Les développeurs nord-coréens se font passer pour des pigistes américains et aident les pirates du gouvernement DRPK, MA LIBERTÉ FINANCIÈRE

Le gouvernement américain avertit que la République populaire démocratique de Corée (RPDC) envoie ses informaticiens pour obtenir des emplois indépendants dans des entreprises du monde entier afin d’obtenir un accès privilégié qui est parfois utilisé pour faciliter les cyber-intrusions.

Des milliers de « travailleurs informatiques hautement qualifiés » nord-coréens, sous la direction ou sous la contrainte de leur gouvernement, ciblent des emplois indépendants dans des organisations de pays plus riches.

Ils ont utilisé diverses méthodes pour cacher leur origine nord-coréenne afin d’éviter les sanctions des États-Unis et des Nations Unies (ONU) pour les individus et les organisations soutenant le régime de la RPDC.

Aider les opérations de piratage de la Corée du Nord

Un avis du département d’État américain, du département américain du Trésor et du Federal Bureau of Investigation (FBI) fournit des indicateurs d’alerte aux entreprises pour se protéger contre l’embauche ou l’activation involontaire de travailleurs de la RPDC.

L’alerte note que même si les Nord-Coréens ne se livrent pas nécessairement à des cyber-intrusions, « ils ont utilisé l’accès privilégié obtenu en tant que sous-traitants pour permettre les cyber-intrusions malveillantes de la RPDC ».

Certains d’entre eux ont aidé les opérations de piratage de la Corée du Nord en fournissant un accès à l’infrastructure ou en aidant au blanchiment d’argent et aux transferts de monnaie virtuelle.

Dans certains cas, les salariés détachés de la RPDC – généralement situés en Chine, en Russie, en Afrique et en Asie du Sud-Est, ont aidé à vendre des données volées lors d’attaques de pirates nord-coréens.

Pour accéder au poste souhaité, les informaticiens nord-coréens prétendent souvent être des télétravailleurs situés aux États-Unis ou dans un autre pays non sanctionné. Ils se font également passer pour des télétravailleurs sud-coréens, chinois, japonais ou d’Europe de l’Est.

Cependant, les cyberattaques ne sont pas le principal objectif des contrats des Nord-Coréens. Ils travaillent pour soutenir financièrement les efforts de leur gouvernement pour développer des armes de destruction massive (ADM, par exemple nucléaires) et des programmes balistiques.

« Le gouvernement nord-coréen retient jusqu’à 90 % des salaires des travailleurs étrangers, ce qui génère des revenus annuels pour le gouvernement de centaines de millions de dollars » – le gouvernement américain

Éviter l’identification

Le coup de pouce informatique de la Corée du Nord se concentre principalement sur le secteur du développement, à la fois logiciel et matériel, de complexité variable. Cela inclut les éléments suivants :

  • applications mobiles et web
  • animation graphique
  • programmes de jeu
  • intelligence artificielle
  • réalité virtuelle et augmentée
  • reconnaissance faciale et biométrique
  • développement et gestion de la base de données

Pour dissimuler leur véritable identité et se faire passer pour un individu d’un pays non sanctionné, les informaticiens nord-coréens changent souvent de nom, utilisent des connexions de réseau privé virtuel (VPN) ou utilisent des adresses IP d’autres régions.

Ils utilisent souvent des procurations sur diverses plates-formes d’enchères pour obtenir du travail et achètent également des comptes à des personnes sans affiliation apparente à la RPDC dans leur profil, profitant ainsi de l’expérience de travail annoncée de cette personne pour obtenir plus facilement des concerts indépendants.

Les développeurs nord-coréens se font passer pour des pigistes américains et aident les pirates du gouvernement DRPK, MA LIBERTÉ FINANCIÈRE
source : Département du Trésor des États-Unis

Ils établissent une relation commerciale avec d’autres travailleurs indépendants sur la plate-forme pour accéder à de nouveaux contrats et faire leur travail sur une infrastructure américaine ou européenne, leur permettant de contourner les mécanismes de sécurité pour une utilisation frauduleuse.

« En ouvrant des comptes avec l’aide d’autres travailleurs indépendants, les informaticiens de la RPDC peuvent prétendre être des ressortissants de pays tiers qui ont besoin de documents d’identité américains ou occidentaux et de comptes de plate-forme indépendants pour gagner plus d’argent » – le gouvernement américain

L’utilisation de faux documents d’identité (parfois volés), de fausses signatures, d’appareils dédiés à chaque compte et services bancaires font partie des méthodes typiques utilisées par les Nord-Coréens pour échapper à la détection, aux sanctions et aux efforts de blanchiment d’argent.

Une fois qu’ils ont obtenu un emploi indépendant dans une entreprise, ils sont susceptibles de recommander d’autres informaticiens de la RPDC.

drapeaux rouges

Voici quelques indices que les plateformes de travail et de paiement indépendants devraient rechercher comme indicatifs d’un informaticien nord-coréen :

  • se connecte au même compte à partir d’adresses IP différentes en peu de temps, surtout s’ils proviennent de plusieurs pays
  • plusieurs développeurs se connectant à partir de la même adresse IP
  • indices techniques indiquant l’utilisation d’un logiciel de partage de bureau à distance ou d’une connexion VPN
  • utilisation fréquente de modèles de documents (appel d’offres, projet)
  • comptes recevant des évaluations positives d’un client avec une documentation similaire pour la configuration des comptes de développeur
  • transferts d’argent fréquents, en particulier vers des banques en Chine, surtout s’ils passent par au moins une entreprise

Les entreprises qui emploient des développeurs indépendants doivent rechercher les signes suivants qui pourraient indiquer un informaticien de la RPDC :

  • utiliser des services de paiement numérique, en particulier s’ils sont liés à la Chine
  • incohérences dans les données personnelles et professionnelles (orthographe du nom, nationalité, coordonnées, éducation, etc.)
  • étonnamment, des sites Web de portefeuille, des médias sociaux ou des profils de développeurs
  • messages directs ou appels à froid de personnes prétendant être des cadres de niveau C-suite à partir de logiciels pour des services ou pour annoncer des compétences
  • une adresse de destination pour recevoir les éléments liés au travail qui ne figure pas sur le document d’identité du développeur
  • demander à être payé en monnaie virtuelle
  • informations de contact incorrectes ou changeantes (numéros de téléphone, e-mails)
  • demander à des collègues d’emprunter certaines de leurs informations personnelles pour obtenir d’autres contrats

Ce qui précède ne sont que quelques-uns des indicateurs indiquant qu’un informaticien de la RPDC tente d’obtenir un emploi auprès d’une entreprise pour soutenir le développement militaire de la Corée du Nord. La liste complète est disponible dans l’avis publié par le département américain du Trésor.

Les plateformes d’enchères et les entreprises doivent faire preuve de diligence raisonnable, par exemple en vérifiant l’identité d’un développeur pour détecter d’éventuels signes de fraude avant de les laisser s’engager dans des accords de travail.

Soutenir l’activité d’un travailleur informatique de la RPDC entraîne des conséquences juridiques associées à un comportement interdit ou sanctionné.