En 2023, le FBI avait déjà indiqué que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement. Selon l'agence gouvernementale, les nord-coréens ont orchestré pendant des années un stratagème informatique qui a permis de tromper de nombreuses entreprises en faisant travailler des informaticiens à distance dans des sociétés basées aux États-Unis. Les salaires des informaticiens auraient ensuite été envoyés à la Corée du Nord pour financer son programme de missiles balistiques.
Le lundi 23 septembre 2024, un nouveau rapport a été publié par Mandiant et décrit un schéma commun orchestré par le groupe que l'unité de Google suit sous le nom de UNC5267, actif depuis 2018. Dans la plupart des cas, les informaticiens « se composent d'individus envoyés par le gouvernement nord-coréen pour vivre principalement en Chine et en Russie, avec un plus petit nombre en Afrique et en Asie du Sud-Est. », précise le rapport.
Les informaticiens à distance « obtiennent souvent un accès élevé pour modifier le code et administrer les systèmes de réseau », a constaté Mandiant, qui met en garde contre les effets en aval de l'entrée d'acteurs malveillants dans le sanctuaire intérieur d'une entreprise. Utilisant des identités volées ou fictives, les acteurs sont généralement embauchés en tant que sous-traitants à distance.
Mandiant a constaté que les informaticiens étaient embauchés dans une variété de rôles complexes dans plusieurs secteurs. Certains informaticiens sont employés par plusieurs entreprises et perçoivent plusieurs salaires par mois. La tactique est facilitée par une personne basée aux États-Unis qui gère une ferme d'ordinateurs portables où sont envoyés les ordinateurs portables des informaticiens. Une technologie à distance est installée sur les ordinateurs portables, ce qui permet aux Nord-Coréens de se connecter et de travailler depuis la Chine ou la Russie.
Les informaticiens demandaient généralement que leurs ordinateurs portables professionnels soient envoyés à des adresses différentes de celles figurant sur leur CV, ce qui éveillait les soupçons des entreprises.
Mandiant a déclaré avoir trouvé des preuves que les ordinateurs portables de ces fermes étaient connectés à un dispositif KVM (Keyboard Video Mouse) ou à plusieurs outils de gestion à distance, notamment LogMeIn, GoToMeeting, Chrome Remote Desktop, AnyDesk, TeamViewer et d'autres.
« Les commentaires des membres de l'équipe et des responsables qui se sont entretenus avec Mandiant au cours des enquêtes ont systématiquement mis en évidence des modèles de comportement, tels que la réticence à s'engager dans une communication vidéo et une qualité de travail inférieure à la moyenne affichée par l'informaticien à distance de la République Populaire Démocratique de Corée (RPDC) qui utilisait les ordinateurs portables », a rapporté Mandiant.
Lors de plusieurs interventions, Mandiant a constaté que les informaticiens utilisaient les mêmes CV qui contenaient des liens vers de faux profils d'ingénieurs logiciels hébergés sur Netlify, une plateforme souvent utilisée pour créer et déployer rapidement des sites web. De nombreux CV et profils comportaient un anglais médiocre et d'autres indices indiquant que l'acteur n'était pas basé aux États-Unis.
L'une des caractéristiques observées à plusieurs reprises est l'utilisation d'adresses basées aux États-Unis accompagnées de diplômes délivrés par des universités situées en dehors de l'Amérique du Nord, souvent à Singapour, au Japon ou à Hong Kong. Selon Mandiant, les entreprises ne vérifient généralement pas les diplômes délivrés par les universités étrangères.
Aperçu stratégique des travailleurs du secteur de l'informatique
Depuis 2022, Mandiant a suivi et signalé l'existence d'informaticiens opérant pour le compte de la République populaire démocratique de Corée (RPDC). Ces travailleurs se font passer pour des ressortissants d'autres pays que la Corée du Nord afin d'obtenir un emploi auprès d'organisations dans un large éventail de secteurs, dans le but de générer des revenus pour le régime nord-coréen, en particulier pour échapper aux sanctions et financer ses programmes d'armes de destruction massive (ADM) et de missiles balistiques. Un avis du gouvernement américain datant de 2022 indique que ces travailleurs ont également tiré parti de l'accès privilégié obtenu dans le cadre de leur emploi pour permettre des cyberintrusions malveillantes, une observation corroborée par Mandiant et d'autres organisations.
Les informaticiens emploient diverses méthodes pour échapper à la détection. Mandiant a observé que les opérateurs s'appuient sur des sociétés-écrans pour déguiser leur véritable identité ; en outre, les actes d'accusation du gouvernement américain montrent que des individus non nord-coréens, connus sous le nom de « facilitateurs », jouent un rôle crucial pour faciliter la tâche de ces informaticiens dans leurs efforts de recherche et de maintien de l'emploi. Ces personnes fournissent des services essentiels qui comprennent, sans s'y limiter, le blanchiment d'argent et/ou de crypto-monnaie, la réception et l'hébergement d'ordinateurs portables de l'entreprise à leur domicile, l'utilisation d'identités volées pour la vérification de l'emploi et l'accès aux systèmes financiers internationaux.
Le rapport de Mandiant contribue à mieux faire connaître les efforts déployés par la RPDC pour obtenir un emploi en tant qu'informaticien et met en lumière ses tactiques opérationnelles pour obtenir un emploi et conserver l'accès aux systèmes de l'entreprise. La compréhension de ces méthodes peut aider les organisations à mieux détecter ce type de comportements suspects plus tôt dans le processus d'embauche. Dans son rapport, Mandiant a inclus un échantillon des types de comportements identifiés au cours de ses missions de réponse aux incidents, ainsi que des stratégies pour la détection et la perturbation des activités des informaticiens de la RPDC.
UNC5267
Mandiant suit les opérations des informaticiens que l'unité a identifiés dans divers environnements sous le nom de UNC5267. UNC5267 reste très actif à l'heure actuelle et constitue une menace permanente. Certaines sources suggèrent que l'origine de ces opérations remonte à 2018. Il est important de noter que UNC5267 n'est pas un groupe de menace traditionnel et centralisé. Les informaticiens sont constitués d'individus envoyés par le gouvernement nord-coréen pour vivre principalement en Chine et en Russie, et en plus petit nombre en Afrique et en Asie du Sud-Est. Leur mission consiste à obtenir des emplois lucratifs au sein d'entreprises occidentales, en particulier dans le secteur technologique américain.
UNC5267 obtient un accès initial en utilisant des identités volées pour postuler à divers postes ou pour être recruté en tant que sous-traitant. Les opérateurs de l'UNC5267 ont principalement postulé pour des postes offrant un travail 100 % à distance. Mandiant a observé que les opérateurs effectuaient des travaux d'une complexité et d'une difficulté variables dans des domaines et des secteurs disparates. Il n'est pas rare qu'un informaticien de la RPDC ait plusieurs emplois à la fois et perçoive plusieurs salaires par mois. Un facilitateur américain travaillant avec les informaticiens a compromis plus de 60 identités de personnes américaines, a eu un impact sur plus de 300 entreprises américaines et a permis de générer au moins 6,8 millions de dollars de revenus pour les informaticiens à l'étranger, d'octobre 2020 ou autour d'octobre 2023.
Les objectifs de l'UNC5267 sont les suivants :
- Gagner de l'argent en effectuant des retraits illicites de salaires auprès d'entreprises compromises.
- Maintenir un accès à long terme aux réseaux des victimes en vue d'une éventuelle exploitation financière future
- Utilisation potentielle de l'accès à des fins d'espionnage ou d'activités perturbatrices (bien que cela n'ait pas été observé de manière définitive).
Observations sur les réponses aux incidents
Les missions de réponse aux incidents menées par Mandiant jusqu'à présent ont principalement permis d'observer que les informaticiens de la RPDC agissaient dans le cadre de leurs responsabilités professionnelles. Cependant, les travailleurs à distance obtiennent souvent un accès élevé pour modifier le code et administrer les systèmes de réseau. Ce niveau d'accès élevé accordé aux employés frauduleux présente un risque important pour la sécurité.
L'unité Mandiant de Google a identifié un nombre important de CV d'informaticiens de la RPDC utilisés pour postuler à des emplois à distance. Dans l'un des CV d'un informaticien présumé, l'adresse électronique - précédemment observée dans des activités liées à l'informatique - était également liée à un faux profil d'ingénieur logiciel hébergé sur Netlify, une plateforme souvent utilisée pour créer et déployer rapidement des sites web. Le profil prétendait maîtriser plusieurs langages de programmation et comportait de faux témoignages avec des images volées de professionnels de haut rang, probablement volées à des PDG, des directeurs et d'autres profils LinkedIn d'ingénieurs en logiciel.
Sur la page Netlify de l'informaticien présumé de la RPDC, Mandiant a découvert un CV accompagné d'un lien vers un autre CV hébergé sur Google Docs, présentant une identité différente. Le CV lié présentait un nom, un numéro de téléphone et une adresse électronique différents des informations figurant sur la page Netlify. D'autres divergences entre la page Netlify et le CV lié incluaient des différences dans les universités et les années de fréquentation, ainsi que des variations dans les titres des emplois précédents et dans l'historique de l'entreprise. Cependant, les deux CV comportaient une légère variation de la phrase « Je ne me préoccupe pas de moi, je me préoccupe davantage des autres qui comptent sur moi ».
Ces deux CV ne représentent qu'un petit échantillon du nombre total de CV frauduleux identifiés par Mandiant. Cependant, ils prouvent que les informaticiens de la RPDC ont utilisé plusieurs personnages pour tenter d'obtenir un emploi dans plusieurs organisations.
Une caractéristique récurrente des CV utilisés par l'UNC5267 est l'utilisation d'adresses basées aux États-Unis associées à des diplômes d'universités situées en dehors de l'Amérique du Nord, souvent dans des pays tels que Singapour, le Japon ou Hong Kong. Bien que cela soit possible, Mandiant a noté que le taux d'acceptation des étudiants étrangers dans de nombreuses universités est faible. Cet écart peut empêcher les employeurs nord-américains potentiels de vérifier ou de contacter ces établissements étrangers au sujet du candidat. Mandiant a également observé que les universités mentionnées dans la vérification des antécédents peuvent ne pas correspondre à la formation du candidat mentionnée dans son curriculum vitae, y compris la période d'inscription et les programmes d'études terminés. En outre, les CV d'UNC5267 présentent souvent un chevauchement important avec les CV accessibles au public ou sont largement réutilisés dans plusieurs personas d'UNC5267.
Pour accomplir ses tâches, UNC5267 accède souvent à distance aux ordinateurs portables de l'entreprise victime situés dans une ferme d'ordinateurs portables. Ces fermes d'ordinateurs portables sont généralement dotées d'un seul facilitateur qui est payé mensuellement pour héberger de nombreux appareils au même endroit. Mandiant a identifié des preuves que ces ordinateurs portables sont souvent connectés à un dispositif KVM (Keyboard Video Mouse) basé sur IP, bien qu'un thème récurrent dans ces incidents soit l'installation de plusieurs outils de gestion à distance sur les ordinateurs portables de l'entreprise victime immédiatement après l'envoi à la ferme. Ces outils indiquent que la personne se connecte à distance au système de son entreprise via l'internet et qu'elle n'est peut-être pas géographiquement située dans la ville, l'État ou même le pays où elle déclare résider. Voici une liste des outils d'administration à distance identifiés lors des missions de Mandiant :
- GoToRemote / LogMeIn
- GoToMeeting
- Chrome Remote Desktop
- AnyDesk
- TeamViewer
- RustDesk
Les connexions à ces solutions de gestion à distance provenaient principalement d'adresses IP associées à Astrill VPN, probablement de Chine ou de Corée du Nord. Enfin, les commentaires des membres de l'équipe et des responsables qui se sont entretenus avec Mandiant au cours des enquêtes ont systématiquement mis en évidence des modèles de comportement, tels que la réticence à s'engager dans une communication vidéo et une qualité de travail inférieure à la moyenne affichée par l'informaticien de la RPDC qui utilisait les ordinateurs portables à distance.
Une autre caractéristique commune identifiée dans les missions de Mandiant est que les informaticiens de la RPDC prétendent généralement vivre à un endroit, mais demandent l'envoi des ordinateurs portables à un autre endroit (ferme d'ordinateurs portables ou entité d'habilitation externe). Mandiant a observé que les informaticiens de la RPDC utilisaient le lieu associé à l'identité volée utilisée pour l'emploi, y compris le permis de conduire volé, qui ne correspond souvent pas au lieu où l'ordinateur portable est finalement expédié et stocké.
Méthodes de détection
Mandiant a mis en évidence un certain nombre de stratégies que les organisations peuvent utiliser pour identifier et entraver les opérations des informaticiens de la RPDC, sur la base d'informations provenant de sources fiables et d'avis gouvernementaux. Pour contrer la menace posée par les cyberacteurs nord-coréens, une approche à multiples facettes est nécessaire, combinant des défenses techniques, une formation de sensibilisation des utilisateurs et une chasse aux menaces proactive. Les principales recommandations de Mandiant sont les suivantes :
Vérification des antécédents des candidats à l'emploi
- Exiger des vérifications rigoureuses des antécédents, y compris la collecte d'informations biométriques pour les comparer à des identités connues par l'intermédiaire de services spécialisés de vérification des antécédents, peut décourager l'utilisation de faux.
- Mettre en place des procédures d'entretien rigoureuses, par exemple en exigeant l'utilisation de caméras pendant les entretiens pour s'assurer que l'apparence visuelle correspond aux profils en ligne, en vérifiant que la personne interrogée correspond à la pièce d'identité fournie et en posant des questions pour établir la cohérence des réponses d'un candidat par rapport à ses antécédents supposés.
- Des avis du gouvernement américain et des tiers de confiance ont également noté la réticence des informaticiens à allumer les caméras et leur utilisation de faux antécédents lors des entretiens.
- Former les services des ressources humaines à repérer les incohérences de manière générale et à apprendre les tactiques, techniques et procédures (TTP) des informaticiens.
- Contrôler l'utilisation de l'intelligence artificielle (IA) pour modifier les photos de profil d'emploi.
- Mandiant a observé de multiples cas où les informaticiens de la RPDC ont utilisé l'IA pour modifier les photos de profil.
- Les organisations concernées ont utilisé des outils libres pour déterminer si l'image avait été créée à l'aide de l'intelligence artificielle.
- Exiger une preuve d'identité notariée avant l'embauche.
Observations des indicateurs techniques potentiels
- Vérifier les numéros de téléphone pour identifier les numéros de téléphone VoIP (Voice over Internet Protocol). L'utilisation de numéros de téléphone VoIP est une tactique couramment employée par l'UNC5267.
- Vérifier que l'ordinateur portable de l'entreprise est expédié et ensuite géolocalisé à l'endroit où l'individu déclare résider lors de l'intégration. Mandiant a observé des cas où l'ordinateur portable de l'entreprise déployé n'a jamais été géolocalisé à l'endroit où la personne a déclaré résider.
- Contrôler et restreindre l'utilisation et l'installation d'outils d'administration à distance :
- Empêcher toute connexion à distance à des ordinateurs fournis par l'entreprise qui pourraient par la suite accéder au réseau de l'entreprise.
- Contrôler les outils d'administration à distance peu courants.
- Contrôler si plusieurs outils d'administration à distance sont installés sur un même système.
- Contrôler l'utilisation de services VPN pour se connecter à l'infrastructure de l'entreprise. Les adresses IP associées aux services VPN, tels qu'Astrill VPN, devraient faire l'objet d'un examen plus approfondi.
- Contrôler l'utilisation de logiciels de « mouse jiggling ». Mandiant a observé des cas où des informaticiens de la RPDC utilisent le logiciel Caffeine pour rester actifs sur plusieurs ordinateurs portables et profils. Cela facilite l'utilisation sur les sites des facilitateurs, où il est essentiel que les ordinateurs portables restent allumés et fonctionnent, et pour les informaticiens de la RPDC qui ont souvent plusieurs emplois à la fois et doivent apparaître en ligne.
- Demander la vérification du numéro de série de l'ordinateur portable au moment de l'intégration des informaticiens. Cette information doit être facilement accessible à toute personne en possession physique de l'appareil de l'entreprise.
- Utiliser un système d'authentification multifactorielle basé sur le matériel pour garantir l'accès physique aux appareils de l'entreprise.
- Surveiller et restreindre l'utilisation des dispositifs KVM basés sur IP. Les KVM IP sont fréquemment utilisés par les informaticiens de la RPDC pour maintenir un accès à distance permanent aux appareils de l'entreprise.
Stratégies de mitigation en cours
- Envisager d'effectuer des contrôles ponctuels obligatoires périodiques au cours desquels les employés à distance doivent être filmés.
- Proposer aux utilisateurs et aux employés une formation continue sur les menaces et les tendances actuelles, ce qui est essentiel pour identifier les activités potentiellement malveillantes. Fournir une formation supplémentaire sur le signalement des activités suspectes.
- Collaborer avec les communautés de partage d'informations et les fournisseurs de sécurité pour se tenir au courant des dernières menaces et stratégies de mitigation.
- Exiger l'utilisation de banques américaines pour les transactions financières afin d'entraver les efforts des informaticiens, car l'acquisition de comptes bancaires américains est plus difficile et implique une vérification d'identité plus stricte que dans de nombreux autres pays.
Pour les clients de Google SecOps Enterprise+, des règles ont été ajoutées au pack de règles Emerging Threats, et les indicateurs de compromission (IOC) répertoriés dans le rapport de Mandiant sont disponibles pour être classés par ordre de priorité avec Applied Threat Intelligence.
Mandiant propose également des services Custom Threat Hunt basés sur le renseignement et pilotés par des humains pour révéler les activités en cours ou passées des acteurs de la menace dans les environnements cloud et sur site. Ce service comprend une analyse adaptée aux particularités de la pile technologique et aux menaces ciblant les utilisateurs.
Perspectives et implications
Les informaticiens nord-coréens, bien que soumis à des contraintes importantes, représentent une cybermenace persistante et croissante. La double motivation qui sous-tend leurs activités - la réalisation des objectifs de l'État et la recherche de gains financiers personnels - les rend particulièrement dangereux. Leurs compétences techniques, associées à des tactiques d'évasion sophistiquées, constituent un formidable défi, en particulier pour les équipes de RH et de recrutement chargées d'identifier les menaces potentielles au cours du processus d'embauche.
Compte tenu de leurs succès passés et de la dépendance du régime de la RPDC à l'égard des cyberopérations pour ses revenus et ses objectifs stratégiques, Mandiant prévoit une augmentation continue des attaques et des intrusions sophistiquées ciblant les entreprises du monde entier. Les informaticiens continuent d'avoir un impact particulier sur les organisations occidentales, avec un nombre croissant d'organisations européennes ciblées. Ces attaques peuvent entraîner des violations de données, des pertes financières, des vols de propriété intellectuelle et l'interruption de services essentiels.
Les activités des informaticiens nord-coréens soulignent la nécessité d'une vigilance soutenue et d'une attitude proactive en matière de cybersécurité. Bien que la menace soit complexe, une combinaison de mesures de sécurité robustes, de sensibilisation des employés et d'efforts de collaboration peut considérablement améliorer la résilience d'une organisation face à ces acteurs malveillants. En outre, l'utilisation d'outils avancés de détection des menaces et le maintien de solides plans de réponse aux incidents sont essentiels pour minimiser l'impact des violations potentielles. La collaboration avec les pairs du secteur et les agences de cybersécurité pour partager les informations sur les menaces peut encore renforcer les défenses contre cette menace en constante évolution.
Mandiant a déclaré participer avec succès à cet effort en s'appuyant sur des partenariats publics ou privés avec des organisations clés et des victimes. Si une organisation a été touchée ou si des informations sont disponibles concernant les cyber-opérations de la RPDC, Mandiant a indiqué qu'il peut aider à transmettre ces informations aux personnes qui ont besoin d'être protégées ou informées. Cela concerne tout le monde.
Une collection de renseignements sur les menaces de Google comprenant des IOC liés à l'activité de l'UNC5267 est maintenant disponible pour les utilisateurs enregistrés.
À propos de Mandiant
Mandiant est une société américaine de cybersécurité, leader reconnu en matière de cyberdéfense dynamique, de renseignements sur les menaces et de services de réponse aux incidents. En mettant à profit des décennies d'expérience en première ligne, Mandiant protège les organisations des cyberattaques et leur donne confiance dans leur état de préparation. Mandiant combine une expertise, une CTI et des technologies leaders du marché pour créer des services et produits garants d'une cyberdéfense dynamique.
Source : Mandiant
Et vous ?
Quelle lecture faites-vous de cette situation ?
Trouvez-vous que les recommandations de Mandiant pour identifier et entraver les opérations des informaticiens nord-coréens sont crédibles ou pertinentes ?
Voir aussi :
Le FBI affirme que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement, ce stratagème nord-coréen aurait généré des millions de dollars
Le FBI met en garde contre l'embauche accidentelle d'un pirate nord-coréen, car ils utiliseraient leurs salaires pour soutenir les programmes d'armes nucléaires de la Corée du Nord