Le département américain de la Justice a arrêté un homme de Nashville accusé d’avoir aidé des informaticiens nord-coréens à obtenir du travail à distance dans des entreprises à travers les États-Unis et d’exploiter une ferme d’ordinateurs portables qu’ils utilisaient pour se faire passer pour des individus basés aux États-Unis.
Matthew Isaac Knoot, 38 ans, a aidé des Nord-Coréens à utiliser une identité volée pour se faire passer pour Andrew M., un citoyen américain, a fourni un logement pour des ordinateurs portables fournis par l’entreprise et a aidé à blanchir les paiements pour le travail informatique à distance vers des comptes nord-Coréens et chinois.
« Les entreprises victimes ont expédié des ordinateurs portables adressés à « Andrew M. » aux résidences de Knoot. Après réception des ordinateurs portables, et sans autorisation, Knoot s’est connecté aux ordinateurs portables, a téléchargé et installé des applications de bureau à distance non autorisées et a accédé aux réseaux des entreprises victimes, causant des dommages aux ordinateurs », indique un communiqué de presse du DOJ.
« Les applications de bureau à distance ont permis aux informaticiens nord-coréens de travailler depuis des sites en Chine, tout en apparaissant aux entreprises victimes qu’Andrew M. travaillait depuis les résidences de Knoot à Nashville. »
Les informaticiens nord-coréens qui ont utilisé la ferme d’ordinateurs portables de Knoot ont généré des revenus pour le programme d’armes nucléaires de la Corée du Nord et ont chacun été payés plus de 250 000 dollars pour leur travail entre juillet 2022 et août 2023.
Knoot fait face à de multiples accusations, notamment de fraude électronique, de dommages intentionnels à des ordinateurs protégés, de vol d’identité aggravé et de complot en vue de provoquer l’emploi illégal d’étrangers. Il pourrait être condamné à un maximum de 20 ans de prison s’il est reconnu coupable.
En mars 2024, la Division de la sécurité nationale et les Divisions de cyber et de contre-espionnage du FBI ont lancé la « RPDC RevGen: Initiative pour les facilitateurs nationaux », qui se concentre sur l’identification et la fermeture des « fermes d’ordinateurs portables » basées aux États-Unis, ainsi que sur la poursuite des personnes qui les hébergent.
Un deuxième Américain accusé d’avoir dirigé une ferme d’ordinateurs portables nord-coréenne
Knoot est le deuxième Américain arrêté et accusé d’avoir aidé les pirates informatiques nord-coréens à trouver un emploi dans des entreprises américaines, démontrant davantage comment la Corée du Nord vole à la fois des emplois et des fonds aux citoyens ordinaires.
Le département américain de la Justice a également arrêté et inculpé Christina Marie Chapman, une femme de l’Arizona, pour avoir dirigé une autre ferme d’ordinateurs portables dans sa propre maison pour donner l’impression que les appareils des travailleurs nord-coréens se trouvaient aux États-Unis.
L’affaire met l’accent sur le danger permanent présenté par les acteurs de la menace nord-coréens qui se font passer pour du personnel informatique basé aux États-Unis, ce dont le FBI a mis en garde depuis 2023.
Comme l’agence d’application de la loi l’a averti à plusieurs reprises, la Corée du Nord maintient une armée bien organisée de travailleurs informatiques qui cachent leur véritable identité pour obtenir un emploi auprès de centaines d’entreprises américaines.
« Sur la base du volume et de l’ampleur de l’activité que nous avons constatés, les informaticiens nord-coréens sont répandus dans les entreprises Fortune 500, utilisant leurs revenus pour inciter les autres à aider leurs opérations », a déclaré Michael Barnhart, analyste principal de Mandiant, à Breachtrace.
« En neutralisant ces fermes d’ordinateurs portables et en arrêtant les facilitateurs, cela porte un coup important à leurs opérations et démêle des mois et des mois de temps et d’énergie consacrés par ces acteurs de la menace nord-coréens. »
Le mois dernier, la société américaine de cybersécurité KnowBe4 a révélé qu’elle avait embauché un ingénieur logiciel principal qui s’est avéré être un acteur malveillant nord-coréen qui a immédiatement tenté d’installer un logiciel de vol d’informations sur des appareils fournis par l’entreprise.
Cela s’est produit même si KnowBe4 a effectué des vérifications des antécédents, vérifié les références et mené quatre entretiens vidéo avant d’embaucher une personne. Cependant, l’entreprise a découvert plus tard que la personne avait utilisé une identité volée pour contourner ces contrôles et des outils d’IA pour créer une fausse photo de profil et imiter le visage lors des visioconférences.