Imaginez un capital-risqueur, un recruteur d’une grande entreprise et un travailleur informatique nouvellement embauché en télétravail. Ils semblent n’avoir que peu de choses en commun. Pourtant, selon des chercheurs en sécurité, tous se sont révélés être des imposteurs travaillant secrètement pour le régime nord-coréen.

Lors de la conférence annuelle Cyberwarcon à Washington DC, qui se concentre sur les menaces perturbatrices dans le cyberespace, des experts ont présenté leur évaluation la plus récente de la menace nord-coréenne. Ils ont mis en garde contre une tentative soutenue des hackers du pays de se faire passer pour des employés potentiels cherchant du travail dans des multinationales, dans le but de gagner de l’argent pour le régime et de voler des secrets d’entreprise profitant à son programme d’armement.

Des milliards volés en cryptomonnaies

Au cours de la dernière décennie, ces imposteurs ont amassé des milliards de dollars en cryptomonnaies volées pour financer le programme d’armes nucléaires du pays, contournant une myriade de sanctions internationales. Selon James Elliott, chercheur en sécurité chez Microsoft, des travailleurs informatiques nord-coréens ont déjà infiltré des « centaines » d’organisations dans le monde en créant de fausses identités.

Ils s’appuient sur des facilitateurs basés aux États-Unis pour gérer leurs stations de travail fournies par l’entreprise et leurs revenus, afin de contourner les sanctions financières qui s’appliquent aux Nord-Coréens. Les chercheurs qui enquêtent sur les cyberactivités du pays voient la menace grandissante comme une masse nébuleuse de différents groupes de hackers aux tactiques et techniques variées, mais avec l’objectif commun du vol de cryptomonnaies.

Espionnage industriel et vol de secrets

Microsoft a détaillé les activités d’un groupe de hackers nord-coréens, appelé « Ruby Sleet », qui a compromis des entreprises aérospatiales et de défense dans le but de voler des secrets industriels pouvant aider à développer davantage les systèmes d’armes et de navigation du pays. Un autre groupe, surnommé « Sapphire Sleet », s’est fait passer pour des recruteurs et un capital-risqueur dans des campagnes visant à voler des cryptomonnaies à des particuliers et des entreprises.

Les hackers nord-coréens ont volé au moins 10 millions de dollars en cryptomonnaies sur une période de six mois seulement.

Microsoft

Une « triple menace » difficile à combattre

Mais de loin, la campagne la plus persistante et difficile à combattre est l’effort des hackers nord-coréens pour se faire embaucher comme travailleurs à distance dans de grandes entreprises, profitant de l’essor du télétravail qui a commencé pendant la pandémie de Covid-19. Microsoft a qualifié les travailleurs informatiques nord-coréens de « triple menace » pour leur capacité à obtenir un emploi de manière trompeuse dans de grandes entreprises et à gagner de l’argent pour le régime, tout en volant des secrets d’entreprise et de la propriété intellectuelle, puis en faisant chanter les entreprises en menaçant de révéler les informations.

Sur les centaines d’entreprises qui ont embauché par inadvertance un espion nord-coréen, seule une poignée a publiquement admis avoir été victimes. La société de sécurité KnowBe4 a déclaré plus tôt cette année qu’elle avait été dupée en embauchant un employé nord-coréen, mais a bloqué l’accès à distance du travailleur une fois qu’elle a réalisé avoir été trompée, et a affirmé qu’aucune donnée d’entreprise n’avait été volée.

Un arsenal de méthodes de dissimulation

Typiquement, un travailleur informatique nord-coréen crée une série de comptes en ligne, comme un profil LinkedIn et une page GitHub, pour établir un niveau de crédibilité professionnelle. Il peut générer de fausses identités en utilisant l’IA, y compris en recourant à la technologie d’échange de visages et de modification de la voix.

Une fois embauché, l’ordinateur portable du nouvel employé est expédié à une adresse aux États-Unis qui, à l’insu de l’entreprise, est gérée par un facilitateur. Celui-ci est chargé de mettre en place des fermes d’ordinateurs portables fournis par l’entreprise. Le facilitateur installe également un logiciel d’accès à distance sur les ordinateurs, permettant aux espions nord-coréens de l’autre côté du monde de se connecter à distance sans révéler leur véritable emplacement.

Microsoft a également observé que les espions du pays opèrent non seulement depuis la Corée du Nord, mais aussi depuis la Russie et la Chine, deux proches alliés de la nation sécessionniste, rendant plus difficile pour les entreprises d’identifier les suspects espions nord-coréens dans leurs réseaux.

Une vigilance accrue nécessaire

Face à ces menaces persistantes, les experts appellent les entreprises à renforcer leurs processus de vérification des employés potentiels. Le gouvernement américain a déjà imposé des sanctions ces dernières années contre des organisations liées à la Corée du Nord en réponse au stratagème des travailleurs informatiques. Le FBI a également averti que des acteurs malveillants utilisent fréquemment des images générées par l’IA, ou « deepfakes », souvent issues d’identités volées, pour décrocher des emplois dans la tech.

En 2024, des procureurs américains ont engagé des poursuites contre plusieurs individus accusés d’exploiter les fermes d’ordinateurs portables permettant de contourner les sanctions. Mais les entreprises doivent également faire preuve d’une plus grande vigilance dans la vérification de leurs employés potentiels. Comme le souligne Elliott de Microsoft, « ils ne vont pas disparaître, ils seront là pour longtemps ».

À l’heure où le télétravail est devenu la norme, il est crucial pour les entreprises de renforcer leur cybersécurité et leurs processus de recrutement pour se prémunir contre ces menaces en constante évolution. La vigilance est de mise face à des adversaires déterminés et astucieux, prêts à tout pour infiltrer et exploiter les failles de nos organisations.