Le FBI a averti aujourd’hui que les informaticiens nord-coréens abusent de leur accès pour voler le code source et extorquer des entreprises américaines qui ont été amenées à les embaucher.

Le service de sécurité a alerté les organisations des secteurs public et privé aux États-Unis et dans le monde entier que l’armée informatique de la Corée du Nord faciliterait les activités cybercriminelles et exigerait des rançons pour ne pas divulguer en ligne des données sensibles exfiltrées volées des réseaux de leurs employeurs.

« Les informaticiens nord-coréens ont copié des référentiels de codes d’entreprise, tels que GitHub, sur leurs propres profils d’utilisateurs et comptes cloud personnels. Bien que cela ne soit pas rare chez les développeurs de logiciels, cette activité représente un risque à grande échelle de vol de code d’entreprise », a déclaré le FBI.

« Les informaticiens nord-coréens pourraient tenter de récolter des informations d’identification sensibles de l’entreprise et des cookies de session pour lancer des sessions de travail à partir d’appareils autres que ceux de l’entreprise et pour d’autres opportunités de compromis. »

Pour atténuer ces risques, le FBI a conseillé aux entreprises d’appliquer le principe du moindre privilège en désactivant les comptes administrateurs locaux et en limitant les autorisations pour les applications de bureau à distance. Les organisations doivent également surveiller le trafic réseau inhabituel, en particulier les connexions à distance, car le personnel informatique nord-coréen se connecte souvent au même compte à partir de différentes adresses IP sur une courte période de temps.

Il a également recommandé d’examiner les journaux réseau et les sessions du navigateur pour détecter une éventuelle exfiltration de données via des lecteurs partagés, des comptes cloud et des référentiels de code privés.

Pour renforcer leur processus d’embauche à distance, les entreprises doivent vérifier les identités lors des entretiens et de l’intégration et recouper les systèmes RH pour les candidats ayant un contenu de CV ou des coordonnées similaires.

Étant donné que les informaticiens nord-coréens sont connus pour utiliser l’IA et la technologie d’échange de visages pour dissimuler leur identité lors des entretiens, le personnel des RH et les responsables du recrutement doivent également être conscients des risques associés. De plus, il est crucial de surveiller les changements dans les plateformes de paiement et les informations de contact lors de l’intégration, car ces personnes réutiliseront souvent les adresses e-mail et les numéros de téléphone dans les CV.

D’autres mesures qui devraient aider à détecter les informaticiens nord-coréens essayant de contourner les contrôles d’embauche incluent:

  • Vérifier que les cabinets de dotation tiers appliquent des pratiques d’embauche solides et vérifient régulièrement ces pratiques,
  • Utilisation de questions d’entrevue « douces » pour demander aux candidats des détails spécifiques sur leur lieu de résidence ou leur formation (les informaticiens nord-coréens affirment souvent avoir fréquenté des établissements d’enseignement non américains),
  • Vérification des CV des candidats pour les fautes de frappe et la nomenclature inhabituelle,
  • Effectuer autant de processus d’embauche et d’intégration que possible en personne.

L’annonce d’intérêt public d’aujourd’hui fait suite aux avertissements répétés lancés par le FBI au fil des ans concernant la grande armée de travailleurs informatiques de la Corée du Nord, qui cachent leur véritable identité pour être embauchés dans des centaines d’entreprises aux États-Unis et dans le monde.

Également appelés « guerriers informatiques », ils se font passer pour du personnel informatique basé aux États-Unis en se connectant aux réseaux d’entreprise via des fermes d’ordinateurs portables basées aux États-Unis. En août, les forces de l’ordre américaines ont démantelé une ferme d’ordinateurs portables à Nashville et une en Arizona en mai.

Après avoir été découverts et licenciés, des informaticiens nord-coréens infiltrés ont utilisé des connaissances d’initiés pour extorquer leurs anciens employeurs, menaçant de divulguer des informations sensibles qu’ils avaient volées dans les systèmes de l’entreprise.

« Nous voyons de plus en plus d’informaticiens nord-coréens infiltrer de plus grandes organisations pour voler des données sensibles et donner suite à leurs menaces d’extorsion contre ces entreprises. Il n’est également pas surprenant de les voir étendre leurs opérations en Europe pour reproduire leur succès, car il est plus facile de piéger les citoyens qui ne connaissent pas leur stratagème », a déclaré Michael Barnhart, analyste principal de Mandiant chez Google Cloud, à Breachtrace.

« Les informaticiens nord-coréens exploitent également certaines entreprises qui ont commencé à utiliser une infrastructure de bureau virtuel (VDI) pour leurs employés distants au lieu de leur envoyer des ordinateurs portables physiques. Bien que cela soit plus rentable pour l’entreprise, il est plus facile pour les auteurs de menaces de cacher leur activité malveillante. »

Le Département d’État américain offre maintenant des millions en échange d’informations qui pourraient aider à perturber les activités de plusieurs sociétés écrans nord-coréennes. Ces entreprises ont généré des revenus pour le régime du pays grâce à des programmes illégaux de télétravail informatique.

Ces dernières années, les agences gouvernementales sud-coréennes et japonaises ont également émis des alertes concernant des Nord-Coréens trompant des entreprises privées et obtenant des emplois en tant que télétravailleurs informatiques.

Dans une déclaration conjointe publiée la semaine dernière, les États-Unis, la Corée du Sud et le Japon ont révélé que des groupes de piratage parrainés par l’État nord-coréen avaient volé pour plus de 659 millions de dollars de crypto-monnaie lors de multiples crypto-hold-up en 2024.

Aujourd’hui, le ministère de la Justice a également inculpé deux ressortissants nord-coréens et trois facilitateurs pour leur implication dans un stratagème frauduleux pluriannuel de travail informatique à distance qui leur a permis, ainsi qu’à des suspects (qui n’ont pas encore été inculpés), d’être embauchés par au moins soixante-quatre entreprises américaines entre avril 2018 et août 2024.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *