Table of Contents
Des informaticiens nord-coréens infiltrent des entreprises du Fortune 100
Des dizaines d’organisations figurant parmi les plus importantes du Fortune 100 ont, sans le savoir, recruté des informaticiens nord-coréens usant de fausses identités. Cette situation a permis de générer des revenus pour le gouvernement de la Corée du Nord tout en mettant en péril la sécurité des entreprises technologiques, selon le rapport de l’unité Mandiant de Google.
Une méthode bien rodée
En 2023, le FBI avait déjà révélé que la Corée du Nord a déployé des milliers de faux informaticiens aux États-Unis pour financer son programme d’armement. Ces individus ont réussi à tromper de nombreuses entreprises en travaillant à distance pour des sociétés basées aux États-Unis. Les salaires perçus étaient ensuite transférés à la Corée du Nord afin de soutenir son programme de missiles balistiques.
Le 23 septembre 2024, Mandiant a publié un rapport détaillant un schéma commun orchestré par un groupe suivi sous le nom de UNC5267, actif depuis 2018. La plupart des informaticiens impliqués sont des individus envoyés par le gouvernement nord-coréen, principalement basés en Chine et en Russie, avec quelques-uns présents en Afrique et en Asie du Sud-Est.
Accès privilégié aux systèmes
Mandiant a constaté que ces informaticiens à distance obtiennent souvent un accès élevé pour modifier le code et administrer les systèmes de réseau. Cela pose un risque important pour la sécurité, car ces acteurs utilisent généralement des identités volées ou fictives pour être embauchés comme sous-traitants à distance. Les informaticiens sont souvent employés dans une variété de rôles complexes, certains ayant plusieurs emplois rémunérés simultanément.
Une personne basée aux États-Unis gère une ferme d’ordinateurs portables, où les portables des informaticiens sont envoyés. Des technologies de télétravail y sont installées, permettant aux ressortissants nord-coréens de se connecter et de travailler depuis la Chine ou la Russie. Fait inquiétant, ces informaticiens demandent souvent d’envoyer leurs ordinateurs à des adresses différentes de celles mentionnées sur leur CV, ce qui suscite des soupçons au sein des entreprises.
Caractéristiques distinctives des CV
Les CV examinés par Mandiant présentent des caractéristiques alarmantes, tels que de faux profils d’ingénieurs logiciels hébergés sur Netlify, avec un anglais parfois médiocre et des informations qui ne correspondent pas. Une utilisation fréquente d’adresses basées aux États-Unis accompagnées de diplômes étrangers, notamment de Singapour, du Japon ou de Hong Kong, est également repérée. Souvent, les entreprises ne vérifient pas ces diplômes délivrés par des institutions étrangères.
Impacts sur la cybersécurité
Depuis 2022, Mandiant a rapporté une augmentation des informaticiens opérant pour la République populaire démocratique de Corée (RPDC), qui se font passer pour des ressortissants d’autres pays afin de financer le régime nord-coréen. Ces travailleurs exploitent leur accès privilégié au sein de leur emploi pour mener des cyberintrusions malveillantes, dans un contexte où le gouvernement américain a mis en garde contre ce phénomène croissant.
Stratégies de détection et de prévention
Mandiant recommande aux organisations de mettre en œuvre plusieurs stratégies afin d’identifier et d’entraver ces opérations. Cela inclut une vérification rigoureuse des antécédents des candidats pour éviter l’utilisation de faux, ainsi que des procédures d’entretien strictes qui exigent l’utilisation de caméras. De plus, la formation des ressources humaines pour repérer les incohérences doit devenir une priorité.
Les entreprises doivent aussi surveiller l’utilisation d’outils d’administration à distance et restreindre les connexions venant de services VPN suspects. La détection des indicateurs de compromission (IOC) et la collaboration avec les communautés de partage d’informations sont essentielles pour renforcer les défenses contre cette menace persistante.
Conséquences et implications futures
La présence continue d’informaticiens nord-coréens représente une cybermenace grandissante. Leur double motivation – servir les intérêts de l’État tandis que cherchent des bénéfices financiers personnels – accroît leur dangerosité. Les compétences techniques des informaticiens, couplées à des tactiques d’évasion sophistiquées, compliquent la tâche des équipes de recrutement et de ressources humaines.
Avec la dépendance croissante du régime nord-coréen vis-à-vis des cyberopérations pour ses revenus, Mandiant prédit une hausse des attaques ciblant les entreprises du monde entier, notamment celles situées en Occident. Cela souligne le besoin d’une vigilance continue et de mesures de sécurité robustes face à cette menace en constante évolution.
À propos de Mandiant
Mandiant est une entreprise de cybersécurité américaine reconnue pour son expertise en matière de défense dynamique, de renseignement sur les menaces et de réponse aux incidents. Avec des décennies d’expérience, Mandiant aide les organisations à se protéger contre les cyberattaques et renforce leur posture de sécurité.