Des douzaines d'entreprises du Fortune 100 ont involontairement embauché des informaticiens nord-coréens sous de fausses identités

Compromettant ainsi la sécurité des entreprises technologiques

Des douzaines d'organisations du Fortune 100 ont embauché à leur insu des informaticiens nord-coréens utilisant de fausses identités, générant des revenus pour le gouvernement nord-coréen tout en compromettant potentiellement les entreprises technologiques, selon l'unité Mandiant de Google.

En 2023, le FBI avait déjà indiqué que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement. Selon l'agence gouvernementale, les nord-coréens ont orchestré pendant des années un stratagème informatique qui a permis de tromper de nombreuses entreprises en faisant travailler des informaticiens à distance dans des sociétés basées aux États-Unis. Les salaires des informaticiens auraient ensuite été envoyés à la Corée du Nord pour financer son programme de missiles balistiques.

Le lundi 23 septembre 2024, un nouveau rapport a été publié par Mandiant et décrit un schéma commun orchestré par le groupe que l'unité de Google suit sous le nom de UNC5267, actif depuis 2018. Dans la plupart des cas, les informaticiens « se composent d'individus envoyés par le gouvernement nord-coréen pour vivre principalement en Chine et en Russie, avec un plus petit nombre en Afrique et en Asie du Sud-Est. », précise le rapport.


Les informaticiens à distance « obtiennent souvent un accès élevé pour modifier le code et administrer les systèmes de réseau », a constaté Mandiant, qui met en garde contre les effets en aval de l'entrée d'acteurs malveillants dans le sanctuaire intérieur d'une entreprise. Utilisant des identités volées ou fictives, les acteurs sont généralement embauchés en tant que sous-traitants à distance.

Mandiant a constaté que les informaticiens étaient embauchés dans une variété de rôles complexes dans plusieurs secteurs. Certains informaticiens sont employés par plusieurs entreprises et perçoivent plusieurs salaires par mois. La tactique est facilitée par une personne basée aux États-Unis qui gère une ferme d'ordinateurs portables où sont envoyés les ordinateurs portables des informaticiens. Une technologie à distance est installée sur les ordinateurs portables, ce qui permet aux Nord-Coréens de se connecter et de travailler depuis la Chine ou la Russie.

Les informaticiens demandaient généralement que leurs ordinateurs portables professionnels soient envoyés à des adresses différentes de celles figurant sur leur CV, ce qui éveillait les soupçons des entreprises.

Mandiant a déclaré avoir trouvé des preuves que les ordinateurs portables de ces fermes étaient connectés à un dispositif KVM (Keyboard Video Mouse) ou à plusieurs outils de gestion à distance, notamment LogMeIn, GoToMeeting, Chrome Remote Desktop, AnyDesk, TeamViewer et d'autres.

« Les commentaires des membres de l'équipe et des responsables qui se sont entretenus avec Mandiant au cours des enquêtes ont systématiquement mis en évidence des modèles de comportement, tels que la réticence à s'engager dans une communication vidéo et une qualité de travail inférieure à la moyenne affichée par l'informaticien à distance de la République Populaire Démocratique de Corée (RPDC) qui utilisait les ordinateurs portables », a rapporté Mandiant.

Lors de plusieurs interventions, Mandiant a constaté que les informaticiens utilisaient les mêmes CV qui contenaient des liens vers de faux profils d'ingénieurs logiciels hébergés sur Netlify, une plateforme souvent utilisée pour créer et déployer rapidement des sites web. De nombreux CV et profils comportaient un anglais médiocre et d'autres indices indiquant que l'acteur n'était pas basé aux États-Unis.

L'une des caractéristiques observées à plusieurs reprises est l'utilisation d'adresses basées aux États-Unis accompagnées de diplômes délivrés par des universités situées en dehors de l'Amérique du Nord, souvent à Singapour, au Japon ou à Hong Kong. Selon Mandiant, les entreprises ne vérifient généralement pas les diplômes délivrés par les universités étrangères.

