens se coordonnent souvent pour se référer les uns aux autres aux entreprises.

Les organisations doivent être prudentes lorsqu’elles embauchent des travailleurs à distance ou des pigistes, et rechercher des signes de fraude tels que des changements dans les comptes de paiement et les adresses d’expédition des ordinateurs portables, la soumission de CV génériques, des heures de correspondance atypiques et la réticence à activer la caméra pendant les entretiens.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *