Des douzaines d'entreprises du Fortune 100 ont involontairement embauché des informaticiens nord-coréens sous de fausses identités

Compromettant ainsi la sécurité des entreprises technologiques

Des douzaines d'organisations du Fortune 100 ont embauché à leur insu des informaticiens nord-coréens utilisant de fausses identités, générant des revenus pour le gouvernement nord-coréen tout en compromettant potentiellement les entreprises technologiques, selon l'unité Mandiant de Google.

En 2023, le FBI avait déjà indiqué que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement. Selon l'agence gouvernementale, les nord-coréens ont orchestré pendant des années un stratagème informatique qui a permis de tromper de nombreuses entreprises en faisant travailler des informaticiens à distance dans des sociétés basées aux États-Unis. Les salaires des informaticiens auraient ensuite été envoyés à la Corée du Nord pour financer son programme de missiles balistiques.

Le lundi 23 septembre 2024, un nouveau rapport a été publié par Mandiant et décrit un schéma commun orchestré par le groupe que l'unité de Google suit sous le nom de UNC5267, actif depuis 2018. Dans la plupart des cas, les informaticiens « se composent d'individus envoyés par le gouvernement nord-coréen pour vivre principalement en Chine et en Russie, avec un plus petit nombre en Afrique et en Asie du Sud-Est. », précise le rapport.


Les informaticiens à distance « obtiennent souvent un accès élevé pour modifier le code et administrer les systèmes de réseau », a constaté Mandiant, qui met en garde contre les effets en aval de l'entrée d'acteurs malveillants dans le sanctuaire intérieur d'une entreprise. Utilisant des identités volées ou fictives, les acteurs sont généralement embauchés en tant que sous-traitants à distance.

Mandiant a constaté que les informaticiens étaient embauchés dans une variété de rôles complexes dans plusieurs secteurs. Certains informaticiens sont employés par plusieurs entreprises et perçoivent plusieurs salaires par mois. La tactique est facilitée par une personne basée aux États-Unis qui gère une ferme d'ordinateurs portables où sont envoyés les ordinateurs portables des informaticiens. Une technologie à distance est installée sur les ordinateurs portables, ce qui permet aux Nord-Coréens de se connecter et de travailler depuis la Chine ou la Russie.

Les informaticiens demandaient généralement que leurs ordinateurs portables professionnels soient envoyés à des adresses différentes de celles figurant sur leur CV, ce qui éveillait les soupçons des entreprises.

Mandiant a déclaré avoir trouvé des preuves que les ordinateurs portables de ces fermes étaient connectés à un dispositif KVM (Keyboard Video Mouse) ou à plusieurs outils de gestion à distance, notamment LogMeIn, GoToMeeting, Chrome Remote Desktop, AnyDesk, TeamViewer et d'autres.

« Les commentaires des membres de l'équipe et des responsables qui se sont entretenus avec Mandiant au cours des enquêtes ont systématiquement mis en évidence des modèles de comportement, tels que la réticence à s'engager dans une communication vidéo et une qualité de travail inférieure à la moyenne affichée par l'informaticien à distance de la République Populaire Démocratique de Corée (RPDC) qui utilisait les ordinateurs portables », a rapporté Mandiant.

Lors de plusieurs interventions, Mandiant a constaté que les informaticiens utilisaient les mêmes CV qui contenaient des liens vers de faux profils d'ingénieurs logiciels hébergés sur Netlify, une plateforme souvent utilisée pour créer et déployer rapidement des sites web. De nombreux CV et profils comportaient un anglais médiocre et d'autres indices indiquant que l'acteur n'était pas basé aux États-Unis.

L'une des caractéristiques observées à plusieurs reprises est l'utilisation d'adresses basées aux États-Unis accompagnées de diplômes délivrés par des universités situées en dehors de l'Amérique du Nord, souvent à Singapour, au Japon ou à Hong Kong. Selon Mandiant, les entreprises ne vérifient généralement pas les diplômes délivrés par les universités étrangères.

Aperçu stratégique des travailleurs du secteur de l'informatique

Depuis 2022, Mandiant a suivi et signalé l'existence d'informaticiens opérant pour le compte de la République populaire démocratique de Corée (RPDC). Ces travailleurs se font passer pour des ressortissants d'autres pays que la Corée du Nord afin d'obtenir un emploi auprès d'organisations dans un large éventail de secteurs, dans le but de générer des revenus pour le régime nord-coréen, en particulier pour échapper aux sanctions et financer ses programmes d'armes de destruction massive (ADM) et de missiles balistiques. Un avis du gouvernement américain datant de 2022 indique que ces travailleurs ont également tiré parti de l'accès privilégié obtenu dans le cadre de leur emploi pour permettre des cyberintrusions malveillantes, une observation corroborée par Mandiant et d'autres organisations.

Les informaticiens emploient diverses méthodes pour échapper à la détection. Mandiant a observé que les opérateurs s'appuient sur des sociétés-écrans pour déguiser leur véritable identité ; en outre, les actes d'accusation du gouvernement américain montrent que des individus non nord-coréens, connus sous le nom de « facilitateurs », jouent un rôle crucial pour faciliter la tâche de ces informaticiens dans leurs efforts de recherche et de maintien de l'emploi. Ces personnes fournissent des services essentiels qui comprennent, sans s'y limiter, le blanchiment d'argent et/ou de crypto-monnaie, la réception et l'hébergement d'ordinateurs portables de l'entreprise à leur domicile, l'utilisation d'identités volées pour la vérification de l'emploi et l'accès aux systèmes financiers internationaux.

Le rapport de Mandiant contribue à mieux faire connaître les efforts déployés par la RPDC pour obtenir un emploi en tant qu'informaticien et met en lumière ses tactiques opérationnelles pour obtenir un emploi et conserver l'accès aux systèmes de l'entreprise. La compréhension de ces méthodes peut aider les organisations à mieux détecter ce type de comportements suspects plus tôt dans le processus d'embauche. Dans son rapport, Mandiant a inclus un échantillon des types de comportements identifiés au cours de ses missions de réponse aux incidents, ainsi que des stratégies pour la détection et la perturbation des activités des informaticiens de la RPDC.

UNC5267

Mandiant suit les opérations des informaticiens que l'unité a identifiés dans divers environnements sous le nom de UNC5267. UNC5267 reste très actif à l'heure actuelle et constitue une menace permanente. Certaines sources suggèrent que l'origine de ces opérations remonte à 2018. Il est important de noter que UNC5267 n'est pas un groupe de menace traditionnel et centralisé. Les informaticiens sont constitués d'individus envoyés par le gouvernement nord-coréen pour vivre principalement en Chine et en Russie, et en plus petit nombre en Afrique et en Asie du Sud-Est. Leur mission consiste à obtenir des emplois lucratifs au sein d'entreprises occidentales, en particulier dans le secteur technologique américain.

UNC5267 obtient un accès initial en utilisant des identités volées pour postuler à divers postes ou pour être recruté en tant que sous-traitant. Les opérateurs de l'UNC5267 ont principalement postulé pour des postes offrant un travail 100 % à distance. Mandiant a observé que les opérateurs effectuaient des travaux d'une complexité et d'une difficulté variables dans des domaines et des secteurs disparates. Il n'est pas rare qu'un informaticien de la RPDC ait plusieurs emplois à la fois et perçoive plusieurs salaires par mois. Un facilitateur américain travaillant avec les informaticiens a compromis plus de 60 identités de personnes américaines, a eu un impact sur plus de 300 entreprises américaines et a permis de générer au moins 6,8 millions de dollars de revenus pour les informaticiens à l'étranger, d'octobre 2020 ou autour d'octobre 2023.

Les objectifs de l'UNC5267 sont les suivants :

• Gagner de l'argent en effectuant des retraits illicites de salaires auprès d'entreprises compromises.
• Maintenir un accès à long terme aux réseaux des victimes en vue d'une éventuelle exploitation financière future
• Utilisation potentielle de l'accès à des fins d'espionnage ou d'activités perturbatrices (bien que cela n'ait pas été observé de manière définitive).

Observations sur les réponses aux incidents

Les missions de réponse aux incidents menées par Mandiant jusqu'à présent ont principalement permis d'observer que les informaticiens de la RPDC agissaient dans le cadre de leurs responsabilités professionnelles. Cependant, les travailleurs à distance obtiennent souvent un accès élevé pour modifier le code et administrer les systèmes de réseau. Ce niveau d'accès élevé accordé aux employés frauduleux présente un risque important pour la sécurité.

L'unité Mandiant de Google a identifié un nombre important de CV d'informaticiens de la RPDC utilisés pour postuler à des emplois à distance. Dans l'un des CV d'un informaticien présumé, l'adresse électronique - précédemment observée dans des activités liées à l'informatique - était également liée à un faux profil d'ingénieur logiciel hébergé sur Netlify, une plateforme souvent utilisée pour créer et déployer rapidement des sites web. Le profil prétendait maîtriser plusieurs langages de programmation et comportait de faux témoignages avec des images volées de professionnels de haut rang, probablement volées à des PDG, des directeurs et d'autres profils LinkedIn d'ingénieurs en logiciel....