Aperçu stratégique des travailleurs du secteur de l'informatique

Depuis 2022, Mandiant a suivi et signalé l'existence d'informaticiens opérant pour le compte de la République populaire démocratique de Corée (RPDC). Ces travailleurs se font passer pour des ressortissants d'autres pays que la Corée du Nord afin d'obtenir un emploi auprès d'organisations dans un large éventail de secteurs, dans le but de générer des revenus pour le régime nord-coréen, en particulier pour échapper aux sanctions et financer ses programmes d'armes de destruction massive (ADM) et de missiles balistiques. Un avis du gouvernement américain datant de 2022 indique que ces travailleurs ont également tiré parti de l'accès privilégié obtenu dans le cadre de leur emploi pour permettre des cyberintrusions malveillantes, une observation corroborée par Mandiant et d'autres organisations.

Les informaticiens emploient diverses méthodes pour échapper à la détection. Mandiant a observé que les opérateurs s'appuient sur des sociétés-écrans pour déguiser leur véritable identité ; en outre, les actes d'accusation du gouvernement américain montrent que des individus non nord-coréens, connus sous le nom de « facilitateurs », jouent un rôle crucial pour faciliter la tâche de ces informaticiens dans leurs efforts de recherche et de maintien de l'emploi. Ces personnes fournissent des services essentiels qui comprennent, sans s'y limiter, le blanchiment d'argent et/ou de crypto-monnaie, la réception et l'hébergement d'ordinateurs portables de l'entreprise à leur domicile, l'utilisation d'identités volées pour la vérification de l'emploi et l'accès aux systèmes financiers internationaux.

Le rapport de Mandiant contribue à mieux faire connaître les efforts déployés par la RPDC pour obtenir un emploi en tant qu'informaticien et met en lumière ses tactiques opérationnelles pour obtenir un emploi et conserver l'accès aux systèmes de l'entreprise. La compréhension de ces méthodes peut aider les organisations à mieux détecter ce type de comportements suspects plus tôt dans le processus d'embauche. Dans son rapport, Mandiant a inclus un échantillon des types de comportements identifiés au cours de ses missions de réponse aux incidents, ainsi que des stratégies pour la détection et la perturbation des activités des informaticiens de la RPDC.

UNC5267

Mandiant suit les opérations des informaticiens que l'unité a identifiés dans divers environnements sous le nom de UNC5267. UNC5267 reste très actif à l'heure actuelle et constitue une menace permanente. Certaines sources suggèrent que l'origine de ces opérations remonte à 2018. Il est important de noter que UNC5267 n'est pas un groupe de menace traditionnel et centralisé. Les informaticiens sont constitués d'individus envoyés par le gouvernement nord-coréen pour vivre principalement en Chine et en Russie, et en plus petit nombre en Afrique et en Asie du Sud-Est. Leur mission consiste à obtenir des emplois lucratifs au sein d'entreprises occidentales, en particulier dans le secteur technologique américain.

UNC5267 obtient un accès initial en utilisant des identités volées pour postuler à divers postes ou pour être recruté en tant que sous-traitant. Les opérateurs de l'UNC5267 ont principalement postulé pour des postes offrant un travail 100 % à distance. Mandiant a observé que les opérateurs effectuaient des travaux d'une complexité et d'une difficulté variables dans des domaines et des secteurs disparates. Il n'est pas rare qu'un informaticien de la RPDC ait plusieurs emplois à la fois et perçoive plusieurs salaires par mois. Un facilitateur américain travaillant avec les informaticiens a compromis plus de 60 identités de personnes américaines, a eu un impact sur plus de 300 entreprises américaines et a permis de générer au moins 6,8 millions de dollars de revenus pour les informaticiens à l'étranger, d'octobre 2020 ou autour d'octobre 2023.

Les objectifs de l'UNC5267 sont les suivants :

• Gagner de l'argent en effectuant des retraits illicites de salaires auprès d'entreprises compromises.
• Maintenir un accès à long terme aux réseaux des victimes en vue d'une éventuelle exploitation financière future
• Utilisation potentielle de l'accès à des fins d'espionnage ou d'activités perturbatrices (bien que cela n'ait pas été observé de manière définitive).
  

Observations sur les réponses aux incidents

Les missions de réponse aux incidents menées par Mandiant jusqu'à présent ont principalement permis d'observer que les informaticiens de la RPDC agissaient dans le cadre de leurs responsabilités professionnelles. Cependant, les travailleurs à distance obtiennent souvent un accès élevé pour modifier le code et administrer les systèmes de réseau. Ce niveau d'accès élevé accordé aux employés frauduleux présente un risque important pour la sécurité.

L'unité Mandiant de Google a identifié un nombre important de CV d'informaticiens de la RPDC utilisés pour postuler à des emplois à distance. Dans l'un des CV d'un informaticien présumé, l'adresse électronique - précédemment observée dans des activités liées à l'informatique - était également liée à un faux profil d'ingénieur logiciel hébergé sur Netlify, une plateforme souvent utilisée pour créer et déployer rapidement des sites web. Le profil prétendait maîtriser plusieurs langages de programmation et comportait de faux témoignages avec des images volées de professionnels de haut rang, probablement volées à des PDG, des directeurs et d'autres profils LinkedIn d'ingénieurs en logiciel.


Sur la page Netlify de l'informaticien présumé de la RPDC, Mandiant a découvert un CV accompagné d'un lien vers un autre CV hébergé sur Google Docs, présentant une identité différente. Le CV lié présentait un nom, un numéro de téléphone et une adresse électronique différents des informations figurant sur la page Netlify. D'autres divergences entre la page Netlify et le CV lié incluaient des différences dans les universités et les années de fréquentation, ainsi que des variations dans les titres des emplois précédents et dans l'historique de l'entreprise. Cependant, les deux CV comportaient une légère variation de la phrase « Je ne me préoccupe pas de moi, je me préoccupe davantage des autres qui comptent sur moi ».


Ces deux CV ne représentent qu'un petit échantillon du nombre total de CV frauduleux identifiés par Mandiant. Cependant, ils prouvent que les informaticiens de la RPDC ont utilisé plusieurs personnages pour tenter d'obtenir un emploi dans plusieurs organisations.

Une caractéristique récurrente des CV utilisés par l'UNC5267 est l'utilisation d'adresses basées aux États-Unis associées à des diplômes d'universités situées en dehors de l'Amérique du Nord, souvent dans des pays tels que Singapour, le Japon ou Hong Kong. Bien que cela soit possible, Mandiant a noté que le taux d'acceptation des étudiants étrangers dans de nombreuses universités est faible. Cet écart peut empêcher les employeurs nord-américains potentiels de vérifier ou de contacter ces établissements étrangers au sujet du candidat. Mandiant a également observé que les universités mentionnées dans la vérification des antécédents peuvent ne pas correspondre à la formation du candidat mentionnée dans son curriculum vitae, y compris la période d'inscription et les programmes d'études terminés. En outre, les CV d'UNC5267 présentent souvent un chevauchement important avec les CV accessibles au public ou sont largement réutilisés dans plusieurs personas d'UNC5267.

Pour accomplir ses tâches, UNC5267 accède souvent à distance aux ordinateurs portables de l'entreprise victime situés dans une ferme d'ordinateurs portables. Ces fermes d'ordinateurs portables sont généralement dotées d'un seul facilitateur qui est payé mensuellement pour héberger de nombreux appareils au même endroit. Mandiant a identifié des preuves que ces ordinateurs portables sont souvent connectés à un dispositif KVM (Keyboard Video Mouse) basé sur IP, bien qu'un thème récurrent dans ces incidents soit l'installation de plusieurs outils de gestion à distance sur les ordinateurs portables de l'entreprise victime immédiatement après l'envoi à la ferme. Ces outils indiquent que la personne se connecte à distance au système de son entreprise via l'internet et qu'elle n'est peut-être pas géographiquement située dans la ville, l'État ou même le pays où elle déclare résider. Voici une liste des outils d'administration à distance identifiés lors des missions de Mandiant :

• GoToRemote / LogMeIn
• GoToMeeting
• Chrome Remote Desktop
• AnyDesk
• TeamViewer
• RustDesk
  

Les connexions à ces solutions de gestion à distance provenaient principalement d'adresses IP associées à Astrill VPN, probablement de Chine ou de Corée du Nord. Enfin, les commentaires des membres de l'équipe et des responsables qui se sont entretenus avec Mandiant au cours des enquêtes ont systématiquement mis en évidence des modèles de comportement, tels que la réticence à s'engager dans une communication vidéo et une qualité de travail inférieure à la moyenne affichée par l'informaticien de la RPDC qui utilisait les ordinateurs portables à distance.

Une autre caractéristique commune identifiée dans les missions de Mandiant est que les informaticiens de la RPDC prétendent généralement vivre à un endroit, mais demandent l'envoi des ordinateurs portables à un autre endroit (ferme d'ordinateurs portables ou entité d'habilitation externe). Mandiant a observé que les informaticiens de la RPDC utilisaient le lieu associé à l'identité volée utilisée pour l'emploi, y compris le permis de conduire volé, qui ne correspond souvent pas au lieu où l'ordinateur portable est finalement expédié et stocké.

Méthodes de détection

Mandiant a mis en évidence un certain nombre de stratégies que les organisations peuvent utiliser pour identifier et entraver les opérations des informaticiens de la RPDC, sur la base d'informations provenant de sources fiables et d'avis gouvernementaux. Pour contrer la menace posée par les cyberacteurs nord-coréens, une approche à multiples facettes est nécessaire, combinant des défenses techniques, une formation de sensibilisation des utilisateurs et une chasse aux menaces proactive. Les principales recommandations de Mandiant sont les suivantes :

Vérification des antécédents des candidats à l'emploi

• Exiger des vérifications rigoureuses des antécédents, y compris la collecte d'informations biométriques pour les comparer à des identités connues par l'intermédiaire de services spécialisés de vérification des antécédents, peut décourager l'utilisation de faux.
• Mettre en place des procédures d'entretien rigoureuses, par exemple en exigeant l'utilisation de caméras pendant les entretiens pour s'assurer que l'apparence visuelle correspond aux profils en ligne, en vérifiant que la personne interrogée correspond à la pièce d'identité fournie et en posant des questions pour établir la cohérence des réponses d'un candidat par rapport à ses antécédents supposés.
  
  • Des avis du gouvernement américain et des tiers de confiance ont également noté la réticence des informaticiens à allumer les caméras et leur utilisation de faux antécédents lors des entretiens.
    
• Former les services des ressources humaines à repérer les incohérences de manière générale et à apprendre les tactiques, techniques et procédures (TTP) des informaticiens.
• Contrôler l'utilisation de l'intelligence artificielle (IA) pour modifier les photos de profil d'emploi.
  
  • Mandiant a observé de multiples cas où les informaticiens de la RPDC ont utilisé l'IA pour modifier les photos de profil.
  • Les organisations concernées ont utilisé des outils libres pour déterminer si l'image avait été créée à l'aide de l'intelligence artificielle.
    
• Exiger une preuve d'identité notariée avant l'embauche.
  

Observations des indicateurs techniques potentiels

[LIST][*] Vérifier les numéros de téléphone pour identifier les numéros de téléphone VoIP (Voice over Internet Protocol). L'utilisation de numéros de téléphone VoIP est une tactique couramment employée par l'UNC5267. [*] Vérifier que l'ordinateur portable de l'entreprise est expédié et ensuite géolocalisé à l'endroit où l'individu déclare résider lors de l'intégration. Mandiant a observé des cas où l'ordinateur portable de l'entreprise déployé n'a jamais été géolocalisé à l'endroit où la personne a déclaré résider.[*] Contrôler et restreindre l'utilisation et l'installation d'outils d'administration à distance :
[LIST][*] Empêcher toute connexion à distance à des ordinateurs fournis par l'entreprise qui pourraient par la suite accéder au réseau de l'entreprise.[*] Contr[/*]...